Compartir a través de


Geek de todos los cambia Control de acceso de red con el cumplimiento de DHCP

Greg Shields

Contenido

Los objetivos para una NAP
Implementación NAP DHCP para exigir las actualizaciones WSUS

Los usuarios darn están obteniendo más inteligente todo el tiempo. Ha averiguado cómo desactivar los servidores de seguridad, siempre en nastiest de redes de café de planta. Mantener sus equipos portátiles fuera de la oficina durante el ciclo de revisión mensual, porque creen que sus revisiones provocó su última pantalla azul. Incluso deshabilitar utilidades antivirus y anti spyware en la sugerencia slightest de una ralentización del rendimiento. Los usuarios siga estos pasos porque creen que es ayudar a sí mismos, cuando en realidad está perjudicando la seguridad de red de su empresa.

Un equipo revisado y configurado correctamente es un equipo en buen estado, pero mantener esos equipos en buen estado es un problema. Si sólo había una forma se puede imponer las directivas de seguridad. Cumplimiento garantiza que los equipos de escritorio y portátiles tienen la configuración servidor de seguridad correcta. Cumplimiento asegura que equipos que carecen de las revisiones correcta no acceso a la red. Cumplimiento significa que no esté ejecutando antivirus o antimalware significa no conectarse a la LAN puro.

Ese tipo de aplicación de directivas de seguridad está disponible actualmente con protección de acceso A redes (NAP). NAP es un componente que llega con directiva de red de Windows Server 2008 y servicios de acceso. Utiliza servicios en servidores y clientes para comprobar con regularidad el estado de cumplimiento de un cliente sus directivas de seguridad. Si los clientes que no están configurados correctamente, NAP puede restringir automáticamente su acceso a la red hasta que están remediadas. Aún mejor, NAP puede solucionar automáticamente los clientes incorrectos, forzarlos que tienen configuraciones incorrectas en línea con las directivas de seguridad establecidas.

NAP es una herramienta eficaz que se considera una solución mejor en clase por analistas independientes como Forrester, que coloca NAP en el cuadrante superior derecha "relleno". Es una solución rentable, debido a que implementar NAP en su red hoy en día no requiere ningún software adicional de compra ya que es una parte de la inversión de Windows y Active Directory. Funcionalidad de NAP ya está disponible con todas las ediciones de Windows Server 2008. Está diseñado para enorme escalabilidad y es capaz de admitir las grandes empresas con complejas necesidades y puntuaciones de clientes.

Pero si NAP es tan buena, ¿por qué no varios entornos pequeños aprovechar lo? Es probable que muchos jack-of-all-trades administradores que bien no son conscientes de lo puede hacer, o se coloca fuera por su complejidad aparente. Eso es comprensible. Si lea la documentación de NAP, se podría colapsados por todas las partes móviles necesarias para sus mecanismos diferentes para exigir configuraciones de seguridad. IPSec, 802.1X x, VPN y TS Web Access son todos los mecanismos de cumplimiento de NAP que requieren componentes adicionales que quizá no tenga en el entorno de hoy en día. Sin embargo, es probable que ya tiene lo que necesita implementar su cumplimiento basado en DHCP.

Pero es ese mecanismo cumplimiento de la DHCP del fáciles de instalar y fáciles de usar que desea mostrar, en la columna de este mes. Aunque cada uno de los otros son hay que reconocer que más eficaces en cómo garantizar las configuraciones de cliente, cada uno también requiere tecnologías de más complejo, como las infraestructuras de servicios de certificados, o conocimiento profundo de dispositivos de red para implementar correctamente.

Vamos a iniciar pequeño y funcionan nuestro modo hacia arriba.

Los objetivos para una NAP

Antes de que obtenemos el clic en Haga clic en, consideremos algunos de los objetivos que probablemente tenga para proteger la red. Desea asegurarse de que los equipos se actualicen con las revisiones correcta. Desea que los equipos de carretera portátiles para obtener la configuración de seguridad correctos cuando devuelva. Y ciertamente, necesitará para defenderse contra los equipos de rogue conectar a la red e infectar los servidores y estaciones de trabajo.

Si todos estos objetivos se cumplen, si los equipos están correctamente revisarse y tienen el servidor correcto y configuración de protección contra software malintencionado, por lo general puede pensar en los equipos que buen estado. Buen estados de los equipos tienden a tener las protecciones de derecha de permanezcan en buen estado, y probablemente no propagación malware alrededor de la red.

Trabajo de NAP es supervisar y aplicar el estado de los equipos de la red. Cuando un equipo se conecta en, NAP pide la pregunta, "está buen estado?" Si el equipo responde en el affirmative, NAP concede dicho acceso total de equipo a la red. Si el cliente no puede responder o respuestas de los negativos, está en su lugar reasignado a una red de corrección especial. Allí, los recursos sólo disponibles en el equipo son necesarios para realizar en buen estado de nuevo los: un servidor de Windows Server Update Services (WSUS) para aplicar revisiones, un servidor antivirus para descargar los archivos de firmas más recientes, y así sucesivamente. NAP puede ver también los equipos de la red, reconocer cuando su estado se degrada y corríjalos rápidamente cuando lo hace.

Los mecanismos de cumplimiento de NAP están relacionados con las formas en la que los equipos tener acceso a la red. Equipos conectarse a los puntos de acceso inalámbrico para una conexión física o conmutadores de red x capaz de 802.1X. A continuación, solicitar una dirección desde el servidor DHCP. Fuera de los equipos pueden conectarse a través de un servidor VPN o un sitio Web de TS Web Access. Comunicación con el dominio puede requerir la autenticación IPSec.

Como se indicó, mecanismo de cumplimiento de DHCP de NAP es el más sencillo configurar y utilizar; en esencia, el servidor DHCP se convierte en equipo selector de NAP. Equipos que se conecten a la red en primer lugar deben solicitar una dirección de DHCP. Esto es que la pregunta "está buen estado?" se pregunta por el servidor DHCP habilitado para NAP. Si el equipo responde correctamente, DHCP asigna a una dirección con acceso completo a la red. Si el equipo no sabe cómo responder o si responde a incorrectamente, DHCP en su lugar proporciona, una dirección especial para corrección.

Para simplificar aún más nuestro ejemplo, le indique NAP para supervisar sólo los clientes de las revisiones WSUS. En este caso, los clientes se considerarán en mal estado sólo cuando no están hablando a WSUS o no tiene las revisiones correcta. Tal como descubrirá más adelante, puede hacerlo porque Microsoft incluye un validador de mantenimiento integradas de seguridad que permite a estas comprobaciones que se va a ejecutar.

Determinar el estado de un equipo con ese validador de mantenimiento integradas de seguridad requiere que dos componentes de cliente funcionan conjuntamente, el cliente de NAP, que está disponible forma nativa con Windows Vista, Windows Server 2008 y Windows XP Service Pack 3 y el Centro de seguridad de Windows, que está disponible en el panel de control (consulte la figura 1 ). Mientras que trabajo el cliente de NAP es para la interfaz con la infraestructura de servidor NAP, determinar el estado del cliente y realizar la aplicación real, es el trabajo de la Windows Security Center para identificar e informar cuando las configuraciones de seguridad son out of whack. Se le configurar los componentes de cliente, así como los componentes del servidor en la sección siguiente.

fig01.gif

Figura 1 el Centro de seguridad de Windows

Implementación NAP DHCP para exigir las actualizaciones WSUS

Supongamos que su red y el dominio son ya en su lugar, y su entorno incluye un controlador de dominio denominado \\server1. También tiene un equipo portátil de Windows Vista denominado \\client1 para utilizar en probar la implementación de NAP. Sólo se ha creado un equipo de Windows Server 2008 denominado \\nps que host los servicios DHCP y NAP. También lo hará la base de sus WSUS datos, como más adelante funcionará como servidor de corrección para los equipos que faltan revisiones de host. En este ejemplo, estoy collocating cada uno de estos servicios en el mismo equipo, pero es posible encontrar cada uno en su propio equipo. Para que cumplimiento DHCP funcione, debe ejecutar en la parte superior de Windows Server 2008.

En el servidor \\nps, use Administrador de servidores para instalar el servidor DHCP, directiva de red y servicios de acceso y las funciones WSUS. Configurar DHCP con un ámbito pequeño para las pruebas y configurar WSUS con la configuración es necesaria que tenga sentido para su entorno.

A continuación, crear un grupo global en el dominio llamado equipos de cliente de NAP. En este grupo agregará los nombres de los equipos cuyo estado de NAP para supervisar posteriormente. En este ejemplo, ese equipo será \\client1.

Cumplimiento de DHCP de NAP puede distribuir direcciones en una subred completamente diferente y aislar a los equipos en mal estado, pero por motivos de simplicidad nos sólo cambiará el nombre del equipo DNS dominio. Aquí, DHCP se indique equipos buen estados que su sufijo DNS es contoso.com, mientras que los equipos en mal estado obtendrá unhealthy.contoso.com en su lugar. Tenga en cuenta que esto mantiene en el ejemplo se simple, pero no necesariamente aislar los equipos en mal estado. Una vez que comprenda los conceptos básicos, más adelante puede volver atrás y implementar el aislamiento de subred.

Configurar los ámbitos DHCP con los sufijos DNS anteriores. Ello en la consola DHCP, hacer clic con el botón secundario del mouse en Opciones de ámbito y elegir configurar opciones. En la ventana resultante, haga clic en la ficha Opciones avanzada, donde podrá ver dos clases de usuario de interés. La clase de usuario predeterminada representa el conjunto de equipos en buen estados. Estos equipos deben obtener acceso completo y el sufijo de DNS contoso.com en la opción 15. La clase de protección de acceso de red predeterminada representa los equipos en mal estado y debe obtener el unhealthy.contoso.com sufijo DNS opción 15. Deberá probablemente también escribe la información de su servidor DNS en opción 6 y información de la puerta de enlace predeterminada en la opción 3. Cuando se realiza todo lo que, el resultado debe ser similar a la figura 2 . En este momento puede NAP para habilitar el ámbito DHCP haciendo clic con el botón secundario en el ámbito de sí mismo y ver las propiedades. En la ficha Protección de acceso A redes, haga clic en Habilitar para este ámbito.

fig02.gif

La Figura 2 DHCP’sDefault NAP clase debe ser confi gured

Este modo finaliza la configuración de servicios DHCP. El paso siguiente consiste en configurar NAP propio mediante el Asistente para configurar NAP. Encontrará el vínculo del mismo nombre en Server Manager derecha panel cuando se desplaza a directiva de red y Access | NPS (local). En este ejemplo, configure varias páginas el Asistente del siguiente modo:

Seleccionar método de conexión de red para usar con NAP. Seleccione DHCP para el método de conexión de red. El Asistente, a continuación, rellenará automáticamente el cuadro de nombre de directiva con NAP DHCP.

especificar servidores de cumplimiento NAP que ejecutan el servidor DHCP. Si los servicios DHCP en diferentes servidores que su servidor NAP, debe especificar los nombres de servidor. En nuestro ejemplo, NAP y DHCP se collocated, por lo que puede sin ningún riesgo dejar este cuadro vacío.

especificar los ámbitos DHCP. Especifique los ámbitos DHCP que desea habilitar para NAP. Deje este cuadro en blanco, se utilizan todos los ámbitos DHCP.

Configurar grupos de usuarios y grupos del equipo. En este cuadro de diálogo, agregue el NAP cliente equipos grupo global creado anteriormente. Esto indica a la directiva NAP para administrar la aplicación para que sólo los equipos de este grupo. Otros equipos quedan por sí solos.

Especifique un servidor de soluciones para NAP y dirección URL. Esta página lleva a cabo dos cosas. En primer lugar, identifica los servidores de corrección encargados de la corrección de los clientes en mal estado. En este ejemplo, los servidores de corrección será \\server1 para servicios de dominio y \\npsfor WSUS servicios. Haga clic en el botón nuevo grupo y crear un grupo nuevo que incluya estos servidores. En segundo lugar, la página expone una dirección URL de solución de problemas. Esta dirección URL se muestra en un globo de sugerencias en los equipos en mal estado que se remanded a la red aislada para su corrección. El sitio Web, que debe crear manualmente, puede contener instrucciones sobre lo que sucede al cliente o instrucciones para su corrección manual. En este ejemplo, se le deje en blanco la dirección URL.

Definir la directiva de mantenimiento NAP. Esta pantalla final muestra un vínculo para el validador de mantenimiento de seguridad de Windows, que se pueden personalizar a continuación, y proporciona opciones para la corrección automática y red restricciones de acceso. Deje la configuración predeterminada para cada uno de estos aquí.

El siguiente paso es la diversión parte. Aquí, deberá configurar los componentes del control de validación de estado de seguridad de Windows (WSHV) que desea utilizar para cumplimiento. El valor predeterminado WSHV incluye una serie de componentes de Centro de seguridad de Windows que se pueden supervisar.

firewall de Windows. ¿Hay un servidor de seguridad en el sistema que se ha registrado con el Centro de seguridad de Windows? ¿Es ese firewall habilitado para todas las conexiones de red?

antivirus y protección de spyware. ¿Están aplicaciones antivirus y anti spyware instaladas en el equipo, y ha ha registrado con el del Centro de seguridad de Windows? ¿Son sus aplicaciones activadas y usando las firmas actualizadas? El WSHA trata las aplicaciones antivirus y anti spyware por separado, lo que permite aplicar cualquiera o ambos sistemas de destino en.

actualizaciones de Microsoft. ¿Se ha configurado el equipo para buscar actualizaciones automáticas a través de Windows Update o un servidor WSUS local? ¿Si es así, cuántas horas hace el equipo Buscar actualizaciones? ¿Están instaladas todas las actualizaciones disponibles? ¿Qué nivel de importancia de actualización, importante, críticas etc., deben instalarse para que un equipo para considerarse buen estado?

En el administrador de servidor, vaya a la directiva de red y servicios de acceso A | NPS (local) | la protección de acceso A la red | validadores de estado del sistema y haga doble clic en el validador de mantenimiento de seguridad de Windows. En la pantalla que aparezca, haga clic en Configurar para ver una pantalla como la en la figura 3 .

fig03.gif

La figura 3 el valor predeterminado de validador de mantenimiento de seguridad de Windows

Seleccionar las áreas que desee NAP para administrar. Tenga en cuenta que los firewalls de terceros, antivirus o anti spyware aplicaciones deben registrar con el Centro de seguridad de Windows o proporcionar sus propios componentes complementarios se van a supervisar NAP. En este ejemplo, podemos será comprobar sólo los cuadros indicados en la figura 3 . Esto indica a NAP para asegurarse de que la actualización automática está activada para todos los sistemas de cliente y que están instaladas todas las actualizaciones críticas. Si un cliente no cumple ambas condiciones, automáticamente pasarán a la red de corrección en el servidor WSUS puede automáticamente resuelva el problema y traer el equipo vuelve al estado.

Por último, hay tres opciones que configurarse que se aplican a través de la directiva de grupo. Cree un nuevo objeto de directiva de grupo (GPO), vincúlelo al dominio y abrirlo para su edición.

  • Habilitar el Agente de Protección de acceso A redes y establézcalo en automático. Hacer esto en Configuración del equipo | directivas | Configuración de Windows | Configuración de seguridad | Servicios del sistema.
  • Habilitar DHCP cuarentena aplicación agente de NAP, que encontrará en Configuración del equipo | directivas | Configuración de Windows | Configuración de seguridad | la protección de acceso A la red | configuración de cliente NAP | clientes de cumplimiento. Haga doble clic en el agente y en la pantalla resultante decide habilitar este cliente de cumplimiento. Para aplicar esta configuración, haga clic con el botón secundario en el nodo Configuración de cliente NAP y seleccione aplicar.
  • Habilitar el Centro de seguridad de Windows se encuentra en Configuración del equipo | directivas | plantillas administrativas | componentes de Windows | Centro de seguridad.

Un solo paso final: cerrar el Editor de administración de directiva de grupo y en de filtrado la directiva de seguridad, reemplace los usuarios autenticados por el grupo de equipos de cliente de NAP creado anteriormente. Ahora puede comenzar agregando los equipos del dominio al grupo equipos de cliente de NAP para iniciar su participación en cumplimiento de NAP. Una vez que Directiva de grupo se aplica a los equipos, sus interacciones con DHCP implicarán las comprobaciones de estado NAP hemos tratado aquí.

Puede comprobar el estado de cliente NAP mediante napstat.exe. Ejecutar esta herramienta de resultados de una línea de comandos en un icono de bandeja del sistema, así como una sugerencia de globo del proporciona información sobre estado de cumplimiento del cliente. Haciendo clic en el globo que muestra una ventana de estado como la en la figura 4 , que indica que el cliente no es compatible con porque no ha instalado las actualizaciones de seguridad apropiada. En este punto, ya que NAP ha identificado el cliente como en mal estado, DHCP se dispone a negociar su concesión y cambiar el sufijo DNS a unhealthy.contoso.com.

fig04.gif

La figura 4 un cliente NAP en mal estado sin la securityupdates correcto instalado

Hay Obviamente, muchas formas más en la que puede adaptar la implementación de NAP para proporcionar seguridad adicional. La creación de una red completamente aisladas de corrección para los clientes en mal estado es una opción. Configurar parámetros de cumplimiento adicionales en el WSHV o agregar nuevos SHV de otros fabricantes es otros usuarios. Si cavar alrededor en el nodo Directiva de red y servicios de acceso en Server Manager, encontrará un host de opciones adicionales para personalizar NAP para satisfacer sus necesidades.

Greg Shields , MVP, es un socio en concentró Technology. Obtener más de Greg Jack-of-all-Trades sugerencias y trucos en www.ConcentratedTech.com.