Реализации политик здоровья и защиты доступа в...
DESCRIPTION
В данной сессии мы рассмотрим, как работает NAP в гетерогенной среде. Как обеспечить интеграцию NAP с ForeFront Client Security и антивирусными продуктами третьих сторон? Также будет демонстрироваться подход, позволяющий контролировать политики здоровья для систем на основе Linux.TRANSCRIPT
![Page 1: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/1.jpg)
Microsoft TechDayshttp://www.techdays.ru
Применение NAP для реализации политик здоровья и защиты доступа в гетерогенной среде Бешков АндрейЭкспертMicrosoft
[email protected]://blogs.technet.com/abeshkov/http://twitter.com/abeshkov
![Page 2: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/2.jpg)
Microsoft TechDayshttp://www.techdays.ru
Содержание
Что такое NAP?Интеграция Forefront Client Security и NAPКак это работает?Метрики здоровья FCS Integration KitВосстановлениеNAP в гетерогенной среде
![Page 3: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/3.jpg)
Microsoft TechDayshttp://www.techdays.ru
Зачем нужна эшелонированная оборона?
Будет ли это вашей единственной защитой?
![Page 4: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/4.jpg)
Microsoft TechDayshttp://www.techdays.ru
Зачем нужна эшелонированная оборона?
Улучшенная технология не обязательно решает все проблемы. :(
![Page 5: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/5.jpg)
Microsoft TechDayshttp://www.techdays.ru
Канонический подход к безопасности
Защитим периметр (межсетевой экран, VPN)Вынесем сервера в демилитаризованную зону (DMZ)Построим систему управления конфигурациями и изменениями (развертывание и обновления систем, антивирусы)Внедрим систему обнаружения вторжений (IDS)
![Page 6: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/6.jpg)
Microsoft TechDayshttp://www.techdays.ru
И надеемся что все пойдет хорошо........
![Page 7: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/7.jpg)
Microsoft TechDayshttp://www.techdays.ru
Реальное положение дел
20% инцидентов безопасности происходит по вине внешних злоумышленников
80% с участием внутренних сотрудников
Источник: Исследование Национального центра оценки угроз США (National Threats Assessment Center, NTAC) и координационного центра CERT при Университете Карнеги-Меллона. 2004 г.
![Page 8: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/8.jpg)
Microsoft TechDayshttp://www.techdays.ru
Проблемы с внутренними пользователям
Излишние полномочияРедкие обновления (мобильные пользователи)Недостаточная грамотность в вопросах безопасностиНеподконтрольность гостевых и домашних рабочих мест
![Page 9: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/9.jpg)
Microsoft TechDayshttp://www.techdays.ru
Пожар потушили! Кто виноват? Нет виновных??!!!!Трудно отслеживать исполнение политик и регламентов........и реагировать вовремя!!!!!
А еще лучше защищаться заранее !!!
![Page 10: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/10.jpg)
Microsoft TechDayshttp://www.techdays.ru
Эшелонированная оборонаСтратегия безопасности при которой периметр состоит из нескольких защитных механизмов
Проникновение через один слой приводит к необходимости взламывать следующий
![Page 11: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/11.jpg)
Microsoft TechDayshttp://www.techdays.ru
Эшелонированная оборонаПовышает вероятность обнаружения атаки
Замедляет атакующего и дает нам время для:
Анализа методов проникновения Перенастройки защитных системВнедрения новых методов противодействия
![Page 12: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/12.jpg)
Microsoft TechDayshttp://www.techdays.ru
Интеграция NAP и Forefront Client Security
![Page 13: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/13.jpg)
Microsoft TechDayshttp://www.techdays.ru
Цель интеграцииСоздать дополнительный слой защиты Воспользоваться механизмами Network Access Protection
Помочь защититься от нездоровых систем с антивирусом FCS на бортуПредоставить специальные политики NAP для клиентов с FCSСоздать механизмы карантина и принудительного восстановления для клиентов с FCS
![Page 14: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/14.jpg)
Microsoft TechDayshttp://www.techdays.ru
Поддерживаемые ОСWindows Vista Business, Enterprise,Ultimate
Windows Server 2008 Standard, Enterprise
Windows XP Professional SP3 (x32)
![Page 15: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/15.jpg)
Microsoft TechDayshttp://www.techdays.ru
Как это работает?MicrosoftUpdate
Настройки Отчеты
СобытияОбновления
![Page 16: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/16.jpg)
Microsoft TechDayshttp://www.techdays.ru
Network Access ProtectionРешение позволяющее:
Проверять соответствие клиентов политикам здоровьяОграничивать доступ несоотствующих клиентовАвтоматически восстанавливать здоровье клиентовНепрерывно обновлять клиентов для поддержания состояния здоровья
Потребители
Партнеты
Удаленные сотрудники
Интранет
Интернет
Характеристики решения:Основано на открытых стандартахРаботает с большинством сетевых устройстПоддерживает множество антивирусных продуктовСтандарт де факто для продуктов категории Network Access Control
![Page 17: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/17.jpg)
Microsoft TechDayshttp://www.techdays.ru
Network Access ProtectionКак это работает
Запрос доступа
Идентификация клиентской системы и отправка метрик здоровья в NPS (RADIUS)
NPS проверяет метрики на соответствие политикам
Если метрики здоровья не соответствуют политикам клиент отправляется в карантин с последующим автовосстановлением
Если метрики соответствуют политикам предоставляется доступ в корпоративную сеть
Microsoft NPS
Корпоративная сеть
Сторонние сервера политик
DCHP, VPN
КоммутаторМаршрутизат
ор
КарантинСервера
восстановления
Несовместим
Policy complian
t
1
3
4
5
1
3
4
5
2
2
![Page 18: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/18.jpg)
Microsoft TechDayshttp://www.techdays.ru
Демонстрация NAP
![Page 19: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/19.jpg)
Microsoft TechDayshttp://www.techdays.ru
Продукты Microsoft
Guidance
Developer Tools
Active Directory Federation Services
(ADFS)
IdentityManagement
Information Protection
Encrypting File System (EFS)BitLocker™
Network Access Protection (NAP)
![Page 20: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/20.jpg)
Microsoft TechDayshttp://www.techdays.ru
Guidance
Developer Tools
Active Directory Federation Services
(ADFS)
IdentityManagement
Information Protection
Encrypting File System (EFS)BitLocker™
Network Access Protection (NAP)FCS/NAP integratio
n
Продукты Microsoft
![Page 21: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/21.jpg)
Microsoft TechDayshttp://www.techdays.ru
Компоненты Network Access Protection
Сервер политик NPS
Сервер карантина (ES)Агент карантина (QA)
Обновления
Метрики здоровья
Запросы на доступ в сеть
Политики здоровья
Сертификаты здоровья
Коммутатор 802.1XPolicy Firewall
SSL VPN GatewayCertificate Server
FCSSHA
Windows SHA
FCS SHV
Windows SHV
Компоненты проверки здоровья:• System Health Agents (SHA’s)• System Health Validators
(SHV’s)
Компоненты принуждения:• Enforcement Clients
(EC’s)• Enforcement Servers
(ES’s)Windows Update Server
Клиенты(Vista/XP SP3)
![Page 22: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/22.jpg)
Microsoft TechDayshttp://www.techdays.ru
Архитектура FCS NAP
![Page 23: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/23.jpg)
Microsoft TechDayshttp://www.techdays.ru
FCS System Health Agent (SHA) выполняемые проверки
Имя проверки УсловияПродукт установлен и обновлен
• Проверяем бинарные файлы FCS
• Все обновления старше чем N дней установлены
Обновление баз • Все базы сигнатур FCS скачаны и установлены
Статус сервисов Запущены сервисы:
• FCSAM - Anti-malware
• FCSSSA - Security State Assessment
• MOM - Microsoft Operations Manager
• WUAUSERV - Windows Update Agent
Здоровье антивируса FCS • Проверяем
• Что защита от злонамеренного кода и вирусов включена.
• Может ли работать FCS.
![Page 24: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/24.jpg)
Microsoft TechDayshttp://www.techdays.ru
Восстановление клиентских систем с помощью FCS SHA
Восстанавливающеее действие Требования
Обновить FCS • Запустить сканирование WUA• Скачать и установить
обновления антивируса
Установить обновления баз сигнатур антивируса
• Call mpcmdrun.exe /UPDATESIGNATURES
Включить сервисы • FCSAM - Anti-malware
• FCSSSA - Security State Assessment
• MOM - Microsoft Operations Manager
• WUAUSERV - Windows Update Agent
Проверка основных компонентов FCS
Если основные функции FCS отключены пользователь будет уведомлен и событие будет запротоколировано
![Page 25: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/25.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем NAP клиент
![Page 26: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/26.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
![Page 27: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/27.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
![Page 28: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/28.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
![Page 29: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/29.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
![Page 30: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/30.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
![Page 31: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/31.jpg)
Microsoft TechDayshttp://www.techdays.ru
Настраиваем реакцию сервера на ошибки SHA и SHV
![Page 32: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/32.jpg)
Microsoft TechDayshttp://www.techdays.ru
Интеграция NAP и Avenda USHA
![Page 33: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/33.jpg)
Microsoft TechDayshttp://www.techdays.ru
Что умеет проверять и восстанавливать USHA
Порты и профили межсетевого экранаСервисы Антивирус Средства борьбы со зловредным и шпионским кодом Ключи и ветви реестра
Поддерживаемые ОС
Windows Vista Business, Enterprise,Ultimate Windows Server 2008 Standard, EnterpriseWindows XP Professional SP3
![Page 34: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/34.jpg)
Microsoft TechDayshttp://www.techdays.ru
Как настраивать Avenda USHA
![Page 35: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/35.jpg)
Microsoft TechDayshttp://www.techdays.ru
Интеграция NAP и Linux
![Page 36: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/36.jpg)
Microsoft TechDayshttp://www.techdays.ru
Что умеет проверять и восстанавливать агент для Linux
Порты межсетевого экранаСервисы Антивирус
Поддерживаемые ОС
Redhat Enterprise Linux 5 и выше CentOS 5 и вышеFedora Core 6 и выше SUSE Linux 10.x
![Page 37: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/37.jpg)
Microsoft TechDayshttp://www.techdays.ru
Как настраивать агент NAP для Linux
![Page 38: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/38.jpg)
Microsoft TechDayshttp://www.techdays.ru
Демонстрация NAP и Linux
![Page 39: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/39.jpg)
Microsoft TechDayshttp://www.techdays.ru
Демонстрация NAP агентов UNET
![Page 40: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/40.jpg)
Microsoft TechDayshttp://www.techdays.ru
![Page 41: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/41.jpg)
Microsoft TechDayshttp://www.techdays.ru
Дополнительные ресурсыДокументация:
http://technet.microsoft.com/ru-ru/network/bb545879(en-us).aspxhttp://www.microsoft.com/technet/network/nap/napfaq.mspx
Блог: http://blogs.technet.com/abeshkov/
![Page 42: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/42.jpg)
Microsoft TechDayshttp://www.techdays.ru
Вопросы?
![Page 43: Реализации политик здоровья и защиты доступа в гетерогенной среде с помощью Network Access Protection](https://reader033.vdocuments.mx/reader033/viewer/2022061213/54985f65b4795963118b45fe/html5/thumbnails/43.jpg)