L'implmentation NAP DHCP pour appliquer les mises jour WSUS
Ces utilisateurs darn obtenez plus intelligents tout le temps. Ils avez trouv comment dsactiver les pare-feux, toujours en nastiest des rseaux coffee-usine. Ils empcher leurs ordinateurs portables hors du bureau pendant votre cycle de correctif mensuel, car il pense que vos correctifs provoqu son dernier cran bleu. Ils mme dsactiver utilitaires antivirus et anti-logiciels espions l'indicateur slightest d'un ralentissement des performances. Vos utilisateurs prendre ces tapes car elles pensent qu'ils vous aidant eux-mmes, lorsque vous en fait qu'ils vous rduisent la scurit de rseau de votre entreprise. Un ordinateur correctement configur et corrig est un ordinateur sain, mais conserver ces ordinateurs sain est un harceler. Si seul un moyen est survenu vous pourriez appliquer vos stratgies de scurit. Mise en uvre garantit que vos ordinateurs de bureau et portables que la configuration du pare-feu droite. Mise en uvre assure que les ordinateurs qui manquent les correctifs droite ne peut pas accder au rseau. Mise en uvre signifie qui s'excute ne pas antivirus ou anti-malware ne signifie pas se connecter votre rseau local pristine. Ce type de mise en uvre d'une stratgie de scurit est disponible ds aujourd'hui avec NAP (Network Access Protection). NAP est un composant qui arrive avec stratgie de rseau Windows Server 2008 et des services d'accs. Il utilise les services sur les serveurs et clients pour vrifier rgulirement l'tat de conformit d'un client vos stratgies de scurit. Si les clients ne sont pas configurs correctement, NAP peut restreindre automatiquement leur accs rseau jusqu' ce qu'ils sont remediated. Mieux encore, NAP peut corriger automatiquement les clients incorrects, forcer les configurations incorrectes en ligne avec les stratgies de scurit tablies. NAP est un outil puissant qui est considr comme une solution de mieux de classe par des analystes indpendants comme Forrester, ce qui place NAP dans le quadrant suprieur droit leaders . Il est une solution conomique, car implmenter NAP dans votre rseau aujourd'hui ne requiert aucun fournisseur de logiciel supplmentaire comme il fait dj partie de votre investissement Windows et Active Directory. Fonctionnalit de NAP est dj disponible avec chaque dition de Windows Server 2008. Il est conu pour l'volutivit massif et est capable de prise en charge des grandes entreprises avec besoins complexes et notes de clients. Mais si NAP est donc idal, pourquoi ne pas plus petits environnements prendre parti ? Vraisemblablement, nombreux jack-of-all-trades administrateurs que ne soit pas conscient d'IL faire ou sont mis hors par sa complexit apparente. C'est comprhensible. Si vous lisez le documentation sur la protection NAP , vous pouvez envahi par tous les composants mobiles requis pour ses diffrents mcanismes d'application des configurations de scurit. IPSec, 802. 1 x, VPN et TS Web Access sont tous les mcanismes de mise en uvre NAP qui requirent des composants supplmentaires que vous n'aurez dans votre environnement ds aujourd'hui. Toutefois, il est probable que vous avez dj que vous devez implmenter sa mise en uvre base sur DHCP. Il est que facile installer et facile utiliser DHCP application mcanisme que je souhaitez vous afficher dans mois-ci ce. Bien que chacune des autres soient Il est vrai plus puissante dans comment ils garantir des configurations client, chacun ncessite technologies plus complexe comme infrastructures de services de certificat, ni connaissance approfondie des priphriques rseau pour implmenter avec succs. Commenons petit et fonctionnent notre faon haut.
Les objectifs pour une NAP Avant de nous obtenons en le clic par clic, prenons des objectifs que vous utilisez certainement par scuriser votre rseau. Vous voulez vous assurer que les ordinateurs sont mis jour avec les correctifs droite. Vous souhaitez votre portables on-the-route pour obtenir les paramtres de scurit droit lorsqu'elles renvoient. Et vous devez certainement dfendre contre les ordinateurs non autoriss connecter votre rseau et d'infection de vos serveurs et stations de travail. Si toutes ces objectifs sont remplies, si vos ordinateurs sont correctement corrigs et disposez les pare-feu droite et les paramtres logiciels anti-programme malveillant, vous pouvez gnralement envisager les machines sain. Ordinateurs sains tendant avoir les protections droite en place pour rester sain, ils ne sont pas probablement la diffusion malware autour de votre rseau. Travail de protection NAP est de surveiller et appliquer l'intgrit des ordinateurs sur votre rseau. Lorsqu'un ordinateur se connecte en, NAP pose la question, tes-vous sain? Si l'ordinateur rpond dans l'affirmative, NAP accorde cet accs ordinateur complet votre rseau. Si le client ne peut pas rpondre ou rponses dans la ngative, il place dplac un rseau correction spcial. Les ressources uniquement disponibles sur l'ordinateur sont ceux ncessaires pour que sain nouveau : un serveur WSUS (Windows Server Update Services) pour l'application correctifs, un serveur antiviru pour tlcharger les fichiers de signature plus rcente, et ainsi de suite. Protection NAP peut galement observer les ordinateurs de votre rseau, reconnatre lors de leur intgrit se dgrade et rapidement corriger les ce cas. Mcanismes de mise en uvre de NAP sont lis la faon dans laquelle, ordinateurs accder les votre rseau. Ordinateurs se connecter votre 802. 1 x compatible rseau commutateurs ou les points d'accs sans fil pour une connexion physique. Ils ensuite demander une adresse de votre serveur DHCP. En dehors ordinateurs peuvent se connecter par le biais d'un serveur VPN ou un site Web TS Web Access. Communication avec votre domaine peut-tre ncessiter l'authentification IPSec. Comme nous l'avons vu, mcanisme d'application de NAP DHCP est la plus simple configurer et utiliser ; en fait, votre serveur DHCP devient oprateur de contrle d'appels de NAP. Ordinateurs qui se connectent votre rseau doivent tout d'abord demander une adresse DHCP. C'est dans laquelle la question tes-vous sain? est demande par le serveur DHCP NAP activ. Si l'ordinateur rpond correctement, DHCP il donne une adresse avec un accs rseau total. Si l'ordinateur ne sait pas comment rpondre ou si elle rpond incorrecte, DHCP au lieu de cela donne il une adresse particulire pour correction. Pour simplifier davantage notre exemple, je vais ordonner NAP pour surveiller uniquement des clients pour les correctifs WSUS. Dans ce cas, les clients sont considrs comme non intgre uniquement lorsqu'ils ne sont pas parler vers WSUS ou que vous n'avez pas les correctifs de droite. Comme vous le dcouvrirez plus tard, J'AI cela car Microsoft inclut un validateur d'intgrit scurit intgre qui permet de ces vrifications excuter. Dterminer la sant d'un ordinateur avec qui validateur d'intgrit intgre de la scurit ncessite que deux composants clients fonctionnent ensemble, le client NAP, qui est en mode natif disponible avec Windows Vista, Windows Server 2008 et Windows XP Service Pack 3 et le Centre de scurit Windows, qui est disponible dans le Panneau de configuration (voir figure 1 ). Tandis que travail le client NAP est pour communiquer avec l'infrastructure de serveur NAP, dterminer tat du client et ne l'application relle, il est le travail de la Windows Security Center pour identifier et signaler lorsque les configurations de scurit sont out of whack. Nous allons configurer pices client ainsi que les composants du serveur dans la section suivante.
Figure 1, le Centre de scurit Windows
L'implmentation NAP DHCP pour appliquer les mises jour WSUS Supposons que votre rseau et le domaine sont dj en place et votre environnement inclut un contrleur de domaine nomm \\server1. Vous avez galement un ordinateur portable Windows Vista nomm \\client1 utiliser dans votre mise en uvre NAP de test. Vous avez conu simplement un ordinateur Windows Server 2008 nomm \\nps est ordinateur hte vos services DHCP et NAP. Il est galement ordinateur hte base de votre WSUS donnes, qu'il fonctionnent plus tard que le serveur correction pour les ordinateurs sont manquants correctifs. Dans cet exemple, je suis collocating chacun de ces services sur le mme ordinateur, mais il est possible de Recherchez chacun sur son propre ordinateur. Pour mise en uvre DHCP travailler, vous devez l'excuter en haut de Windows Server 2008. Sur le serveur \\nps, utiliser Server Manager pour installer le serveur DHCP, stratgie de rseau et services d'accs et rles WSUS. Configurer DHCP avec une porte petite pour tester et configurez WSUS avec la configuration ncessaire adapte votre environnement. Ensuite, crez un groupe global de votre domaine appel ordinateurs des clients NAP. Dans ce groupe vous allez ajouter ultrieurement les noms des ordinateurs dont intgrit souhait NAP pour surveiller. Dans cet exemple, cet ordinateur sera \\client1. Mise en uvre de NAP DHCP peut transmettre des adresses dans un sous-rseau compltement diffrent et isol sur les ordinateurs dfectueux, mais par souci de simplicit nous seulement change le nom de l'ordinateur DNS domaine. Ici, DHCP indiquera ordinateurs sains que son suffixe DNS est contoso.com, tandis que les ordinateurs dfectueux au lieu de cela obtenez unhealthy.contoso.com. N'oubliez pas qu'il conserve l'exemple simple, mais n'est pas ncessairement isoler les ordinateurs dfectueux. Une fois que vous comprenez les concepts de base, vous pouvez ultrieurement revenir en arrire et implmenter d'isolation du sous-rseau. Configurez vos tendues DHCP avec les suffixes DNS ci-dessus. Cela dans la console DHCP en cliquant avec le bouton droit sur options d'tendue et en choisissant Options de configuration. Dans la fentre obtenue, cliquez sur l'onglet Avanc o vous dcouvrirez deux classes d'utilisateurs d'intrt. La classe d'utilisateurs par dfaut reprsente votre ensemble d'ordinateurs sains. Ces ordinateurs doivent obtenir un accs complet et le suffixe de DNS contoso.com sous option 15. La classe de protection des accs de rseau par dfaut reprsente vos ordinateurs dfectueux et doit obtenir le unhealthy.contoso.com suffixe DNS pour l'option 15. Vous devez sans doute galement entrer des informations pour votre serveur DNS sous option 6 et les informations de passerelle par dfaut dans option 3. Lorsque tout est termin, le rsultat doit ressembler figure 2 . ce stade, vous pouvez l'tendue DHCP NAP activer, cliquez avec le bouton droit sur le cadre lui-mme, affichez les proprits. Sous l'onglet Protection d'accs au rseau, cliquez sur Activer pour cette tendue.
La figure 2 classes NAP DHCPsDefault doit tre confi gured Votre configuration des services DHCP est termine. L'tape suivante consiste configurer NAP lui-mme l'aide de l'Assistant Configuration NAP. Recherchez le lien du mme nom dans volet droit du Gestionnaire de serveur lorsque vous accdez la stratgie de rseau et accs | NPS (local). Dans cet exemple, configurez plusieurs pages de l'Assistant comme suit : Slectionner la mthode de connexion rseau utiliser avec la protection NAP. Permet de slectionner DHCP pour votre mthode de connexion rseau. L'Assistant va remplir puis automatiquement la zone de nom de stratgie avec DHCP NAP. spcifier les serveurs mise en uvre NAP en cours d'excution serveur DHCP. Si vos services DHCP sur diffrents serveurs que votre serveur NAP, vous devez saisir ici, les noms de serveurs. Pour notre exemple, NAP et DHCP sont collocated, donc vous pouvez en toute scurit laisser cette zone vide. Dfinir les tendues DHCP. Entrez les tendues DHCP que vous souhaitez activer pour NAP. Laissez cette zone vide, toutes les tendues DHCP sont utiliss. configurer les groupes d'utilisateurs et groupes de l'ordinateur. Dans cette bote de dialogue, ajoutez la protection NAP client ordinateurs groupe global cr prcdemment. Cela force la stratgie de protection NAP pour grer la mise en uvre pour seulement les ordinateurs de ce groupe. Autres ordinateurs sont conservs uniquement. spcifier un serveur de correction de NAP et les URL. Cette page effectue deux oprations. Tout d'abord, il identifie les serveurs de correction facturs corriger clients dfectueux. Dans cet exemple, les serveurs de correction seront \\server1 pour les services de domaine et les services WSUS \\npsfor. Cliquez sur le bouton nouveau groupe et crer un groupe qui inclut ces serveurs. Ensuite, la page prsente une URL de dpannage. Cette URL s'affiche dans une bulle sur les ordinateurs dfectueux remanded votre rseau isol pour correction. Le site Web, qui vous devez crer vous-mme, peut contenir des instructions sur ce qui se passe au client ou instructions pour la correction manuelle. Pour que cet exemple, nous laisserons l'URL vide. dfinir la stratgie d'intgrit NAP. Cet cran final affiche un lien vers le validateur d'intgrit de scurit Windows, qui sont ensuite tre personnalises et fournit des paramtres de restrictions d'accs rseau et de correction automatique. Conservez les paramtres par dfaut pour chacun de ces ici. L'tape suivante est le plaisir partie. Ici, vous devez configurer les composants de la Windows scurit Intgrit validateur (WSHV) vous souhaitez utiliser pour la mise en uvre. La valeur par dfaut WSHV comprend un certain nombre de composants de Centre de scurit Windows qui peuvent tre surveills. Pare-feu Windows. Y a-t-il un pare-feu sur le systme qui a inscrit avec le Centre de scurit Windows ? Que le pare-feu est activ pour toutes les connexions rseau ? virus et logiciels espions la protection. Les applications antivirus et anti-logiciels espions installes sur l'ordinateur, et elles enregistres avec le Centre de scurit Windows ? Sont actives leurs applications et actuellement l'utilisation de signatures mises jour ? Le WSHA traite les applications antivirus et anti-logiciels espions sparment, vous permettant d'appliquer les deux ou les deux systmes cibls sur. mises jour de Microsoft. L'ordinateur a t configur pour vrifier les mises jour automatiques via Windows Update ou un serveur WSUS local ? Si tel est le cas, le nombre d'heures il y a n'a l'ordinateur vrifier de mises jour ? Toutes les mises jour disponibles installes ? Quel niveau de mise jour rle critique, important, critiques, etc. doit tre install pour un ordinateur prendre en considration sain ? Dans le gestionnaire serveur, accdez stratgie de rseau et Access services | NPS (local) | Network Access Protection | validateurs d'intgrit du systme et double-cliquez sur le validateur d'intgrit de scurit Windows. Dans l'cran rsultant, cliquez sur Configurer pour voir un cran semblable celui de la figure 3 .
La figure 3, le validateur d'intgrit de la scurit Windows par dfaut Slectionnez les zones NAP pour grer. Notez que les pare-feu tiers, antivirus ou anti- logiciels espions applications doivent inscrire avec le Centre de scurit Windows ou fournir leurs propres modules complmentaires surveiller par la protection NAP. Dans cet exemple, nous vous uniquement les cases cocher indiqus dans la figure 3 . Cette demande NAP pour vous assurer que la mise jour automatique est active pour tous les systmes client et que toutes les mises jour critiques sont installes. Si un client ne peut pas remplissent les conditions, il va tre dplac d'automatiquement dans l'action corrective rseau o le serveur WSUS peut automatiquement rsoudre le problme et sortir l'ordinateur au bon fonctionnement. Enfin, il y a trois paramtres configurer qui sont appliqus par la stratgie de groupe. Crer un objet de stratgie nouveau groupe (GPO), liez-le au domaine et Ouvrir pour modification. Activer l'agent de protection d'accs rseau et dfinissez-le sur automatique. Cela sous Configuration ordinateur | stratgies | Paramtres Windows | Paramtres de scurit | Services systme. Activer de NAP DHCP contrle application Agent, vous trouverez sous Configuration ordinateur | stratgies | Paramtres Windows | Paramtres de scurit | Network Access Protection | configuration du client NAP | clients de mise en uvre. Double-cliquez sur l'agent puis, dans l'cran rsultant choisissez Activer ce client de mise en uvre. Pour appliquer ce paramtre, cliquez avec le bouton droit sur le nud Configuration de client NAP et cliquez sur Appliquer. Activer le Centre de scurit Windows trouv dans la configuration de l'ordinateur | stratgies | Modles d'administration | Composants Windows | Centre de scurit. Une tape finale : fermer l'diteur de gestion de stratgie de groupe et de filtrage la stratgie de scurit, remplacez les utilisateurs authentifis par le groupe ordinateurs des clients NAP crs prcdemment. Vous pouvez maintenant commencer ajouter ordinateurs du domaine au groupe ordinateurs des clients NAP pour lancer leur participation la mise en uvre NAP. Une fois la stratgie de groupe s'applique aux ordinateurs, leurs interactions avec DHCP impliquent les vrifications d'intgrit NAP nous abordes ici. Vous pouvez vrifier le statut de client NAP l'aide de napstat.exe. Excutant cet outil des rsultats de ligne de commande dans une icne de barre d'tat systme ainsi que d'une bulle qui fournit des informations sur tat de mise en uvre du client. Cliquez sur cette info-bulle affiche une fentre de statut comme celui de la figure 4 , qui indique que le client n'est pas compatible, car il n'a pas install les mises jour approprie. ce stade, car NAP a identifi le client comme non intgre, DHCP est ont rengocies son bail et modifi le suffixe DNS en unhealthy.contoso.com.
La figure 4, un client NAP dfectueux sans le securityupdates approprie install Il existe de toute vidence nombreuses manires plus dans laquelle vous pouvez adapter votre implmentation de NAP pour fournir une scurit supplmentaire. Cration d'un rseau de l'action corrective compltement isol pour les clients dfectueux est une option. Configuration des paramtres de mise en uvre plus dans le WSHV ou Ajout de nouveau SHVs tiers est d'autres personnes. Si vous aller sur le nud Stratgie de rseau et des services d'accs dans le Gestionnaire de serveur, vous trouverez un ordinateur hte d'options supplmentaires pour la personnalisation NAP pour rpondre vos besoins.