Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection

Microsoft TechDayshttp://www.techdays.ru

Применение NAP для реализации политик здоровья и защиты доступа в гетерогенной среде Бешков АндрейЭкспертMicrosoft

[email protected]://blogs.technet.com/abeshkov/http://twitter.com/abeshkov

mailto:[email protected]

mailto:[email protected]

http://twitter.com/abeshkov


Содержание

Что такое NAP?Интеграция Forefront Client Security и NAPКак это работает?Метрики здоровья FCS Integration KitВосстановлениеNAP в гетерогенной среде


Зачем нужна эшелонированная оборона?

Будет ли это вашей единственной защитой?


Зачем нужна эшелонированная оборона?

Улучшенная технология не обязательно решает все проблемы. :(


Канонический подход к безопасности

Защитим периметр (межсетевой экран, VPN)Вынесем сервера в демилитаризованную зону (DMZ)Построим систему управления конфигурациями и изменениями (развертывание и обновления систем, антивирусы)Внедрим систему обнаружения вторжений (IDS)


И надеемся что все пойдет хорошо........


Реальное положение дел

20% инцидентов безопасности происходит по вине внешних злоумышленников

80% с участием внутренних сотрудников

Источник: Исследование Национального центра оценки угроз США (National Threats Assessment Center, NTAC) и координационного центра CERT при Университете Карнеги-Меллона. 2004 г.


Проблемы с внутренними пользователям

Излишние полномочияРедкие обновления (мобильные пользователи)Недостаточная грамотность в вопросах безопасностиНеподконтрольность гостевых и домашних рабочих мест


Пожар потушили! Кто виноват? Нет виновных??!!!!Трудно отслеживать исполнение политик и регламентов........и реагировать вовремя!!!!!

А еще лучше защищаться заранее !!!


Эшелонированная оборонаСтратегия безопасности при которой периметр состоит из нескольких защитных механизмов

Проникновение через один слой приводит к необходимости взламывать следующий


Эшелонированная оборонаПовышает вероятность обнаружения атаки

Замедляет атакующего и дает нам время для:

Анализа методов проникновения Перенастройки защитных системВнедрения новых методов противодействия


Интеграция NAP и Forefront Client Security


Цель интеграцииСоздать дополнительный слой защиты Воспользоваться механизмами Network Access Protection

Помочь защититься от нездоровых систем с антивирусом FCS на бортуПредоставить специальные политики NAP для клиентов с FCSСоздать механизмы карантина и принудительного восстановления для клиентов с FCS


Поддерживаемые ОСWindows Vista Business, Enterprise,Ultimate

Windows Server 2008 Standard, Enterprise

Windows XP Professional SP3 (x32)


Как это работает?MicrosoftUpdate

Настройки Отчеты

СобытияОбновления


Network Access ProtectionРешение позволяющее:

Проверять соответствие клиентов политикам здоровьяОграничивать доступ несоотствующих клиентовАвтоматически восстанавливать здоровье клиентовНепрерывно обновлять клиентов для поддержания состояния здоровья

Потребители

Партнеты

Удаленные сотрудники

Интранет

Интернет

Характеристики решения:Основано на открытых стандартахРаботает с большинством сетевых устройстПоддерживает множество антивирусных продуктовСтандарт де факто для продуктов категории Network Access Control


Network Access ProtectionКак это работает

Запрос доступа

Идентификация клиентской системы и отправка метрик здоровья в NPS (RADIUS)

NPS проверяет метрики на соответствие политикам

Если метрики здоровья не соответствуют политикам клиент отправляется в карантин с последующим автовосстановлением

Если метрики соответствуют политикам предоставляется доступ в корпоративную сеть

Microsoft NPS

Корпоративная сеть

Сторонние сервера политик

DCHP, VPN

КоммутаторМаршрутизат

ор

КарантинСервера

восстановления

Несовместим

Policy complian

t

1

3

4

5

1

3

4

5

2

2


Демонстрация NAP


Продукты Microsoft

Guidance

Developer Tools

Active Directory Federation Services

(ADFS)

IdentityManagement

Information Protection

Encrypting File System (EFS)BitLocker™

Network Access Protection (NAP)


Guidance

Developer Tools

Active Directory Federation Services

(ADFS)

IdentityManagement

Information Protection

Encrypting File System (EFS)BitLocker™

Network Access Protection (NAP)FCS/NAP integratio

n

Продукты Microsoft


Компоненты Network Access Protection

Сервер политик NPS

Сервер карантина (ES)Агент карантина (QA)

Обновления

Метрики здоровья

Запросы на доступ в сеть

Политики здоровья

Сертификаты здоровья

Коммутатор 802.1XPolicy Firewall

SSL VPN GatewayCertificate Server

FCSSHA

Windows SHA

FCS SHV

Windows SHV

Компоненты проверки здоровья:• System Health Agents (SHA’s)• System Health Validators

(SHV’s)

Компоненты принуждения:• Enforcement Clients

(EC’s)• Enforcement Servers

(ES’s)Windows Update Server

Клиенты(Vista/XP SP3)


Архитектура FCS NAP


FCS System Health Agent (SHA) выполняемые проверки

Имя проверки УсловияПродукт установлен и обновлен

• Проверяем бинарные файлы FCS

• Все обновления старше чем N дней установлены

Обновление баз • Все базы сигнатур FCS скачаны и установлены

Статус сервисов Запущены сервисы:

• FCSAM - Anti-malware

• FCSSSA - Security State Assessment

• MOM - Microsoft Operations Manager

• WUAUSERV - Windows Update Agent

Здоровье антивируса FCS • Проверяем

• Что защита от злонамеренного кода и вирусов включена.

• Может ли работать FCS.


Восстановление клиентских систем с помощью FCS SHA

Восстанавливающеее действие Требования

Обновить FCS • Запустить сканирование WUA• Скачать и установить

обновления антивируса

Установить обновления баз сигнатур антивируса

• Call mpcmdrun.exe /UPDATESIGNATURES

Включить сервисы • FCSAM - Anti-malware

• FCSSSA - Security State Assessment

• MOM - Microsoft Operations Manager

• WUAUSERV - Windows Update Agent

Проверка основных компонентов FCS

Если основные функции FCS отключены пользователь будет уведомлен и событие будет запротоколировано


Настраиваем NAP клиент


Настраиваем политики здоровья FCS










Настраиваем реакцию сервера на ошибки SHA и SHV


Интеграция NAP и Avenda USHA


Что умеет проверять и восстанавливать USHA

Порты и профили межсетевого экранаСервисы Антивирус Средства борьбы со зловредным и шпионским кодом Ключи и ветви реестра

Поддерживаемые ОС

Windows Vista Business, Enterprise,Ultimate Windows Server 2008 Standard, EnterpriseWindows XP Professional SP3


Как настраивать Avenda USHA


Интеграция NAP и Linux


Что умеет проверять и восстанавливать агент для Linux

Порты межсетевого экранаСервисы Антивирус

Поддерживаемые ОС

Redhat Enterprise Linux 5 и выше CentOS 5 и вышеFedora Core 6 и выше SUSE Linux 10.x


Как настраивать агент NAP для Linux


Демонстрация NAP и Linux


Демонстрация NAP агентов UNET



Дополнительные ресурсыДокументация:

http://technet.microsoft.com/ru-ru/network/bb545879(en-us).aspxhttp://www.microsoft.com/technet/network/nap/napfaq.mspx

Блог: http://blogs.technet.com/abeshkov/

http://technet.microsoft.com/ru-ru/network/bb545879(en-us).aspx

http://technet.microsoft.com/ru-ru/network/bb545879(en-us).aspx

http://www.microsoft.com/technet/network/nap/napfaq.mspx

http://www.microsoft.com/technet/network/nap/napfaq.mspx

http://blogs.technet.com/abeshkov/


Вопросы?

Documents

Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection