network access что это
Network access что это
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
NAC (Network Access Control) — комплекс технических средств и мер, обеспечивающий контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть, в частности на основе информации о его программном обеспечении.
Содержание
[править] Основные понятия
[править] Терминология NAC
Network Admission Control – термин, который употребляется как синоним NAC (Network Access Control). Этот термин применяется Cisco Systems для их решений в области NAC.
Политика контроля доступа –
Проверка устройства – проверка соответствия устройства политике контроля доступа.
Pre-connection проверка – проверка до предоставления устройству доступа в сеть.
Post-connection проверка – периодическая проверка после предоставления устройству доступа в сеть.
[править] Что такое NAC
NAC обеспечивает контроль за тем, к каким участкам сети и к каким приложениям получит доступ пользователь на основании:
Конкретные реализации NAC могут учитывать все эти критерии, часть из них, или учитывать какие-то дополнительные критерии.
Назначение правил контроля доступа специфических для конкретного пользователя, с учетом вышеперечисленных критериев, происходит как только он проходит все необходимые проверки (pre-connection). После применения правил контроля доступа происходят периодические повторные проверки соответствия политикам контроля доступа (post-connection).
Правила контроля доступа могут применяться с помощью:
В различных решениях NAC могут быть такие дополнительные возможности как, например, функциональность систем предотвращения вторжений.
В зависимости от того, какое решение NAC используется, правила ограничения и контроля доступа могут применяться на различных устройствах:
[править] Использование NAC
Решения обеспечивающие NAC сейчас очень популярны, однако за рекламой производителей не всегда понятно где и когда применять их решения и их реальные возможности.
[править] Архитектура решения Trusted Network Computing
[править] Архитектура решения HP ProCurve
[править] Архитектура решения Cisco Network Admission Control
[править] Архитектура решения Microsoft Network Access Protection
NAP не предназначен для защиты сети от умышленных атак. Он разработан для того чтобы помочь администраторам автоматически поддерживать состояние «здоровья» компьютеров в сети. Например, если на компьютере установлено всё программное обеспечение и необходимые настройки, которые требует политика «здоровья», то компьютер получает неограниченный доступ в сеть.
Платформа NAP требует серверной части Windows Server 2008 и клиентов Windows Vista, Windows Server 2008, или Windows XP Service Pack 3.
[править] Компоненты NAP
NAP это платформа которая предоставляет компоненты инфраструктуры и API для добавления компонент, которые проверяют и оценивают «здоровье» компьютера и применяют различные типы доступа к сети или коммуникации.
System Health Agents и System Health Validators
Компоненты инфраструктуры NAP, известные как system health agents (SHA) и system health validators (SHV), обеспечивают сбор информации о состоянии «здоровья» и её оценку. В Windows Vista и Windows XP Service Pack 3 есть Windows Security Health Validator SHA, который мониторит настройки Windows Security Center. В Windows Server 2008 есть соответствующий Windows Security Health Validator SHV. NAP позволяет организовать взаимодействие с программным обеспеченим любого производителя, который предоставит SHA и SHV, которые используют NAP API.
[править] Компоненты и методы внедрения
Компоненты NAP известны как клиенты применения (enforcement clients, EC) и сервера применения (enforcement servers, ES) требуют проверки состояния «здоровья» и применения ограниченного доступа к сети к клиентам, которые не соответствуют требованиям.
Windows Vista, Windows XP Service Pack 3 и Windows Server 2008 поддерживают такие типы доступа для внедрения NAP:
Эти типы доступа или коммуникаций известны также как методы применения NAP. Администраторы могут использовать их отдельно или вместе для ограничения доступа клиентам, которые не соответствуют требованиям политик контроля доступа.
Network Policy Server (NPS) в Windows Server 2008 работает как сервер политик здоровья (health policy server) для всех методов применения NAP.
[править] IPsec
В методе применения IPsec, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы инициировать коммуникации с другими «здоровыми» компьютерами. Так как этот метод использует протокол IPsec, то администратор может определить требования для защищенных коммуникаций на основе адресов или портов.
Метод применения IPsec определяет коммуникации между «здоровыми» компьютерами после того как они успешно подключились к сети и получили насройки IP. Это самый безопасный метод в архитектуре NAP.
Компоненты метода применения IPsec состоят из Health Registration Authority (HRA) на Windows Server 2008 и IPsec Relying Party EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008.
HRA выдает X.509 сертификаты для клиентов NAP после того как они доказали свое соответствие политикам контроля доступа. Затем эти сертификаты используются для аутентификации между клиентами NAP, когда они инициируют IPsec-соединение с другими клиентами NAP в локальной сети.
[править] 802.1X
В методе применения 802.1X, компьютер должен соответствовать требованиям политики контроля доступа, для того чтобы получить неограниченный доступ в сеть через аутентификатора (коммутатор или точку доступа). Для «нездоровых» компьютеров доступ к сети ограничивается с помощью ограниченного профайла доступа, который применяется на коммутаторе или точке доступа.
В профайле может содержаться ACL, который будет применен или VLAN, в который будет помещен компьютер. Требования политики доступа применяются каждый раз, когда компьютер пытается получить доступ к сети через устройство 802.1X. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к нему применяется профайл ограниченного доступа.
[править] VPN
В методе применения VPN, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы получить неограниченный доступ через удаленное соединение VPN.
Для компьютеров, которые не прошли проверку доступ в сеть ограничен с помощью применения ACL к соединениям на VPN-сервере. Требования политики доступа применяются каждый раз, когда компьютер пытается получить удаленный доступ к сети через VPN-сервер. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к его VPN-соединению применяется ACL для ограничения доступа.
[править] DHCP Enforcement
В методе применения DHCP, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы получить IPv4 настройки с неограниченным доступом от DHCP-сервера.
Для компьютеров, которые не прошли проверку, доступ в сеть ограничен с помощью применения настроек IPv4, которые разрешают доступ только к ограниченной части сети.
Требования политики доступа применяются каждый раз, когда компьютер пытается получить или обновить настройки IPv4. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то его IPv4 настройки обновляются для того чтобы клиент получил доступ в ограниченную сеть.
Так как DHCP-метод основан на выдаче ограниченной IPv4 конфигурации, которая может быть переписана пользователем с правами администратора, то это самый слабый метод внедрения в NAP.
[править] Другие решения NAC
[править] Дополнительная информация
[править] Standard-based NAC
[править] Cisco NAC
[править] Juniper Unified Access Control (UAC)
Unified Access Control (англ.) Описание технологии и продуктов, ее реализующих.
[править] Microsoft Network Access Protection (NAP)
В Windows Server 2008 появился новый сервер — Network Policy Sever, который пришёл на замену Internet Authentication Server (IAS). Одна из причин, почему его можно использовать — поддержка Network Access Protection (NAP).
Network Access Protection – безопасная работа в сети c Windows Server 2008
С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть.
MCSE+Security, MCDBA, CCNP
Глобальная сеть Интернет таит в себе много угроз для пользователей: вирусы, черви, троянские кони… Все эти угрозы хорошо знакомы каждому системному администратору. Многие считают, что для борьбы с ними достаточно межсетевого экрана, корпоративного антивируса и своевременной установки обновлений. Однако жизнь показывает, что таких мер не всегда достаточно. Приведем несколько примеров. Во многих организациях для проникновения в корпоративную сеть достаточно просто подключиться к любой свободной сетевой розетке. И злоумышленник тут же получит IP адрес по DHCP и сможет без труда просканировать сеть на предмет наличия доступных ресурсов. Может он и не сможет сразу завладеть учетной записью доменного администратора, но зачастую этого и не требуется.
Другой пример, более близкий к реальности. Сотрудник возвращается из командировки со своим ноутбуком. Естественно антивирусные базы не обновлялись и критические обновления не устанавливались. Как водится, на ноутбуке у пользователя были права локального администратора (а что, у вас в организации не так?!) в связи с чем за время командировки лэптоп превращается в настоящий “зверинец”, содержащий вредоносное ПО всех мастей. Когда, с такого ноутбука пользователь заходит в локальную сеть, вредоносное ПО начнет пытаться размножаться, что может привести к весьма неприятным последствиям.
Основной вывод, который можно сделать из приведенных примеров это то, что необходимо отслеживать каждую подключающуюся в сеть машину на предмет “благонадежности”. Многие разработчики выпустили свои решения, позволяющие решить данную проблему. Наиболее известным является Cisco Network Admission Control от корпорации Cisco. Мне приходилось внедрять Cisco NAC L2 вместе с антивирусом от Trend Micro. Однако, данное решение обладает рядом недостатков, что усложняет его внедрение.
Вот мы наконец и подошли к теме сегодняшней статьи, а именно к описанию технологии Network Access Protection, представленной в Microsoft Server 2008 и Windows Vista. Вообще, Windows Server 2008 Longhorn (уже прозванный в народе “длиннорогим”) обладает целым рядом нововведений, в том числе и связанных с безопасностью, некоторые из которых, возможно, станут темами последующих статей. Но сегодня мы обсудим технологию NPS, впервые появившуюся в качестве серверного решения именно в Windows Server 2008.
Технология NAP позволяет ограничить доступ к сети, разрешая его только хостам, удовлетворяющим требованиям безопасности. С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть. Компьютерам, не удовлетворяющим этим требованиям можно, к примеру, разрешить доступ только в карантинную зону, где они смогут установить необходимые обновления, или же запретить доступ совсем.
Что же представляет из себя Network Access Protection, из каких компонент состоит и как работает? Основным элементом, осуществляющим проверку хоста является Network Policy Server (NPS), служба, входящая в состав Windows Server 2008. NPS является RADIUS сервером, и пришел на смену Internet Autentification Server (IAS), входившему в состав Windows Server 2003. NPS осуществляет аутентификацию и авторизацию попытки сетевого подключения, основываясь на политиках безопасности, определяет, можно ли хосту подключиться к сети. В качестве примера, я продемонстрирую установку и настройку сервера Network Policy Server и соответствующих политик. Для простоты будем считать, что у вас уже установлен Windows Server 2008. В окне Add Roles Wizard, которое как и версии 2003 появляется после загрузки системы, выбираем Network Policy and Access Service.
На следующем шаге определяемся с компонентами, которые нам необходимо установить. В данном случае, нас интересует только Network Policy Server.
Подтверждаем выбранные опции и запускаем процесс установки.
Как видно все довольно просто. Теперь откроем консоль настройки установленного приложения. Делается это как и в прежних версиях Windows, из раздела Administrative Tools. Консоль администрирования NPS после установки выглядит так
Теперь необходимо настроить политики Запроса соединения (Connection Request Policies). Данные политики определяют набор правил, которые использует NPS для проверки попыток соединений. В качестве примера, настроим одну из таких политик.
Для этого необходимо в консоли администрирования NPS выбрать Policies, и далее Health Policies.
Политики состояния системы (Health Policies) позволяют определить требования к состоянию системы с помощью System Health Validators (SHV), так называемых маркеров, которые сообщают NPS о состоянии системы машины, запрашивающей подключение (NAP клиента). Вот пример health policy.
Маркер SHV может иметь следующее состояния:
Client passes all SHV checks – проверки всех маркеров прошли успешно. В таком случае, как правило, пользователь получает полный доступ к сети (естественно в рамках своих полномочий)
Client fails all SHV checks – не одна проверка не пройдена. Как правило, таких пользователей лучше не пускать в сеть вообще.
Client passes one or more SHV checks – клиент прошел одну или несколько проверок. Здесь все определяет то, какие проверки прошел пользователь. Как правило, в такой ситуации лучше всего разрешить доступ только в карантинную сеть, где он сможет установить недостающие обновления и патчи.
Client fails one or more SHV checks – клиент не прошел одну или несколько проверок. Случай аналогичный предыдущему. Разница лишь в том, что для вас приоритетней.
Client reported as transitional by one or more SHV’s – транзитный маркер возвращается, когда машина только подключилась к сети, и состояние SHV еще не определено.
Client reported as infected by one or more SHV’s – состояние Infected. Антивирусные продукты, интегрированные с NAP могут возвращать такое состояние SHV.
Client reported as unknown by one or more SHV’s – состояние неизвестен обычно бывает на тех машинах, которые несовместимы, либо на них не установлен клиент NAP. Понятно что такие машины тоже лучше в сеть не пускать.
Далее необходимо определить, политики, определяющие критерии, по которым определяется состояние клиента, а также действия NPS. Для этого в разделе Network Access Protection выбираем System Health Validators.
В первом окне определяются различные состояния SHV. В окне Configure определяются более подробные настройки.
Как видно, мы можем определить различные параметры, которым должна соответствовать каждая машина, пытающаяся подключиться к нашей сети. Обратите внимание на то, что политики для Windows Vista и для Windows XP немного различаются.
Для настройки действий, которые производятся в случае соответствия SHV той или иной политике необходимо открыть консоль Network Policies, далее в NAP Enforcement, в закладке Settings определяем Network Policy.
В этом разделе можно определить различные действия, которые применяются к рабочим станциям, соответствующим тем или иным состояниям SHV. В частности, можно определить политики, позволяющие доступ в сеть только в определенные промежутки времени, или ограничить доступ только определенными ресурсами.
Как все это работает
Теперь, когда я описал настройку всех основных компонент NAP, необходимо пояснить, как все это работает. Клиентская машина, на которой установлена Windows XP+SP2 или Vista пытается установить соединение. Это выражается в RADIUS Access- Request запросе к серверу NPS. Сервер NPS сравнивает содержимое Access-request сообщения с политиками, которые мы определили при настройке Health Policy. В зависимости от того, соответствует или нет данная информация политикам, NPS применяет к пользовательской станции то или иное действие, определенное в network Policy. Далее служба NPS отправляет RADIUSAccess-Accept сообщение с информацией об уровне доступа пользователя.
Описанный выше процесс работы компонент NAP несколько упрощен, потому что углубляться в технические подробности нет смысла, так как многое определяется конкретной реализацией некоторых компонент системы.
У многих может возникнуть вполне резонный вопрос: что произойдет, если в сеть попытается подключиться рабочая станция с операционной системой неподдерживаемой NAP, к примеру с Linux? Ответ прост: NPS не сможет получить от такой машины маркер SHV, соответственно, к ней должна быть применена политика для состояния Unknown и при правильной настройке политик NPS, такая машина не должна получить доступ в сеть.
Фактически настройка основных компонент NAC завершена. Конечно, некоторые рутинные моменты остались за рамками данной статьи. Тем читателям, кого заинтересовала тема данной статьи и интересуют моменты практической реализации, я рекомендую выполнить следующие лабораторные работы:
Network access как оптимизировать
С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть.
MCSE+Security, MCDBA, CCNP
Глобальная сеть Интернет таит в себе много угроз для пользователей: вирусы, черви, троянские кони… Все эти угрозы хорошо знакомы каждому системному администратору. Многие считают, что для борьбы с ними достаточно межсетевого экрана, корпоративного антивируса и своевременной установки обновлений. Однако жизнь показывает, что таких мер не всегда достаточно. Приведем несколько примеров. Во многих организациях для проникновения в корпоративную сеть достаточно просто подключиться к любой свободной сетевой розетке. И злоумышленник тут же получит IP адрес по DHCP и сможет без труда просканировать сеть на предмет наличия доступных ресурсов. Может он и не сможет сразу завладеть учетной записью доменного администратора, но зачастую этого и не требуется.
Другой пример, более близкий к реальности. Сотрудник возвращается из командировки со своим ноутбуком. Естественно антивирусные базы не обновлялись и критические обновления не устанавливались. Как водится, на ноутбуке у пользователя были права локального администратора (а что, у вас в организации не так?!) в связи с чем за время командировки лэптоп превращается в настоящий “зверинец”, содержащий вредоносное ПО всех мастей. Когда, с такого ноутбука пользователь заходит в локальную сеть, вредоносное ПО начнет пытаться размножаться, что может привести к весьма неприятным последствиям.
Основной вывод, который можно сделать из приведенных примеров это то, что необходимо отслеживать каждую подключающуюся в сеть машину на предмет “благонадежности”. Многие разработчики выпустили свои решения, позволяющие решить данную проблему. Наиболее известным является Cisco Network Admission Control от корпорации Cisco. Мне приходилось внедрять Cisco NAC L2 вместе с антивирусом от Trend Micro. Однако, данное решение обладает рядом недостатков, что усложняет его внедрение.
Вот мы наконец и подошли к теме сегодняшней статьи, а именно к описанию технологии Network Access Protection, представленной в Microsoft Server 2008 и Windows Vista. Вообще, Windows Server 2008 Longhorn (уже прозванный в народе “длиннорогим”) обладает целым рядом нововведений, в том числе и связанных с безопасностью, некоторые из которых, возможно, станут темами последующих статей. Но сегодня мы обсудим технологию NPS, впервые появившуюся в качестве серверного решения именно в Windows Server 2008.
Технология NAP позволяет ограничить доступ к сети, разрешая его только хостам, удовлетворяющим требованиям безопасности. С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть. Компьютерам, не удовлетворяющим этим требованиям можно, к примеру, разрешить доступ только в карантинную зону, где они смогут установить необходимые обновления, или же запретить доступ совсем.
Что же представляет из себя Network Access Protection, из каких компонент состоит и как работает? Основным элементом, осуществляющим проверку хоста является Network Policy Server (NPS), служба, входящая в состав Windows Server 2008. NPS является RADIUS сервером, и пришел на смену Internet Autentification Server (IAS), входившему в состав Windows Server 2003. NPS осуществляет аутентификацию и авторизацию попытки сетевого подключения, основываясь на политиках безопасности, определяет, можно ли хосту подключиться к сети. В качестве примера, я продемонстрирую установку и настройку сервера Network Policy Server и соответствующих политик. Для простоты будем считать, что у вас уже установлен Windows Server 2008. В окне Add Roles Wizard, которое как и версии 2003 появляется после загрузки системы, выбираем Network Policy and Access Service.
На следующем шаге определяемся с компонентами, которые нам необходимо установить. В данном случае, нас интересует только Network Policy Server.
Подтверждаем выбранные опции и запускаем процесс установки.
Как видно все довольно просто. Теперь откроем консоль настройки установленного приложения. Делается это как и в прежних версиях Windows, из раздела Administrative Tools. Консоль администрирования NPS после установки выглядит так
Теперь необходимо настроить политики Запроса соединения (Connection Request Policies). Данные политики определяют набор правил, которые использует NPS для проверки попыток соединений. В качестве примера, настроим одну из таких политик.
Для этого необходимо в консоли администрирования NPS выбрать Policies, и далее Health Policies.
Политики состояния системы (Health Policies) позволяют определить требования к состоянию системы с помощью System Health Validators (SHV), так называемых маркеров, которые сообщают NPS о состоянии системы машины, запрашивающей подключение (NAP клиента). Вот пример health policy.
Маркер SHV может иметь следующее состояния:
Client passes all SHV checks – проверки всех маркеров прошли успешно. В таком случае, как правило, пользователь получает полный доступ к сети (естественно в рамках своих полномочий)
Client fails all SHV checks – не одна проверка не пройдена. Как правило, таких пользователей лучше не пускать в сеть вообще.
Client passes one or more SHV checks – клиент прошел одну или несколько проверок. Здесь все определяет то, какие проверки прошел пользователь. Как правило, в такой ситуации лучше всего разрешить доступ только в карантинную сеть, где он сможет установить недостающие обновления и патчи.
Client fails one or more SHV checks – клиент не прошел одну или несколько проверок. Случай аналогичный предыдущему. Разница лишь в том, что для вас приоритетней.
Client reported as transitional by one or more SHV’s – транзитный маркер возвращается, когда машина только подключилась к сети, и состояние SHV еще не определено.
Client reported as infected by one or more SHV’s – состояние Infected. Антивирусные продукты, интегрированные с NAP могут возвращать такое состояние SHV.
Client reported as unknown by one or more SHV’s – состояние неизвестен обычно бывает на тех машинах, которые несовместимы, либо на них не установлен клиент NAP. Понятно что такие машины тоже лучше в сеть не пускать.
Далее необходимо определить, политики, определяющие критерии, по которым определяется состояние клиента, а также действия NPS. Для этого в разделе Network Access Protection выбираем System Health Validators.
В первом окне определяются различные состояния SHV. В окне Configure определяются более подробные настройки.
Как видно, мы можем определить различные параметры, которым должна соответствовать каждая машина, пытающаяся подключиться к нашей сети. Обратите внимание на то, что политики для Windows Vista и для Windows XP немного различаются.
Для настройки действий, которые производятся в случае соответствия SHV той или иной политике необходимо открыть консоль Network Policies, далее в NAP Enforcement, в закладке Settings определяем Network Policy.
В этом разделе можно определить различные действия, которые применяются к рабочим станциям, соответствующим тем или иным состояниям SHV. В частности, можно определить политики, позволяющие доступ в сеть только в определенные промежутки времени, или ограничить доступ только определенными ресурсами.
Как все это работает
Теперь, когда я описал настройку всех основных компонент NAP, необходимо пояснить, как все это работает. Клиентская машина, на которой установлена Windows XP+SP2 или Vista пытается установить соединение. Это выражается в RADIUS Access- Request запросе к серверу NPS. Сервер NPS сравнивает содержимое Access-request сообщения с политиками, которые мы определили при настройке Health Policy. В зависимости от того, соответствует или нет данная информация политикам, NPS применяет к пользовательской станции то или иное действие, определенное в network Policy. Далее служба NPS отправляет RADIUSAccess-Accept сообщение с информацией об уровне доступа пользователя.
Описанный выше процесс работы компонент NAP несколько упрощен, потому что углубляться в технические подробности нет смысла, так как многое определяется конкретной реализацией некоторых компонент системы.
У многих может возникнуть вполне резонный вопрос: что произойдет, если в сеть попытается подключиться рабочая станция с операционной системой неподдерживаемой NAP, к примеру с Linux? Ответ прост: NPS не сможет получить от такой машины маркер SHV, соответственно, к ней должна быть применена политика для состояния Unknown и при правильной настройке политик NPS, такая машина не должна получить доступ в сеть.
Фактически настройка основных компонент NAC завершена. Конечно, некоторые рутинные моменты остались за рамками данной статьи. Тем читателям, кого заинтересовала тема данной статьи и интересуют моменты практической реализации, я рекомендую выполнить следующие лабораторные работы:
Подписывайтесь на каналы «SecurityLab» в Telegram и
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Автор статьи Рик Вановер сделал подробный обзор конфигурации сервера Windows Server 2008 при установке технологии разграничения сетевого доступа Network Access Protection компании Microsoft, версии TechRepublic. Настройка различных компонентов и последовательности передачи данных при выполнении программы MS-NAP требует тщательного изучения и четкого понимания. Данный текст поможет вам как следует разобраться во всех этих моментах.
Технология MS-NAP, в отличие от других платформ Microsoft, не похожа на Exchange, SQL или IIS, а, скорее, представляет собой набор компонентов, стратегий и сервисов. Принципиальное отличие этой программы в том, что она не может работать как единое сервисное решение. Выполнение задач распределено среди целого ряда систем. А, к примеру, небольшая по размеру программа Exchange может объединить все компоненты на одном компьютере.
В целом, для выполнения всех компонентов, предусмотренных разработчиками, технологии MS-NAP требуется как минимум два сервера. В программе имеется несколько основных элементов, обеспечивающих корректное исполнение. Далее, существует четыре механизма или метода применения защиты доступа к сети, с которыми работает MS-NAP. Это DHCP, VPN, IPSec и 802.1X. Эти компоненты позволяют согласовать условия ограничения и структуру сети, необходимые пользователю. В данной статье мы рассмотрим, что необходимо для надлежащей работы MS-NAP.
Лучшие примеры по настройке серверных программ MS-NAP
Вид серверной СУБД MS-NAP зависит от ключевых компонентов в существующей структуре сети, включая службу каталогов Active Directory (AD). Неверная настройка этих компонентов не приведет ни к чему хорошему. См. ниже лучшие практические примеры по настройке MS-NAP:
Политики программного обеспечения и сети: Прежде всего, следует решать не технические вопросы, а определить какие функциональные возможности вы бы хотели получить от MS-NAP. Лишь после этого можно перейти к техническим вопросам: определяемся с выбором пакетов обновлений, антивирусных программ, необходимостью использования протоколов IPSec, а также другими сторонними поставщиками, которым будет разрешен доступ в сеть. Затем определяемся с компонентами работоспособности системы: серверами исправления, запретами доступа и прочими параметрами.
Домен службы каталогов Active Directory: Эта часть структуры интерфейса должна иметь очень четкую организацию, чтобы пользователи без проблем могли получить доступ к заданным ресурсам. Постарайтесь не попасть в ловушку, назначив неограниченное право доступа при попытке заставить систему работать. Структура сети определяет набор функций MS-NAP, отвечающих за различные задачи. Требование к операционным системам: начиная с Windows Server 2003 и выше.
Доступ к виртуальным частным сетям (VPN): При использовании механизма защиты доступа к виртуальным частным сетям VPN Enforcement, важен выбор VPN для корректной работы MS-NAP. Технология обеспечивает надежную защиту внутренней сети на базе инфраструктуры внешней сети (Интернет).
Сетевое оборудование: Убедитесь, что ваше оборудование поддерживает протокол 802.1X, особенно при наличии клиентов беспроводной сети или компонентов ограничения 802.1X EC.
Протокол сети DHCP: Сеть DHCP важна для работы MS-NAP, поскольку здесь есть параметры «scope options», которые в случае несовместимости с требованиями политики работоспособности MS-NAP определяют тип необходимых исправлений.
Конфигурация MS-NAP на сервере Windows Server 2008: сервер DHCP
Сейчас мы перейдем к конкретному примеру конфигурации для операционной системы Windows Server 2008 Beta 3 (ранее известной под названием Longhorn). Настроим сервер DHCP, чтобы ввести в действие политику работоспособности NAP. Политика работоспособности зависит от параметров совместимости:
• Неограниченный доступ к серверу, определяемый политикой работоспособности
• Ограниченный доступ прямых несовместимых систем, выявленных сервером исправления
• Отказ в доступе для систем, которые абсолютно несовместимы
В данном примере речь не идет об определенных областях применения и требованиях, необходимых для доступа в сеть. Однако в реальных ситуациях без предварительного планирования желаемого набора функций в работе MS-NAP не обойтись. Эти настройки, подчеркиваю, обеспечат автоматическое обновление компьютеров, не соответствующих требованиям политики работоспособности, необходимых для доступа к сеть. Ниже приводится пример настройки сети с помощью серии TechRepublic приложения MS-NAP:
Во-первых, при настройке MS-NAP необходимо задать требования к работоспособности системы на сервере Network Policy and Access Services (NPS) операционной системы WS2K8. Эти компоненты являются отправной точкой при запуске системы MS-NAP. С помощью подсказки Add Server Role (добавить компонент сервера), выберите компонент NPS, как показано на рисунке A и нажмите кнопку Continue (продолжить).
Выберите сервер политики сети Network Policy, компонент работоспособности Health Registration Authority и элемент Host Credential Authorization Protocol. Возможно, придется добавить информационный сервер Интернет IIS, если это будет необходимо для запуска выше обозначенных компонентов. В нашем примере все компоненты сервера работают в автономном режиме, поскольку установлена сертифицированная версия WS2K8.
После этого вам необходимо определить, возможен ли сертифицированный сетевой доступ только для клиентов, внесенный в доменный список. Это не чисто технический вопрос, а важный момент с точки зрения политики работоспособности. В нашем примере доступ предоставляется только участникам активного каталога доменных имен. Процесс добавления базовых компонентов достаточно понятный, после выполнения устанавливается консоль Network Policy Server (NPS.MSC). Пример незаполненной консоли виден на рис.B.
Элементы конфигурации MS-NAP определяются компонентом работоспособности System Health Validator. В нашем примере, мы настроим устройство оценки работоспособности, требующее запуска антивирусной программы и обновления системы с целью соответствия политике работоспособности. Пример на рис. C.
Конфигурация компонента System Health Validator определит характер политики работоспособности MS-NAP. Проверка несоответствующих систем будет осуществляться посредством запуска антивирусных приложений на сервере WS2K3-DEV. Это сервер исправления Remediation server. На консоли NPS мы выберем сервер WS2K3-DEV в качестве сервера для группы «RG-NonCompliant-NoAV», как показано на рис.D.
Сервер исправления важен для эффективной работы всех компонентов MS-NAP. Он позволяет несовместимым политике работоспособности системам заходить на обозначенные хосты (в нашем примере WS2K3-DEV). Доступ ко всем остальным компьютерным системам, обозначенным в активном каталоге, будет запрещен. Однако, если данный сегмент позволяет доступ к системам, отличным от системы Windows, клиент, несовместимый с политикой работоспособности MS-NAP, может иметь доступ к данным системам через систему протоколов TCP/IP, в соответствии с настроенными параметрами. Во время пробного запуска рекомендуется тщательное тестирование на предмет обнаружения подобных проблем.
Затем необходимо задать в Windows настройки по управлению совместимыми и несовместимыми системными компонентами на серверах работоспособности системы System Health Servers. Нужно настроить конфигурации Windows для использования параметров политики Security Health Validator, которые мы ранее определили для систем, соответствующих или не соответствующих определенным критериям (PASS и FAIL), установив в системе антивирусную программу, как показано на рис.E.
Задав параметры политики по управлению совместимыми и несовместимыми системами, мы можем перейти к распределению клиентов сети по двум параметрам политики (PASS и FAIL), которые мы уже создали ранее. Политика PASS подразумевает право полного доступа, а политика FAIL означает, что системы будут доступны компонентам работоспособности для установки антивирусных программ. В MS-NAP есть хорошие подсказки по настройке параметров политики работоспособности. На рис. F показан пример установки параметров полного доступа, как часть политики PASS сети.
После того как мы установили параметры политики работоспособности для ключевых компонентов NPS, необходимо задать конфигурацию сервера DHCP, чтобы MS-NAP работал на всех активных компьютерах. Настройка сервера DHCP показана на рис.G.
Необходимо также задать с помощью DHCP класс несовместимых пользователей, которые будут проверяться серверами исправления. Все доменные имена этого класса и доменное имя remeditation.ws2k3dev.local добавятся на сервер исправления. Сервис DHCP для Windows Server 2008 прописывает этот класс как «Default Network Access Protection Class», таким образом, политика работоспособности MS-NAP может применяться на различных рабочих станциях с помощью протоколов DHCP. На рис. H показан пример настройки классов.
На этой стадии, протокол DHCP на сервере WS2K8 установлен с целью запуска MS-NAP, и ни один клиент, пытающийся получить IP-адрес, не сможет этого сделать, пока не будет подходить под определенные параметры конфигурации (они не запускаются с помощью неверных установок в операционной системе Windows Vista Enterprise):
Пользователи операционной системы Windows XP могут получать обновления MS-NAP, установив сервисный пакет Service Pack 3. Пользователи систем Windows 2000, NT, а также систем, отличных от Windows, не смогут восстанавливать адреса, используя настройки MS-NAP.
Просьба не применять все выше изложенные настройки на практике, так как большинство пользователей DHCP в таком случае не смогут получить IP-адрес (независимо от того, настроена ли для них политика PASS или FAIL). Машины, на которых не установлены компоненты NAP, не смогут получить адрес.
Дополнительные ресурсы MS-NAP
Этот пример является кратким обзором по настройке серверной СУБД MS-NAP в операционной системе Windows Server 2008. Несмотря на то, что Windows Server 2008 выпущена в бета-версии, пользователям доступно большое количество ресурсов, включая дополнительные примеры конфигураций MS-NAP, а также подробная техническая информация по важнейшим параметрам распознавания и требованиям трафика сети.
Для оптимизации быстродействия базы данных рабочего стола Microsoft Access вы можете воспользоваться средством анализа быстродействия. Средство анализа быстродействия недоступно в проектах и Access и приложениях Access Web App. Оно проверяет структуру базы данных и содержащиеся в ней данные, а затем выносит предложения по улучшению производительности и предотвращению ошибок.
Вы можете анализировать отдельные объекты баз данных (например, проверить таблицу, добавляемую в уже оптимизированную базу данных) или выбрать все объекты для полного анализа базы.
Запуск средства анализа быстродействия
Откройте базу данных Access, которую хотите оптимизировать.
На вкладке Работа с базами данных в группа Анализ нажмите кнопку Анализ быстродействия.
Откроется окно «Анализ быстродействия».
В окне «Анализ быстродействия» откройте вкладку, соответствующую типу объекта базы данных, который вы хотите оптимизировать. Чтобы посмотреть список всех объектов базы данных, откройте вкладку Все типы объектов.
Выберите имена объектов базы данных, которые вы хотите оптимизировать. Чтобы выбрать все объекты базы данных в списке, нажмите кнопку Выделить все.
Повторяйте шаги 3 и 4, пока не выберете все объекты, которые хотите оптимизировать. После этого нажмите кнопку ОК, чтобы начать анализ.
Примечание: Средство анализа быстродействия не выносит предложений по улучшению производительности самого приложения Microsoft Access, а также системы, в которой оно запущено.
Использование результатов
В средстве анализа быстродействия можно получить результаты трех типов: Совет, Предложение и Мысль.
При выборе элемента в списке Результаты анализа в поле Примечания под ним отображаются сведения о предлагаемых мерах оптимизации.
На вкладке Совет отображаются прямые улучшения, для которых вам не потребуется принимать серьезных решений. Действия типа Совет можно выполнить в Access автоматически.
На вкладке Предложение доступны действия, для выполнения которых вам придется принять определенные решения. Чтобы увидеть описание необходимых решений, щелкните Предложение в списке и ознакомьтесь со сведениями в поле Примечания. Действия типа Предложение можно выполнить в Access автоматически.
Действия типа Мысль следует выполнить самостоятельно. Для этого выберите необходимый пункт в списке и следуйте инструкциям в поле Примечания.
Автоматическая оптимизация в Access
Выберите одно или несколько действий типа Совет или Предложение, которые хотите выполнить. Для выполнения всех действий по оптимизации из списка нажмите кнопку Выделить все.
Нажмите кнопку Оптимизировать.
Средство анализа быстродействия выполнит действия по оптимизации и пометит их как Исправлено.
При необходимости повторяйте действия, пока средство анализа быстродействия не учтет все необходимые советы и предложения.