Реализации политик здоровья и защиты доступа в...
DESCRIPTION
В данной сессии мы рассмотрим, как работает NAP в гетерогенной среде. Как обеспечить интеграцию NAP с ForeFront Client Security и антивирусными продуктами третьих сторон? Также будет демонстрироваться подход, позволяющий контролировать политики здоровья для систем на основе Linux.TRANSCRIPT
Microsoft TechDayshttp://www.techdays.ru
Применение NAP для реализации политик здоровья и защиты доступа в гетерогенной среде Бешков АндрейЭкспертMicrosoft
[email protected]://blogs.technet.com/abeshkov/http://twitter.com/abeshkov
Microsoft TechDayshttp://www.techdays.ru
Содержание
Что такое NAP?Интеграция Forefront Client Security и NAPКак это работает?Метрики здоровья FCS Integration KitВосстановлениеNAP в гетерогенной среде
Microsoft TechDayshttp://www.techdays.ru
Зачем нужна эшелонированная оборона?
Будет ли это вашей единственной защитой?
Microsoft TechDayshttp://www.techdays.ru
Зачем нужна эшелонированная оборона?
Улучшенная технология не обязательно решает все проблемы. :(
Microsoft TechDayshttp://www.techdays.ru
Канонический подход к безопасности
Защитим периметр (межсетевой экран, VPN)Вынесем сервера в демилитаризованную зону (DMZ)Построим систему управления конфигурациями и изменениями (развертывание и обновления систем, антивирусы)Внедрим систему обнаружения вторжений (IDS)
Microsoft TechDayshttp://www.techdays.ru
И надеемся что все пойдет хорошо........
Microsoft TechDayshttp://www.techdays.ru
Реальное положение дел
20% инцидентов безопасности происходит по вине внешних злоумышленников
80% с участием внутренних сотрудников
Источник: Исследование Национального центра оценки угроз США (National Threats Assessment Center, NTAC) и координационного центра CERT при Университете Карнеги-Меллона. 2004 г.
Microsoft TechDayshttp://www.techdays.ru
Проблемы с внутренними пользователям
Излишние полномочияРедкие обновления (мобильные пользователи)Недостаточная грамотность в вопросах безопасностиНеподконтрольность гостевых и домашних рабочих мест
Microsoft TechDayshttp://www.techdays.ru
Пожар потушили! Кто виноват? Нет виновных??!!!!Трудно отслеживать исполнение политик и регламентов........и реагировать вовремя!!!!!
А еще лучше защищаться заранее !!!
Microsoft TechDayshttp://www.techdays.ru
Эшелонированная оборонаСтратегия безопасности при которой периметр состоит из нескольких защитных механизмов
Проникновение через один слой приводит к необходимости взламывать следующий
Microsoft TechDayshttp://www.techdays.ru
Эшелонированная оборонаПовышает вероятность обнаружения атаки
Замедляет атакующего и дает нам время для:
Анализа методов проникновения Перенастройки защитных системВнедрения новых методов противодействия
Microsoft TechDayshttp://www.techdays.ru
Интеграция NAP и Forefront Client Security
Microsoft TechDayshttp://www.techdays.ru
Цель интеграцииСоздать дополнительный слой защиты Воспользоваться механизмами Network Access Protection
Помочь защититься от нездоровых систем с антивирусом FCS на бортуПредоставить специальные политики NAP для клиентов с FCSСоздать механизмы карантина и принудительного восстановления для клиентов с FCS
Microsoft TechDayshttp://www.techdays.ru
Поддерживаемые ОСWindows Vista Business, Enterprise,Ultimate
Windows Server 2008 Standard, Enterprise
Windows XP Professional SP3 (x32)
Microsoft TechDayshttp://www.techdays.ru
Как это работает?MicrosoftUpdate
Настройки Отчеты
СобытияОбновления
Microsoft TechDayshttp://www.techdays.ru
Network Access ProtectionРешение позволяющее:
Проверять соответствие клиентов политикам здоровьяОграничивать доступ несоотствующих клиентовАвтоматически восстанавливать здоровье клиентовНепрерывно обновлять клиентов для поддержания состояния здоровья
Потребители
Партнеты
Удаленные сотрудники
Интранет
Интернет
Характеристики решения:Основано на открытых стандартахРаботает с большинством сетевых устройстПоддерживает множество антивирусных продуктовСтандарт де факто для продуктов категории Network Access Control
Microsoft TechDayshttp://www.techdays.ru
Network Access ProtectionКак это работает
Запрос доступа
Идентификация клиентской системы и отправка метрик здоровья в NPS (RADIUS)
NPS проверяет метрики на соответствие политикам
Если метрики здоровья не соответствуют политикам клиент отправляется в карантин с последующим автовосстановлением
Если метрики соответствуют политикам предоставляется доступ в корпоративную сеть
Microsoft NPS
Корпоративная сеть
Сторонние сервера политик
DCHP, VPN
КоммутаторМаршрутизат
ор
КарантинСервера
восстановления
Несовместим
Policy complian
t
1
3
4
5
1
3
4
5
2
2
Microsoft TechDayshttp://www.techdays.ru
Демонстрация NAP
Microsoft TechDayshttp://www.techdays.ru
Продукты Microsoft
Guidance
Developer Tools
Active Directory Federation Services
(ADFS)
IdentityManagement
Information Protection
Encrypting File System (EFS)BitLocker™
Network Access Protection (NAP)
Microsoft TechDayshttp://www.techdays.ru
Guidance
Developer Tools
Active Directory Federation Services
(ADFS)
IdentityManagement
Information Protection
Encrypting File System (EFS)BitLocker™
Network Access Protection (NAP)FCS/NAP integratio
n
Продукты Microsoft
Microsoft TechDayshttp://www.techdays.ru
Компоненты Network Access Protection
Сервер политик NPS
Сервер карантина (ES)Агент карантина (QA)
Обновления
Метрики здоровья
Запросы на доступ в сеть
Политики здоровья
Сертификаты здоровья
Коммутатор 802.1XPolicy Firewall
SSL VPN GatewayCertificate Server
FCSSHA
Windows SHA
FCS SHV
Windows SHV
Компоненты проверки здоровья:• System Health Agents (SHA’s)• System Health Validators
(SHV’s)
Компоненты принуждения:• Enforcement Clients
(EC’s)• Enforcement Servers
(ES’s)Windows Update Server
Клиенты(Vista/XP SP3)
Microsoft TechDayshttp://www.techdays.ru
Архитектура FCS NAP
Microsoft TechDayshttp://www.techdays.ru
FCS System Health Agent (SHA) выполняемые проверки
Имя проверки УсловияПродукт установлен и обновлен
• Проверяем бинарные файлы FCS
• Все обновления старше чем N дней установлены
Обновление баз • Все базы сигнатур FCS скачаны и установлены
Статус сервисов Запущены сервисы:
• FCSAM - Anti-malware
• FCSSSA - Security State Assessment
• MOM - Microsoft Operations Manager
• WUAUSERV - Windows Update Agent
Здоровье антивируса FCS • Проверяем
• Что защита от злонамеренного кода и вирусов включена.
• Может ли работать FCS.
Microsoft TechDayshttp://www.techdays.ru
Восстановление клиентских систем с помощью FCS SHA
Восстанавливающеее действие Требования
Обновить FCS • Запустить сканирование WUA• Скачать и установить
обновления антивируса
Установить обновления баз сигнатур антивируса
• Call mpcmdrun.exe /UPDATESIGNATURES
Включить сервисы • FCSAM - Anti-malware
• FCSSSA - Security State Assessment
• MOM - Microsoft Operations Manager
• WUAUSERV - Windows Update Agent
Проверка основных компонентов FCS
Если основные функции FCS отключены пользователь будет уведомлен и событие будет запротоколировано
Microsoft TechDayshttp://www.techdays.ru
Настраиваем NAP клиент
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
Microsoft TechDayshttp://www.techdays.ru
Настраиваем политики здоровья FCS
Microsoft TechDayshttp://www.techdays.ru
Настраиваем реакцию сервера на ошибки SHA и SHV
Microsoft TechDayshttp://www.techdays.ru
Интеграция NAP и Avenda USHA
Microsoft TechDayshttp://www.techdays.ru
Что умеет проверять и восстанавливать USHA
Порты и профили межсетевого экранаСервисы Антивирус Средства борьбы со зловредным и шпионским кодом Ключи и ветви реестра
Поддерживаемые ОС
Windows Vista Business, Enterprise,Ultimate Windows Server 2008 Standard, EnterpriseWindows XP Professional SP3
Microsoft TechDayshttp://www.techdays.ru
Как настраивать Avenda USHA
Microsoft TechDayshttp://www.techdays.ru
Интеграция NAP и Linux
Microsoft TechDayshttp://www.techdays.ru
Что умеет проверять и восстанавливать агент для Linux
Порты межсетевого экранаСервисы Антивирус
Поддерживаемые ОС
Redhat Enterprise Linux 5 и выше CentOS 5 и вышеFedora Core 6 и выше SUSE Linux 10.x
Microsoft TechDayshttp://www.techdays.ru
Как настраивать агент NAP для Linux
Microsoft TechDayshttp://www.techdays.ru
Демонстрация NAP и Linux
Microsoft TechDayshttp://www.techdays.ru
Демонстрация NAP агентов UNET
Microsoft TechDayshttp://www.techdays.ru
Microsoft TechDayshttp://www.techdays.ru
Дополнительные ресурсыДокументация:
http://technet.microsoft.com/ru-ru/network/bb545879(en-us).aspxhttp://www.microsoft.com/technet/network/nap/napfaq.mspx
Блог: http://blogs.technet.com/abeshkov/
Microsoft TechDayshttp://www.techdays.ru
Вопросы?