1 / 45

Применение NAP для реализации политик здоровья  и защиты доступа в гетерогенной среде

Применение NAP для реализации политик здоровья  и защиты доступа в гетерогенной среде. Бешков Андрей Эксперт Microsoft abeshkov@microsoft.com http:\blogs.technet.comabeshkov. Послеобеденная кома!!!. Содержание. Что такое NAP? Интеграция Forefront Client Security и NAP

kamal
Télécharger la présentation

Применение NAP для реализации политик здоровья  и защиты доступа в гетерогенной среде

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Применение NAPдля реализации политик здоровья  и защиты доступа в гетерогенной среде Бешков Андрей Эксперт Microsoft abeshkov@microsoft.com http:\\blogs.technet.com\abeshkov\

  2. Послеобеденная кома!!!

  3. Содержание • Что такое NAP? • Интеграция Forefront Client Security и NAP • Как это работает? • Метрики здоровья FCS Integration Kit • Восстановление • NAP в гетерогенной среде

  4. Зачем нужна эшелонированная оборона? Будет ли это вашей единственной защитой?

  5. Зачем нужна эшелонированная оборона? Улучшенная технология не обязательно решает все проблемы. :(

  6. Канонический подход к безопасности • Защитим периметр (межсетевой экран, VPN) • Вынесем сервера в демилитаризованную зону (DMZ) • Построим систему управления конфигурациями и изменениями (развертывание и обновления систем, антивирусы) • Внедрим систему обнаружения вторжений (IDS)

  7. И надеемся что все пойдет хорошо........

  8. Реальное положение дел • 20% инцидентов безопасности происходит по вине внешних злоумышленников • 80% с участием внутренних сотрудников Источник: Исследование Национального центра оценки угроз США (National Threats Assessment Center, NTAC) и координационного центра CERT при Университете Карнеги-Меллона. 2004 г.

  9. Проблемы с внутренними пользователям • Излишние полномочия • Редкие обновления (мобильные пользователи) • Недостаточная грамотность в вопросах безопасности • Неподконтрольность гостевых и домашних рабочих мест

  10. Пожар потушили! Кто виноват? Нет виновных??!!!! Трудно отслеживать исполнение политики регламентов.... ....и реагировать вовремя!!!!! А еще лучше защищаться заранее !!!

  11. Эшелонированная оборона • Стратегия безопасности при которой периметр состоит из нескольких защитных механизмов • Проникновение через один слойприводит к необходимости взламывать следующий

  12. Эшелонированная оборона • Повышает вероятность обнаружения атаки • Замедляет атакующего и дает нам время для: • Анализа методов проникновения • Перенастройки защитных систем • Внедрения новых методов противодействия

  13. Интеграция NAP и Forefront Client Security

  14. Цель интеграции • Создать дополнительный слой защиты • Воспользоваться механизмами Network Access Protection • Помочь защититься от нездоровых систем с антивирусом FCS на борту • Предоставить специальные политики NAP для клиентов с FCS • Создать механизмы карантина и принудительного восстановления для клиентов с FCS

  15. Поддерживаемые ОС • Windows Vista Business, Enterprise,Ultimate • Windows Server 2008 Standard, Enterprise • Windows XP Professional SP3 (x32)

  16. Как это работает? Microsoft Update Настройки Отчеты Обновления События

  17. Решение позволяющее: Проверять соответствие клиентов политикам здоровья Ограничивать доступ несоотствующих клиентов Автоматически восстанавливать здоровье клиентов Непрерывно обновлять клиентов для поддержания состояния здоровья Network Access Protection Интернет Пограничная зона Сотрудники, Партнеры, Поставщики Интранет Потребители Характеристики решения: • Основано на открытых стандартах • Работает с большинством сетевых устройст • Поддерживает множество антивирусных продуктов • Стандарт де факто для продуктов категории Network Access Control Партнеты Удаленные сотрудники

  18. Network Access ProtectionКак это работает Запрос доступа Идентификация клиентской системы и отправка метрик здоровья в NPS (RADIUS) NPS проверяет метрики на соответствие политикам Если метрики здоровья не соответствуют политикам клиент отправляется в карантин с последующим автовосстановлением Если метрики соответствуют политикам предоставляется доступ в корпоративную сеть 1 Сторонние сервера политик 1 Microsoft NPS 2 3 4 Несовместим 3 Сервера восстановления 2 Карантин Policy compliant 4 DCHP, VPN Коммутатор Маршрутизатор Корпоративная сеть 5 5

  19. Демонстрация NAP

  20. Продукты Microsoft Encrypting File System (EFS) BitLocker™ Information Protection Network Access Protection (NAP) Active Directory Federation Services (ADFS) IdentityManagement Guidance Developer Tools

  21. Продукты Microsoft Encrypting File System (EFS) BitLocker™ Information Protection Network Access Protection (NAP) FCS/NAP integration Active Directory Federation Services (ADFS) IdentityManagement Guidance Developer Tools

  22. Компоненты Network Access Protection • Компоненты принуждения: • Enforcement Clients (EC’s) • Enforcement Servers (ES’s) • Компоненты проверки здоровья: • System Health Agents (SHA’s) • System Health Validators (SHV’s) Политики здоровья Windows Update Server Обновления Запросы на доступ в сеть Клиенты (Vista/XP SP3) Метрики здоровья Сервер политик NPS Сертификаты здоровья FCS SHV Windows SHV Windows SHA FCS SHA Коммутатор 802.1X Policy Firewall SSL VPN Gateway Certificate Server Агент карантина(QA) Сервер карантина(ES)

  23. Архитектура FCS NAP

  24. FCS System Health Agent (SHA) выполняемые проверки

  25. Восстановление клиентских систем с помощью FCS SHA

  26. Настраиваем NAP клиент

  27. Настраиваем политики здоровья FCS

  28. Настраиваем политики здоровья FCS

  29. Настраиваем политики здоровья FCS

  30. Настраиваем политики здоровья FCS

  31. Настраиваем политики здоровья FCS

  32. Настраиваем реакцию сервера на ошибки SHA и SHV

  33. Интеграция NAP и Avenda USHA

  34. Что умеет проверять и восстанавливать USHA • Порты и профили межсетевого экрана • Сервисы • Антивирус • Средства борьбы со зловредным и шпионским кодом • Ключи и ветви реестра Поддерживаемые ОС • Windows Vista Business, Enterprise,Ultimate • Windows Server 2008 Standard, Enterprise • Windows XP Professional SP3

  35. Как настраивать Avenda USHA

  36. Интеграция NAP и Linux

  37. Что умеет проверять и восстанавливать агент для Linux • Порты межсетевого экрана • Сервисы • Антивирус Поддерживаемые ОС • Redhat Enterprise Linux 5 и выше • CentOS 5 и выше • Fedora Core 6 и выше • SUSE Linux 10.x

  38. Как настраивать агент NAP для Linux

  39. Демонстрация NAP и Linux

  40. Демонстрация NAP агентов UNET

  41. Дополнительные ресурсы • Документация: • http://technet.microsoft.com/ru-ru/network/bb545879(en-us).aspx • http://www.microsoft.com/technet/network/nap/napfaq.mspx Блог: • http://blogs.technet.com/abeshkov/

  42. Вопросы?

More Related