Защита сетевого доступа (NAP) в Windows Server «Longhorn»

Посетителей: 6799 | Просмотров: 8738 (сегодня 0) Шрифт:

Защита доступа к сети (NAP) — это платформа применения политик, встроенная в операционные системы Microsoft Windows Vista, Microsoft Windows XP и Windows Server с кодовым названием Longhorn, которая обеспечивает повышенную безопасность сети за счет соответствия требованиям по поддержанию работоспособности системы. Благодаря защите доступа к сети можно создавать специальные политики работоспособности для оценки состояния компьютера перед тем, как разрешить доступ или взаимодействие, для автоматического обновления соответствующих требованиям компьютеров с целью обеспечения их постоянной совместимости, а также для адаптации не соответствующих требованиям компьютеров таким образом, чтобы они удовлетворяли установленным требованиям.

Защита доступа к сети включает интерфейс прикладного программирования, который может быть использован разработчиками и поставщиками для создания полноценных решений по оценке с помощью политики работоспособности, ограничения доступа к сети и обеспечения постоянного соответствия требованиям.

Для оценки доступа к сети на основе работоспособности системы сетевая инфраструктура должна обеспечивать следующие функциональные области.

Оценка с помощью политики работоспособности. Определяет, соответствует ли компьютер требованиям политики работоспособности.

Ограничение доступа к сети. Ограничивает доступ для несовместимых компьютеров.

Автоматическое исправление. Обеспечивает необходимые обновления для приведения несовместимых компьютеров к установленным требованиям.

Обеспечение постоянного соответствия требованиям. Автоматическое обновление не соответствующих требованиям компьютеров с учетом постоянно изменяющихся требований политики работоспособности.

Сценарии защиты доступа к сети (NAP)

Представляя собой наиболее гибкое для заказчиков решение, защита доступа к сети взаимодействует с ПО поставщика, которое либо содержит агент System Health Agent (SHA) и средства оценки работоспособности системы System Health Validators (SHV), либо распознает опубликованный набор интерфейсов программирования. В качестве примеров решений сторонних поставщиков, которые работают с защитой доступа к сети, можно назвать антивирусную программу, виртуальную частную сеть или сетевое оборудование. Защита доступа к сети предоставляет решение для следующих распространенных сценариев.

Проверка работоспособности и состояния мобильных переносных компьютеров
С помощью защиты доступа к сети сетевые администраторы могут проверять состояние любого переносного компьютера, когда он повторно подключается к сети компании, без ущерба для его мобильности и гибкости.

Поддержание работоспособности настольных компьютеров
Благодаря дополнительному управляющему ПО можно создавать автоматические отчеты, выполнять автоматическое обновление компьютеров, не соответствующих требованиям, а в случае изменения администраторами политик работоспособности компьютеры могут автоматически получать последние обновления, которые предотвращают угрозы их работоспособности со стороны общедоступных ресурсов.

Определение состояния переносных компьютеров, получающих доступ в сеть
Благодаря защите доступа к сети администраторы могут определить, имеют ли посещающие ее переносные компьютеры полномочия на доступ и, если нет, лимитировать их доступ к ограниченной сети, не требуя обновления или изменения конфигурации этих переносных компьютеров.

Проверка соответствия требованиям и работоспособности неуправляемых домашних компьютеров
С помощью защиты доступа к сети сетевые администраторы могут проверять наличие необходимых программ, параметров реестра, файлов или их сочетания всякий раз, когда домашний компьютер подключается к сети через виртуальную частную сеть; также они могут лимитировать подключение к ограниченной сети, пока не будут выполнены требования к работоспособности системы.

Компоненты защиты доступа к сети

NPS/RADIUS

В компоненте RADIUS Network Policy Server (NPS) сервера Windows Server Longhorn отсутствует компонент защиты доступа к сети (NAP) Enforcement Server (ES) или Enforcement Client (EC). Вместо этого он работает как сервер политик вместе с компонентами NAP ES и NAP EC. Администраторы должны задать требования к работоспособности системы в виде политик на сервере NPS. Серверы NPS обеспечивают проверку с помощью политик работоспособности и координируют свои действия со службой каталогов Active Directory каждый раз, когда компьютер пытается получить сертификат работоспособности или подключиться к точке доступа 802.1X, серверу виртуальной частной сети или службе DHCP-сервера.

Компоненты работоспособности

Агенты работоспособности системы System Health Agents (SHA). Подтверждение работоспособности (состояние исправлений, сигнатуры вирусов, конфигурация системы и т. п.).

Средства оценки работоспособности системы System Health Validators (SHV). Сертификация выводов агентов работоспособности.

Серверы работоспособности системы System Health Servers. Определение требований к работоспособности системных компонентов клиента.

Серверы исправления Remediation Servers. Установка необходимых исправлений, параметров конфигурации и приложений, а также обеспечение работоспособности клиентов.

Компоненты ограничения

Клиент Enforcement Client (EC). Согласует условия доступа с устройствами доступа к сети.

Устройство сетевого доступа. Обеспечивает сетевой доступ к работоспособным конечным точкам (это может быть коммутатор или точка доступа).

Служба сертификации работоспособности. Выпускает сертификаты для клиентов, которые прошли проверку работоспособности.

Компоненты платформы

Агент изоляции Quarantine Agent (QA). Создает отчеты о состоянии работоспособности клиентов и координирует действия SHA и EC.

Сервер изоляции Quarantine Server (QS). Ограничивает доступ клиентов к сети на основе сертификатов SHV.

Механизмы применения защиты доступа к сети

Защита доступа к сети обеспечивает гибкую платформу, которая поддерживает несколько механизмов применения доступа, включая, но не ограничиваясь только ими:

протокол IPsec для проверки подлинности на уровне узла;

проверенные сетевые подключения на основе стандарта IEEE 802.1X;

виртуальные частные сети для удаленного доступа;

Администраторы могут использовать эти технологии по отдельности или одновременно для ограничения не соответствующих требованиям компьютеров. Сервер NPS, заменивший службу проверки подлинности Windows Server 2003 в Windows Server Longhorn, действует как сервер политик работоспособности для всех этих технологий.

Защита доступа к сети требует, чтобы на серверах выполнялась ОС Windows Server Longhorn, а на клиентах — Windows Vista, Windows XP с пакетом обновления 2 (SP2) или Windows Server Longhorn.

IPsec Enforcement

IPsec Enforcement включает сервер сертификатов работоспособности и IPsec NAP EC. Сервер сертификатов работоспособности выпускает сертификаты X.509 для изоляции клиентов, после того как определено их соответствие требованиям. Эти сертификаты затем используются для проверки подлинности клиентов NAP, когда они инициируют защищенные протоколом IPsec взаимодействия с другими клиентами NAP в интранет.

IPsec Enforcement ограничивает взаимодействие сети только теми узлами, которые считаются соответствующими требованиям, и, поскольку здесь применяется протокол IPsec, можно задать требования к безопасным взаимодействиям с соответствующими требованиям клиентами на основе IP-адреса или номера порта TCP/UDP. IPsec Enforcement осуществляет взаимодействие только с совместимыми компьютерами, после того как они получили допустимую конфигурацию IP-адреса. IPsec Enforcement — самая строгая форма ограничения доступа к сети платформы защиты доступа к сети (NAP).

802.1X Enforcement

802.1X Enforcement включает сервер NPS и компонент EAPHost NAP EC. С помощью 802.1X Enforcement сервер NPS отдает команду точке доступа 802.1X (коммутатору Ethernet или точке беспроводного доступа) разместить профиль ограниченного доступа на клиент 802.1X, пока он выполняет ряд функций по исправлению. Профиль ограниченного доступа может состоять из набора IP-фильтров или идентификатора виртуальной локальной сети для ограничения трафика клиента 802.1X. 802.1X Enforcement обеспечивает очень ограниченный доступ к сети для всех компьютеров, получающих доступ через подключение по стандарту 802.1X.

VPN Enforcement

VPN Enforcement включает компоненты VPN NAP ES и VPN NAP EC. С помощью VPN Enforcement серверы виртуальных частных сетей могут применять требования политики работоспособности каждый раз, когда компьютер пытается подключиться к сети через виртуальную частную сеть. VPN Enforcement обеспечивает очень ограниченный доступ для всех компьютеров, получающих доступ через подключение по виртуальной частной сети.

DHCP Enforcement

DHCP Enforcement включает компоненты DHCP NAP ES и DHCP NAP EC. С помощью DHCP Enforcement DHCP-серверы могут применять требования политики работоспособности каждый раз, когда компьютер пытается арендовать или обновить конфигурацию IP-адреса в сети. DHCP Enforcement — самый простой способ развертывания, потому что все клиентские компьютеры DHCP должны арендовать IP-адреса. Поскольку DHCP Enforcement использует записи в таблице маршрутизации, эта форма ограниченного доступа к сети платформы защиты доступа к сети является самой слабой.

Дополнительные компоненты и ресурсы защиты доступа к сети

Защита доступа к сети состоит из дополнительных серверных и клиентских компонентов, серверов исправления и серверов политик. Администраторы могут настроить некоторые или все перечисленные ниже компоненты при развертывании защиты доступа к сети. Сервер NAP Administration Server

NAP Administration Server — это компонент сервера NPS, который координирует данные, полученные от всех средств оценки работоспособности системы (SHV), и определяет, должны ли компоненты NAP Enforcement Server (NAP ES) ограничивать доступ клиентов на основе требований политики работоспособности.

Средство System Health Validator
Средство System Health Validator (SHV) — это серверное ПО, которое проверяет, соответствует ли заявление о работоспособности Statement of Health (SoH), представленное агентом SHA, требуемому состоянию работоспособности. SHV выполняется на сервере NPS, который должен координировать выходные данные всех средств оценки работоспособности SHV. Средство оценки работоспособности использует ответ на заявление о работоспособности Statement of Health Response (SoHR), чтобы указать на соответствие или несоответствие требуемому состоянию работоспособности и дать команды по исправлению.

Политика работоспособности
Политика работоспособности указывает необходимые условия для неограниченного доступа. Политики работоспособности настраиваются на сервере NPS. В сети может применяться несколько политик работоспособности. Например, VPN Enforcement и DHCP Enforcement могут использовать разные политики.

База данных учетных записей
В базе данных учетных записей сохраняются учетные данные пользователей и компьютеров и их свойства сетевого доступа. В доменах Windows Server Longhorn роль базы данных учетных записей выполняет Active Directory.

Сервер сертификации работоспособности Health Certificate Server
Сервер сертификации работоспособности представляет собой сочетание службы сертификации работоспособности, компьютера под управлением Windows Server Longhorn, служб IIS и службы сертификации (CA). Служба сертификации может быть установлена на компьютер под управлением Windows Server Longhorn или на отдельный компьютер. Сервер сертификации работоспособности получает сертификаты работоспособности для компьютеров, соответствующих требованиям. Сертификат работоспособности может быть использован вместо заявлений о работоспособности Statements of Health (SoHs), чтобы доказать соответствие клиента требованиям к работоспособности системы.

Сервер исправления
Сервер исправления состоит из серверов, служб и других ресурсов, к которым может получить доступ в ограниченной сети не соответствующий требованиям компьютер. Эти ресурсы могут выполнять разрешение имен или сохранять самые последние обновления ПО и компоненты, необходимые, чтобы привести компьютер в соответствие с требованиями к работоспособности. Например, серверами исправления могут быть дополнительный DNS-сервер, файловый сервер антивирусных продуктов или сервер обновления ПО. SHA может взаимодействовать с сервером исправления напрямую или с помощью средств установленного клиентского ПО.

Сервер политик
SHV взаимодействует с сервером политик для оценки заявления о работоспособности SoH соответствующего агента SHA.

Дополнительные ресурсы

Посетите веб-узел Network Access Protection TechNet (EN) для загрузки документации и пошаговых инструкций, а также для просмотра веб-презентаций.

Introduction to Network Access Protection (Введение в защиту доступа к сети) (EN)
Ознакомьтесь с этим документом, содержащим обзор сценариев и компонентов защиты доступа (NAP), а также краткий обзор работы NAP при подключениях по протоколу IPsec, проверенных подключениях по стандарту 802.1X, подключениях по виртуальной частной сети и конфигурации DHCP. Просмотрите веб-презентацию этого документа (EN).

Разворачиваем DirectAccess на базе Windows Server 2012 R2

В этой статье мы пошагово опишем процедуру разворачивания службы удаленного доступа Direct Access на самой свежей серверной платформе Microsoft — Windows Server 2012 R2. Вообще говоря, служба Direct Access предполагает несколько сценариев работы, мы попытаемся рассмотреть наиболее общий сценарий организации сервиса DirectAccess.

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

• Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
• Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
• Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
• Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
• Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

• Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
• В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
• Не обязательно стало наличие IPv6 во внутренней сети организации
• Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

• Домен Active Directory и права администратора домена
• Выделенный (рекомендуется) сервер DA под управлением Windows Server 2012 R2, включенный в домен Windows. Сервер имеет 2 сетевые карты: одна находится во внутренней корпоративной сети, другая – в DMZ сети
• Выделенная DMZ подсеть
• Внешнее DNS имя (реальное или через DynDNS) или IP адрес, доступный из интернета, к которому будут подключатся клиенты DirectAccess
• Настроить перенаправление трафика с порта TCP 443 на адрес сервера DA
• Развернутая инфраструктура PKI для выпуска сертификатов. В certificate authority нужно опубликовать шаблон сертификата Web Server и разрешено его автоматическое получение (auto-enrollmen) (Если в качестве клиентов будут использоваться только Windows 8 — PKI не обязателен).
• В качестве клиентов могут выступать компьютеры с Windows 7 и Windows 8.x редакций Professional / Enterprise
• Группа AD, в которой будут состоять компьютеры, которым разрешено подключаться к сети через Direct Access (допустим, эта группа будет называться DirectAccessComputers)

Установка роли Remote Access

Запустим консоль Server Manager и с помощью мастера Add Roles and Features установим роль Remote Access.

В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS).

Все остальные зависимости оставляем по умолчанию.

Настройка службы Direct Access в Windows Server 2012 R2

После окончания установки службы Remote Access, откройте оснастку Tools -> Remote Access Management.

Запустится мастер настройки роли удаленного доступа. Укажем, что нам нужно установить только роль DA — Deploy DirectAccess only.

После этого должно открыться окно, в правой половине которого в графическом виде показаны четыре этапа (Step 1 – 4) настройки службы DA.

Первый этап (Step 1: Remote Clients).

Укажем, что мы разворачиваем полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления Deploy full DirectAccess for client access and remote management.

Далее, нажав кнопкуAdd нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через Direct Access (в нашем примере это группа DirectAccessComputers).

Следующий шаг – нужно указать список внутренних сетевых имен или URL-адресов, с помощью которых клиент может проверить (Ping или HTTP запрос), что он подключен к корпоративной сети. Здесь же можно указать контактный email службы helpdesk и наименование подключения DirectAccess (так оно будет отображаться в сетевых подключениях на клиенте). В случае необходимости можно включить опцию Allow DirectAccess clients to use local name resolution, позволяющую разрешить клиенту использовать внутренние DNS-сервера компании (адреса DNS серверов могут получаться по DHCP).

Второй этап (Step 2: Remote Access Server)

Следующий шаг — настройка сервера Remote Access. Указываем, что наш сервер удаленного доступа представляет собой конфигурацию с двумя сетевыми картами — Behind an edge device (with two network adapters), одна их которых находится в корпоративной сети, а вторая подключена напрямую в Internet или DMZ-подсеть. Здесь же нужно указать внешнее DNS имя или IP адрес в Интернете (именно с этого адреса пробрасывается 443 порт на внешний интерфейс сервера DirectAccess), к которому должны подключаться клиенты DA.

Затем нужно указать какая сетевая карта будет считаться внутренней (Internal – LAN), а какая внешней (External – DMZ).

Свернем пока мастер настройки сервера Direct Access и сгенерируем сертификат сервера DA. Для этого создадим новую оснастку mmc, в которую добавим консоль Certificates, управляющую сертификатами локального компьютера (Computer Account)

В консоли управления сертификатами запросим новый персональный сертификат, щелкнув ПКМ по разделу Certificates (Local Computer) -> Personal -> Certificates и выбрав в меню All Tasks-> Request New Certificate

Запросим сертификат через политику Active Directory Enrollment Policy. Нас интересует сертификат на основе шаблона WebServers.

В настройках запроса нового сертификата на вкладке Subject заполним поля, идентифицирующие нашу компанию, а на вкладке Private Key укажем, что закрытый ключ сертификата можно экспортировать (Make private key exportable).

Сохраним изменения и запросим новый сертификат у CA.

Вернемся в окно настроек сервера DirectAccess и, нажав кнопку Browse, выберем сгенерированный сертификат.

На следующем шаге мастера выберем способ аутентификации клиентов Direct Access. Укажем, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметим чекбокс Use computer certificates (Использовать сертификаты компьютеров) и Use an intermediate certificate. Нажав кнопку Browse, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов.

Третий этап (Step 3: Infrastructure Servers)

Третий этап – настройка инфраструктурных серверов. Нам будет предложено указать адрес сервера Network Location Server, находящегося внутри корпоративной сети. Network Location Server — это сервер, с помощью которого клиент может определить, что он находится во внутренней сети организации, т.е. не требуется использовать DA для подключения. NLS – сервером может быт любой внутренний веб-сервер (даже с дефолтной страничкой IIS), основное требование – сервер NLS не должен быть доступен снаружи корпоративной сети.

Далее укажем список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Use local name resolution if the name does not exist in DNS or DNS servers are unreachable when the client computer is on a private network (recommended).

Затем укажем DNS-суффиксы внутренних доменов в порядке приоритета их использования.

В окне настройки Management ничего указывать не будем.

Четвертый этап (Step 4: Application Servers)

Этап настройки серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Нам это не требуется, поэтому оставим опцию Do not extend authentication to application servers.

На этом мастер настройки роли Remote Access завершен, нам осталось сохранить изменения.

После окончания работы мастер создаст две новых групповых политик DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена. Их можно оставить там, либо перелинковать на нужный OU.

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Отключаем тесовую машину от корпоративной сети и подключаемся в интернету через Wi-Fi. Система автоматически подключается к корпоративной сети через DirectAccess, о чем свидетельствует статус Connected значка Workplace Connection (именно так мы назвали наше подключение при настройке сервера) в списке сетей.

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети