Et aspekt av nettverkssikkerhet som er frustrerende for mange administratorer er at de ikke har kontroll over konfigurasjonen av eksterne datamaskiner. Selv bedriftens nettverk kan kjøre en svært sikker konfigurasjon, er det i dag ingenting for å hindre eksterne brukeren fra å koble til bedriftsnettverket ved hjelp av en datamaskin som er infisert med virus eller som inneholder utdaterte patcher. Longhorn Server Network Access Protection funksjonen vil endre alt dette. I denne artikkelserien, vil jeg introdusere deg til Network Access Protection og vise deg hvordan det fungerer.
Da jeg var en nettverksadministrator en av de tingene som virkelig frustrerte meg var hvor lite kontroll jeg har over eksterne brukere. Min organisasjonens forretningsmessige krav mandat at eksterne brukere skal kunne koble seg til bedriftens nettverk fra steder utenfor kontoret. Problemet var at selv om jeg hadde gått til ekstreme tiltak for å sikre bedriftens nettverk, hadde jeg absolutt ingen kontroll over PC-ene som brukerne vil bruke til å koble til nettverket eksternt. Tross alt, er en brukers hjemmedatamaskin ikke bedriftens eiendom.
Grunnen til at dette var så frustrerende var fordi jeg visste aldri hva slags tilstand en ekstern brukerens datamaskin ville være i. Noen ganger eksterne brukere vil koble til nettverket ved hjelp av en PC som ble infisert med virus. Andre ganger kan en ekstern brukerens PC kjøre en gammel versjon av Windows-operativsystemet. Selv om jeg tok skritt for å sikre et bedriftsnettverk, var jeg alltid redd for at en ekstern bruker med utilstrekkelig beskyttelse ville infisere filer på nettverket med et virus, eller ville utilsiktet avsløre sensitiv informasjon fordi deres PC ble infisert med en slags trojansk.
For flere år siden var det en stråle av håp om. Som Microsoft forberedt på å slippe Windows Server 2003 R2, var det snakk om en ny funksjon kalt Network Access Protection. For å gjøre en lang historie kort, bygger noen av de tidlige praktisk talt kreves at du har en Ph.D. i informatikk for å konfigurere Network Access Protection. Som sådan, ble Network Access Protection funksjonen fjernet før R2 ble løslatt.
Microsoft har gjort mye arbeid på Network Access Protection siden den gang, og Network Access Protection vil være en av de viktigste sikkerhetsfunksjonene i Longhorn Server. Selv om Longhorn versjon av Network Access Protection kommer til å være mye enklere å konfigurere enn ulykksalige Windows Server 2003-versjonen, er det fortsatt noe komplisert. Derfor min hensikt i å skrive denne artikkelserien er å gi deg en innføring i Network Access Protection, og vise deg hvordan det fungerer før Longhorn Server slippes.
Før jeg begynner
Før jeg i gang, det er en ting som jeg ønsker å avklare i forhold til Network Access Protection. Network Access Protection funksjon formål er å sørge for at eksterne brukerens datamaskiner overholde sikkerhetskrav organisasjonens. Network Access Protection gjør ingenting for å hindre uautorisert tilgang til nettverket ditt. Hvis en inntrenger har en PC som er i samsvar med bedriftens sikkerhetspolitikk, vil deretter Network Access Protection gjøre noe for å prøve å stoppe den inntrengeren. Hindre inntrengeren får tilgang til nettverksressurser er jobben til andre sikkerhetsmekanismer. Network Access Protection er rett og slett laget for å hindre legitime brukere kan logge seg på nettverket med usikre PCer.
En ting som jeg vil nevne før jeg kommer i gang er at Network Access Protection er forskjellig fra Network Access Karantene Control-funksjonen som finnes i Windows Server 2003. Network Access Karantene Control gir begrenset helsepolitikk kontroll for eksterne datamaskiner, men er dårligere til Network Access Protection.
Tankens grunn Network Access Protection
Network Access Protection er utviklet for å øke en bedrifts VPN. Prosessen begynner når klienter etablere en VPN-økt med en Longhorn Server som kjører Routing and Remote Access service. Etter at brukeren oppretter en tilkobling, validerer et nettverk policyserver det eksterne systemet helse. Dette gjøres ved å sammenligne den eksterne datamaskinens konfigurasjon mot et nettverkstilgang politikk definert av administrator. Hva som skjer videre avhenger av politikken at administratoren har konfigurert.
Administrator har muligheten til å konfigurere enten en overvåking bare politikk eller en isolasjonspolitikk. Hvis en overvåking bare politikk er i kraft så alle brukere med en gyldig identifikasjon vil bli gitt tilgang til nettverksressurser, uavhengig av hvorvidt PCene er i samsvar med bedriftens sikkerhetspolitikk. Selv om en skjerm bare politikk ikke vil hindre eventuelle PCer får tilgang nettverket, etterlevelse staten hver ekstern PC forsøker en tilkobling vil bli logget.
Etter min mening, er en overvåking bare politikk best egnet for å gjøre overgangen til en Network Access Protection miljø. Tenk på det et sekund, hvis du har eksterne brukere som trenger å være i stand til å få tilgang til ressurser på bedriftsnettverket for å gjøre jobben sin, har du sannsynligvis ikke vil i utgangspunktet gjøre det mulig Network Access Protection isolert modus. Hvis du gjør det, er det en god sjanse for at ingen av dine eksterne brukere vil kunne få tilgang til bedriftens nettverk. I stedet kan du først konfigurere Network Access Protection å bruke en overvåking bare politikk. Dette vil tillate deg å måle virkningen av dine nettverk tilgang politikk uten uhell hindre noen fra å være i stand til å gjøre jobben sin. Når du har alle The Kinks utdrevet du kan bytte politikken til isolasjon modus.
Som du sikkert allerede har gjettet, fungerer isolasjon modus ved å plassere eksterne datamaskiner som ikke er i samsvar med bedriftens sikkerhetspolitikk på et isolert nettverk segment unna ressurser på din produksjonsnettverk. Selvfølgelig er dette en generell uttalelse. Det er til syvende og sist opp til administratoren å styre hva en bruker med en ikke-kompatibel datamaskin kan faktisk få tilgang. Normalt en administrator vil gi brukere med ikke-kompatibel maskiner tilgang til et isolert nettverkssegment, som jeg vil snakke om mer i et øyeblikk. Administratoren har imidlertid muligheten til å begrense tilgang til en enkelt ressurs eller hindre tilgang til alle nettverksressurser.
Akkurat nå lurer du kanskje på hva fordelen er med å gi noncompliant datamaskiner tilgang til et isolert nettverk segment. Når en ikke-kompatibel datamaskin festes til nettverket, og Network Access Protection kjører i isolasjonsmodus, er ikke-kompatibel datamaskin karantene fra produksjonsnettverk. Normalt karantene varer for varigheten av brukerens tilkobling. Bare karantene en ikke-kompatibel maskin kan bidra til å forhindre virusinfeksjoner eller sikkerhetsbrudd på nettverket, men det gjør ikke den eksterne brukeren en hel masse bra. Tross alt, hvis brukeren ikke kan koble til ressurser i nettverket, kan de ikke gjøre jobben sin.
Dette er hvor isolert nettverk segment kommer inn i bildet. En administrator kan plassere helse oppdatere ressurser på den isolerte segmentet. Disse helse oppdatere ressurser er sikret servere hvis jobb det er å bringe ikke-kompatibel ekstern datamaskin til etterlevelse. De kan for eksempel installere sikkerhetsoppdateringer eller antivirus oppdateringer.
En ting som er viktig å merke seg er at Network Access Protection inneholder ingen mekanismer som er i stand til å verifisere en ekstern datamaskin helse eller bruke oppdateringer til en ekstern datamaskin. Dette vil være den jobben i System Helse Agenter og system helse validatorer. Ryktet har det at disse komponentene vil bli integrert i neste versjon av SMS Server.
Konklusjon
I denne artikkelen har jeg introduserte deg til Longhorn Server Network Access Protection funksjonen. I del 2 av denne serien, vil jeg begynne å gå deg gjennom selve konfigureringen.