Tehnologia MS-NAP, spre deosebire de alte platforme Microsoft, nu este similară cu Exchange, SQL sau IIS, ci mai degrabă un set de componente, strategii și servicii. Principala diferență a acestui program este că nu poate funcționa ca o singură soluție de serviciu. Îndeplinirea sarcinilor este distribuită între mai multe sisteme. Și, de exemplu, un program Exchange de dimensiuni mici poate combina toate componentele pe un singur computer.
În general, cel puțin două servere sunt obligate să ruleze toate componentele furnizate de dezvoltatori, tehnologia MS-NAP. Programul are mai multe elemente de bază care asigură execuția corectă. Mai mult, există patru mecanisme sau metode pentru aplicarea protecției de acces la rețea, cu care operează MS-NAP. Acestea sunt DHCP, VPN, IPSec și 802.1X. Aceste componente vă permit să stabiliți condițiile de constrângere și structura de rețea de care are nevoie utilizatorul. În acest articol, vom examina ceea ce este necesar pentru buna funcționare a MS-NAP.
Cele mai bune exemple de configurare a programelor MS-NAP server
Apariția bazei de date a serverului MS-NAP depinde de componentele cheie din structura de rețea existentă, inclusiv de serviciul de directoare Active Directory (AD). Configurația necorespunzătoare a acestor componente nu va duce la nimic bun. Consultați cele mai bune practici pentru configurarea MS-NAP de mai jos:
Politici de software și de rețea: Mai întâi de toate, nu ar trebui să rezolvați probleme tehnice, ci să determinați ce funcționalitate doriți să primiți de la MS-NAP. Abia după aceea puteți trece la probleme tehnice: determinăm alegerea pachetelor de servicii, programele antivirus, necesitatea de a utiliza protocoalele IPSec, precum și alți furnizori terți care vor avea acces la rețea. Apoi determinăm componentele sistemului de sănătate: servere de corecție, interdicții de acces și alți parametri.
Accesul la rețelele virtuale (VPN): Atunci când se utilizează VPN Enforcement, este importantă alegerea VPN pentru funcționarea corectă a MS-NAP. Tehnologia asigură o protecție fiabilă a rețelei interne pe baza infrastructurii rețelei externe (Internet).
Echipamente de rețea: Asigurați-vă că echipamentul dvs. acceptă 802.1X, mai ales dacă aveți clienți de rețea fără fir sau componente de limitare 802.1X ale CE.
Protocolul de rețea DHCP: Rețeaua DHCP este importantă pentru funcționarea MS-NAP, deoarece există parametri de "opțiuni de domeniu" care, în caz de incompatibilitate cu cerințele politicii de sănătate MS-NAP, determină tipul de patch-uri necesare.
• Acces nelimitat la server, determinat de politica de sănătate
• Acces limitat la sistemele directe incompatibile detectate de serverul de patch-uri
• Negarea accesului pentru sistemele care sunt absolut incompatibile
În acest exemplu, nu vorbim de anumite domenii de aplicare și de cerințele de accesare a rețelei. Cu toate acestea, în situații reale, MS-NAP este indispensabilă fără o planificare prealabilă pentru setul de funcții dorit. Aceste setări, subliniez, vor asigura actualizarea automată a computerelor care nu îndeplinesc cerințele politicii de sănătate necesare accesării rețelei. Următoarea este un exemplu de configurare a unei rețele utilizând aplicația TechRepublic MS-NAP:
În primul rând, atunci când configurați MS-NAP, trebuie să setați cerințele de sănătate ale sistemului pe serverul de politică de rețea și servicii de acces (NPS) al sistemului de operare WS2K8. Aceste componente sunt punctul de plecare pentru pornirea sistemului MS-NAP. Folosind prompta Add Role Role, selectați componenta NPS după cum se arată în figura A și faceți clic pe Continue.
Fig. A Selectați componenta Politică rețea și servicii de acces. (Click pentru marire)
Selectați serverul de politică pentru politica de rețea, componenta de sănătate a autorității de înregistrare a sănătății și elementul Protocolul de autorizare a autorității gazdă. Este posibil să fie necesar să adăugați un server de informații Internet (IIS), dacă este necesar, pentru a rula componentele menționate mai sus. În exemplul nostru, toate componentele serverului sunt offline, deoarece este instalată o versiune certificată a WS2K8.
După aceasta, trebuie să stabiliți dacă accesul certificat la rețea este disponibil numai pentru clienții introduși în lista de domenii. Aceasta nu este o problemă pur tehnică, ci un punct important din punctul de vedere al politicii de capacitate de lucru. În exemplul nostru, accesul este acordat numai participanților din directorul activ al numelor de domenii. Procesul de adăugare a componentelor de bază este destul de simplu, după instalare este instalat serverul de politică de rețea (NPS.MSC). Un exemplu de consolă neîncărcată este prezentat în Fig.
Fig. B Începeți cu o consolă goală.
Elementele configurației MS-NAP sunt determinate de componenta Health Health Validator. În exemplul nostru, vom configura dispozitivul de evaluare a sănătății, care necesită rularea programului antivirus și actualizarea sistemului pentru a se conforma politicii de sănătate. Exemplul din Fig. C.
Fig. C Selectați elementele necesare ale politicii de sănătate.
Configurația componentei System Health Validator va determina natura politicii de sănătate MS-NAP. Validarea sistemelor neconforme se va face prin rularea aplicațiilor antivirus pe serverul WS2K3-DEV. Acesta este serverul de remediere. În consola NPS, vom selecta serverul WS2K3-DEV ca server pentru grupul "RG-NonCompliant-NoAV", așa cum se arată în Figura D.
Fig. D Creați un nume de grup. (Click pentru marire)
Serverul de fixare este important pentru funcționarea eficientă a tuturor componentelor MS-NAP. Aceasta permite sistemelor de politici de sănătate incompatibile să meargă la gazdele desemnate (în exemplul nostru WS2K3-DEV). Accesul la toate celelalte sisteme informatice identificate în directorul activ va fi interzis. Cu toate acestea, dacă acest segment permite accesul la alte sisteme decât sistemul Windows, un client incompatibil cu politica de sănătate a MS-NAP poate accesa aceste sisteme prin intermediul sistemului de protocol TCP / IP, în funcție de parametrii configurați. În timpul procesului de încercare, se recomandă efectuarea unor teste aprofundate pentru a detecta astfel de probleme.
Apoi, trebuie să setați setările Windows pentru gestionarea componentelor de sistem compatibile și incompatibile pe serverele de sănătate ale serverelor Health System. Trebuie să configurați configurațiile Windows pentru a utiliza setările politicii Security Health Validator pe care am definit-o anterior pentru sistemele care îndeplinesc sau nu îndeplinesc anumite criterii (PASS și FAIL) instalând programul antivirus pe sistem, după cum se arată în Figura E.
Fig. E Configurați setările politicii Windows pentru a gestiona sistemele care sunt adecvate sau incompatibile cu politica de sănătate (PASS și FAIL). (Click pentru marire)
Prin setarea parametrilor de politică pentru gestionarea sistemelor compatibile și incompatibile, putem trece la distribuția clienților de rețea utilizând cei doi parametri de politică (PASS și FAIL) pe care i-am creat deja. Politica PASS implică drepturi de acces complete, iar politica FAIL înseamnă că sistemele vor fi disponibile pentru componentele de sănătate pentru a instala software antivirus. În MS-NAP, există sfaturi bune despre configurarea setărilor politicii de sănătate. În Fig. F prezintă un exemplu de setare a parametrilor de acces integral, ca parte a politicii rețelei PASS.
Fig. F Figura prezintă un exemplu de setare a parametrilor Windows pentru a permite accesul complet la rețea pentru o stație de lucru care a fost testată.
După ce am setat setările politicii de sănătate pentru componentele NPS cheie, trebuie să configuram serverul DHCP astfel încât MS-NAP să ruleze pe toate computerele active. Configurația serverului DHCP este prezentată în Figura G.
Fig. H Puteți configura configurația altor servicii de rețea bazate pe MS-NAP (Clic pentru a mări)
1. Porniți Centrul de securitate în Windows Vista
2. Rulați componenta de executare DHCP
3. Lansați agentul de protecție a accesului la rețea
4. Dezactivați IPv6 în Centrul de rețea și partajare. dacă nu este utilizat în rețeaua dvs.
Resurse suplimentare MS-NAP
Articole similare
Trimiteți-le prietenilor: