Tilbake i 2006, skrev jeg en serie artikler kalt Introduksjon til Network Access Protection. Som du kanskje har hørt, er Network Access Protection en funksjon som kommer til å bli innebygd i Windows Server 2008 (tidligere kjent som Longhorn Server). Når jeg skrev at originalartikkelen tilbake i 2006, Windows Server 2008 var fortsatt i tidlig beta testing. Jeg gikk videre og skrev stykket, fordi Network Access Protection virket som en så viktig sikkerhetsfunksjon som jeg ønsket å hjelpe administratorer forstå hva det var og hvordan det fungerte, slik at når Windows Server 2008 ble til slutt løslatt, alle som hadde lest artikkelen min ville være klar til å implementere Network Access Protection.
Nå som Windows Server 2008 har endelig blitt sluppet til produksjon, bestemte jeg meg for å ta en titt tilbake på min artikkelserie om Network Access Protection. Selv om de fleste av begrepene som diskuteres i artikkelen er fortsatt gyldig, har noen av trinnene involvert i implementeringsprosessen endret seg ganske drastisk.
Mitt mål i å skrive denne artikkelen er å oppdatere min opprinnelige Network Access Protection serien. I denne første artikkelen i serien, vil jeg introdusere deg til Network Access Protection, og forklare hvordan det fungerer. Derfra vil jeg lede deg trinn for trinn gjennom implementeringsprosessen.
Hva er Network Access Protection?
Network Access Protection, eller NAP som det kalles, ble opprettet for å ta opp en av de store frustrasjoner at nettverks administratorer ofte opplever. Som en nettverksadministrator, er jeg sikker på at du sannsynligvis har lagt mye tid og krefter til å gjøre nettverket er sikkert som mulig. Problemet er at noen av maskinene på nettverket er utenfor din direkte kontroll, og har tidligere vært vanskelig eller umulig å sikre.
Jeg snakker selvsagt om eksterne brukere. Det er lett å sikre stasjonære arbeidsstasjoner som ligger på premisset, og du kan sannsynligvis også komme unna med å sikre brukerens bærbare datamaskiner, så lenge disse bærbare PC-er bedriftens eiendom. Men i mange organisasjoner, brukere liker å logge fra sin hjemme-PC ved hjelp av en VPN-tilkobling, slik at de kan gjøre noe arbeid etter timer uten å måtte reise til kontoret. Fordi selskapet ikke eier disse maskinene, har administratoren ansatte ingen direkte kontroll over dem
Før etableringen av Network Access Protection., Jeg har alltid kjempet for å holde maskinene utsiden av direkte kontroll av administrativt ansatte fra å koble til nettverket. Min begrunnelse for dette er at i løpet av de årene jeg har kjørt inn i noen virkelig skumle hjemmemaskiner. Det er ikke uvanlig å finne hjem maskiner som er fullstendig infisert med virus og spyware, eller som fortsatt kjører utdaterte operativsystemer. Fra tid til annen, jeg har fortsatt folk spør meg om problemer som de har med Windows 98.
Network Access Protection er utviklet for å lindre disse bekymringene. Når en bruker kobler til nettverket, kan brukerens maskin bli sammenlignet mot en helsepolitikk som du har opprettet. Det faktiske innholdet i denne helsepolitikk vil trolig variere fra en organisasjon til en annen, som du kan kreve at brukeren operativsystem har de siste sikkerhetsoppdateringene, og at maskinen skal kjøre up-to-date antivirus-programvare, og ting som det. Hvis maskinen oppfyller kriteriene som du har etablert i politikken at maskinen er fri til å koble til nettverket på vanlig måte. Hvis maskinen ikke er i samsvar med politikken din, så kan du velge å nekte nettverkstilgang til brukeren, løse problemet på stedet, eller gå videre og la brukeren ha tilgang, men noterer tilstanden til brukerens maskin.
Noen Terminologi å vite
Før jeg kan virkelig komme i gang med å forklare hvordan Network Access Protection fungerer, må du være kjent med terminologien som Microsoft bruker i forhold til Network Access Protection.
første sikt som du må være kjent med er Enforcement Client, noen ganger forkortet til EF. En Enforcement Client er noe mer enn klientmaskinen som forsøker å koble seg til nettverket. Husk at ikke alle arbeidsstasjoner er kompatible med Network Access Protection. For å bli ansett som et Enforcement Client, må arbeidsstasjonen kunne kjøre system Health Agent komponent, som jeg vil snakke om litt senere. Bare Windows Vista og Windows XP SP3 er i stand til å kjøre System Health Agent, og derfor dette er de eneste arbeidsstasjon operativsystemer som er kompatible med Network Access Protection.
Neste begrep som du må være kjent med er System Health Agent eller SHA. System Health Agent er en agent som kjører som en tjeneste på arbeidsstasjonen, og overvåker Windows Security Center. Agenten er ansvarlig for å rapportere system helseinformasjon til tvangsfullbyrdelses Server ved tilkobling.
Som du kanskje har gjettet, neste begrep som jeg vil snakke om er Enforcement Server. Tvangsfullbyrdelses Server er en server som håndhever den politikken som er definert av Network Access Protection.
Annet begrep å vite er System Health Validator, eller SHV. System Health Validator tar informasjon som er mottatt fra System Health Agent, og sammenligner denne informasjonen mot helsepolitikk som er definert.
Siste begrep som jeg vil snakke om er Remediation Server. En utbedring server er en server som er gjort tilgjengelig for håndheving klienter som er funnet ikke å være i samsvar med nettverkstilgangsregler som er etablert. Vanligvis vil en utbedring server inneholde alle de mekanismene som er nødvendige for å gjøre håndhevingen klient kompatibel med politikken. For eksempel kan en utbedring server gjelder sikkerhetsoppdateringer til håndhevelse klienten.
Network Access Protection begrensninger
En siste ting jeg ønsker å være sikker på å nevne om Network Access Protection er at Network Access Protection tilbyr deg en måte å styrke organisasjonens sikkerhet, men det erstatter ikke de andre sikkerhetsmekanismer som du allerede bruker. Network Access Protection gjør en god jobb med å sikre at eksterne kunder i samsvar med nettverkssikkerhetspolitikk. Faktisk vil det sannsynligvis gjøre en enda bedre jobb med å håndheve denne politikken som tiden går, fordi politikken er basert på åpne standarder. Dette betyr at tredjeparts programvareleverandører vil være i stand til å skrive sine egne politiske moduler, som vil tillate deg å lage sikkerhetspolicyer som gjelder for tredjeparts programvare som kjører på håndhevelse klienten.
Hva Network Access Protection ikke gjør er at det vil ikke holde inntrengere ut av nettverket. Network Access Protection sikrer bare at arbeidsstasjoner som brukes for fjerntilgang til nettverket oppfyller visse kriterier. Derfor vil Network Access Protection bare stoppe en hacker hvis maskinen ikke er i samsvar med sikkerhetspolitikk. Hvis en hacker maskinen er kompatibel, så vil det være opp til andre sikkerhetsmekanismer for å sørge for at hackeren nektes adgang.
Konklusjon
I denne artikkelen har jeg forklart at Network Access Protection gir deg en måte å sikre at enhver arbeidsstasjon som etablerer en forbindelse til nettverket samsvarer med nettverkets sikkerhetspolitikk. I neste artikkel i denne serien, jeg vil diskusjonen.
Fortsette ved å vise deg hvordan du kan implementere Network Access Protection