Usando la estrategia NPS en Windows Server 2008

La mayoría de los empleados de la oficina son trabajadores móviles. Debido a que la base de datos de virus no se actualiza a tiempo y los parches del sistema no están instalados, el equipo de la oficina móvil se encuentra en un estado peligroso. Al acceder a la red interna, es probable que amenace a toda la red. ¿Cómo defender la red para acceder a esta puerta?

La unidad del autor es una compañía de medios con un equipo de cientos de reporteros. Cada reportero está equipado con una computadora portátil y un dispositivo de Internet. Los periodistas suelen llevar computadoras portátiles en viajes de negocios y no inician sesión en la red interna durante mucho tiempo. El software antivirus y las actualizaciones de parches del sistema se implementan en la red. Cuando el informador se conecta a la red de la empresa a través de VPN u otros medios, el tiempo de conexión es muy corto y la base de datos de parches y virus del sistema no se puede descargar de inmediato. Debido a que la base de datos de virus no se actualiza a tiempo y el parche del sistema no está instalado, la computadora portátil se encuentra en un estado "peligroso". Una vez que el virus esté infectado y otros virus, como virus o troyanos, lleguen a la red interna, tendrán un gran impacto en la red.

¿Hay alguna forma de detectar automáticamente la seguridad de la computadora cliente cuando inicia sesión en la red y luego le permite iniciar sesión en la red después de cumplir con los estándares de seguridad? Eso es NAP, una estrategia de protección de la red.

NAP está estrictamente controlado

Windows Server 2008 proporciona NAP (Protección de acceso a la red). La política de protección de red es que cualquier computadora cliente (cliente y cliente VPN) debe pasar la verificación de estado de la red, como Ya sea para instalar el último parche de seguridad, si la base de datos de firmas del software antivirus está actualizada, si el firewall está habilitado, etc., se le permite ingresar a la red interna luego de cumplir con las condiciones de seguridad. Las computadoras que no pasan la verificación del estado del sistema se ponen en cuarentena en una red de acceso restringido. En una red de acceso restringido, repare el estado de la computadora (como descargar un parche especial del sistema desde el servidor de parches, abrir forzosamente una política de firewall, etc.) y luego acceder a la red interna de la compañía después de alcanzar el estándar de salud de la red.

Windows Server 2008 ofrece una variedad de métodos para la protección de acceso a la red. La forma más sencilla es usar la política NPS (Servidor de políticas de red) con el servicio DHCP para completar la protección de acceso a la red. Para implementar esta política, debe configurar el equipo cliente: habilitar la política Habilitar el Centro de seguridad (solo PC de dominio) en la Política de grupo; habilitar la política DHCP Quarantine Force Client. Para habilitar el servicio de proxy NAP, se recomienda configurarlo en modo de inicio "automático".

Instalación de servicios NPS

Después de instalar Windows Server 2008 de forma predeterminada, el servicio NPS (Política de acceso a la red) no está instalado y requiere que el administrador de la red instale manualmente el servicio.

Inicie el Administrador del servidor y ejecute el Asistente para agregar roles. En el cuadro de diálogo Seleccionar roles, en la lista Roles, seleccione la opción Servicios de acceso y políticas de red que desea instalar. Otros se instalan de forma predeterminada. Bien bien

Después de instalar el servicio NPS, el nuevo componente compatible con NPS reemplazará el servicio DHCP en el servidor miembro. El administrador de la red debe configurar las opciones DHCP involucradas en el NPS. De forma predeterminada, el componente asociado a NPS "Protección de acceso a la red" no está habilitado, y la política está habilitada en el atributo de alcance DHCP.

NAP cambia los equipos entre las redes restringidas y el acceso a la red sin restricciones dentro del mismo ámbito al agregar una categoría de Ámbito de clase de usuario. Este conjunto de opciones de alcance especial (servidor DNS, nombre de dominio DNS, enrutador, etc.) se utiliza cuando se proporcionan concesiones a equipos cliente con bajo rendimiento. Por ejemplo, el sufijo DNS predeterminado proporcionado a un buen cliente es "book.com" y el sufijo DNS proporcionado a un cliente malo es "Testbook.com".

El Validador de estado de la red, el Grupo de servidores de actualización, la Política de salud y la Política de red verificarán, pondrán en cuarentena, remediarán, y las auditorías de política de salud de las computadoras que se unan a la red corporativa.

Validador de estado de la red: evalúe el estado de funcionamiento de la computadora, las comprobaciones que deben realizarse y configure una lista de verificación para detectar qué computadoras conectadas a la red son seguras y cuáles no, como el apagado del firewall, de acuerdo con la política establecida. Se considera inseguro, no se instala ningún software antivirus, no es una computadora segura. Inicie el componente Servidor de políticas de red, abra NPS (Local) → Protección de acceso a la red → Validador de estado del sistema y configure el estado que se detectará en la lista de atributos, como se muestra en la Figura 1.

Grupo de servidores de actualización: permite a los administradores de red configurar sistemas a los que se puede acceder mediante computadoras con mala salud. Al acceder al sistema definido, las computadoras con estado deficiente se restaurarán a su estado normal. Durante el proceso de configuración, tenga en cuenta que la dirección IP del servidor de destino y la resolución del nombre de dominio DNS deben ser coherentes. Inicie el componente "Servidor de políticas de red", abra "NPS" → "Protección de acceso a la red" → "Validador de estado del sistema", cree un nuevo "Grupo de servidores de actualización", configure la dirección IP y el nombre del servidor de actualización de la base de datos de virus o del servidor de actualización de parches.

La política de salud se usa para establecer un estándar para la salud de las computadoras cliente. Se recomienda crear dos políticas, una para una política de computadora segura y otra para una computadora no segura. La computadora que verifica el verificador de estado de la red se clasifica en una política de computadora segura si es segura, y si el verificador de estado de la red verifica que la computadora no es segura, se clasificará en una computadora no segura. Inicie el componente "Servidor de políticas de red", abra "NPS" → "Política" → "Política de salud", cree dos nuevas "estrategias de salud", una es la estrategia de "pase toda la verificación de seguridad", como se muestra en la Figura 2; la otra es " No existe una política de seguridad y control de salud.

Política de red: define las reglas de lógica de procesamiento y determina cómo manejarlas según el estado de su computadora. Los validadores de estado de red, los grupos de servidores de actualización y el procesamiento de estado se agrupan a través de políticas de red. La política de red está definida por el administrador y se utiliza para instruir al NPS sobre cómo manejar la computadora según el estado de ejecución de la computadora. NPS evalúa estas políticas de arriba a abajo, y una vez que la computadora coincide con las reglas de la política, el procesamiento se detiene de inmediato.

Se han creado dos políticas, a saber, la política de "pasar toda la verificación de seguridad" y la política de "no verificar la seguridad de la red".

La política "A través de toda la verificación de seguridad" establece que las computadoras que pasan por todas las comprobaciones del Centro de seguridad pueden obtener acceso a la red sin restricciones. La política de "Sin verificación de seguridad de la red" corresponde a cualquier computadora que no haya pasado una o más comprobaciones de SHV (Validadores de estado del sistema). Si una computadora coincide con esta política, el NPS le indica al servidor DHCP que le proporcione al cliente una concesión de IP con una opción especial de alcance restringido de NAP. Esta dirección solo permite al equipo infractor acceder a los recursos definidos en el grupo de servidores de actualización. Inicie el componente "Servidor de políticas de red", abra "NPS (local)" → "Política" → "Política de red", cree una nueva política para "a través de todas las comprobaciones de seguridad" y configure los derechos de acceso.

Una vez implementado el NAP, cuando el informador regresa a la red de la compañía, el cliente primero verifica la computadora sin la última base de datos de virus y se conecta automáticamente al servidor de actualización de la base de datos de virus para actualizar la base de datos de virus; La computadora parcheada del sistema se conecta automáticamente al parche de actualización del servidor WSUS; si no hay una computadora con firewall habilitado, se le solicitará al cliente que habilite el firewall. Cuando se cumplen las condiciones anteriores, el cliente puede conectarse a la red interna para maximizar la seguridad de la red.

Protección de acceso a la red en cuatro pasos

La protección de acceso a la red se divide en cuatro partes: verificación de políticas, aislamiento, remediación y monitoreo continuo.

Verificación de políticas

Verificación de políticas significa que NAP evalúa el estado de un sistema de computadora cliente según un conjunto de reglas definidas por el administrador de la red. NAP compara el programa de salud de seguridad con la política definida cuando la computadora intenta conectarse a la red. Las computadoras que cumplen con estas políticas se consideran en buenas condiciones y las computadoras que no cumplen uno o más de los criterios de inspección se consideran Una computadora con mal estado.

Aislamiento

El aislamiento puede entenderse como una limitación de conexión de red. De acuerdo con la política definida por el administrador de la red, NAP puede configurar la conexión de red de la computadora a varios estados. Por ejemplo, si una computadora se considera mala debido a la falta de actualizaciones de seguridad críticas, NAP puede colocar la computadora en una red aislada y aislarla de otras computadoras en la red hasta que esté en buen estado (parches instalados).

Remediación

Para computadoras con estados mal conectados que han sido restringidos, NAP proporciona una estrategia de remediación para que las computadoras en cuarentena puedan corregir el estado operativo sin la intervención de un administrador de red. Una red restringida permite que una computadora con mal rendimiento acceda a las actualizaciones necesarias.

Monitoreo continuo

Monitoreo continuo, que obliga a la computadora a monitorear estas políticas de buen comportamiento mientras se mantiene conectado a la red, no solo durante la conexión inicial. Si el estado de la computadora no coincide con la política, como deshabilitar el firewall de Windows, NAP activará automáticamente el firewall hasta que se restaure la red.