Веб-трансляция "Архитектура Network Access Protection (NAP)" и ответы на заданые вопросы

  • Article

Веб-трансляция "Архитектура Network Access Protection (NAP)" прошла довольно успешно, по крайней мере, если судить об успешности по количеству участников и числу заданых вопросов. Те кто не смог поучаствовать как обычно могут посмотреть ее в записи.

Было достаточно много вопросов о NAP. Явно видно, что тема проверки здоровья сетевых клиентов и принуждения к соблюдению политик организации, не на шутку беспокоит коллег.

 

Самые любопытные, из заданых вопросов публикую здесь.  Постараюсь ответить на каждый как можно подробнее:

 

Вопрос: Будет ли работаспособен NAP, если DHCP запущен не на Win2k8?

Ответ: На данный момент единственный DHCP сервер который поддерживает NAP это DHCP компонент Windows Server 2008. Понятно что рынок не может пустовать, и достаточно скоро появится предложение DHCP серверов с NAP от других производителей. Подробности читайте в блоге  команды NAP.

 

Вопрос: Вы сказали, что есть NAP агент для XP SP3. Почему не планируется выпуск агента для Windows Server 2003?

Ответ: Честно говоря не вижу смысла в том, чтобы помещать сервера в карантин и ждать пока не произойдет самовосстановление. Автоматическое самовостановление может быть весьма опасным в данном случае. Соответствие серверов политикам организации, обычно достигается с помощью процесса управления конфигурациями. К примеру с помощью System Center Configuration Manager.

 

Вопрос: Каким образом идет проверка необходимых обновлений или версий ПО.... Возможно обойти это подставив ложную информацию?!

Ответ: Проверка метрик здоровья систем происходит с помощью пар SHA (System Health agent) и SHV (System Health validator). NPS диктует какие именно SHV нужно проверять. Подробнее читайте тут. Да, конечно, теоретически возможно сфабриковать все что угодно. Вопрос только в том сколько усилий надо для этого приложить. Насколько я знаю пока что это никому не удалось. Как уже было сказано NAP это не барьер безопасности, это лишь средство её повышения.

 

Вопрос: Проверка "здоровья" клиента происходит постоянно или только при подключении к сети? Что будет если после успешного подключения клиент у себя отключит firewall, NAP переведет его в карантин?

Ответ: Да, переведет. Проверка производится в момент подключения и при возникновении событий безопасности внутри клиентской системы. Все события интересные NAP попадают в Windows Security Center оттуда их забирает Windows Security Health Agent и отдает агенту NAP. Агент NAP в свою очередь передает их NPS серверу. NPS сервер принимает решение о том, что делать с клиентом и приказывает выполнить это NAP агенту. Обмен такими данными происходит в реальном времени, по мере возникновения событий внутри клиента. Подробности можно смотреть тут и тут

 

Вопрос: Вы сказали, что есть NAP агент для XP SP3. Почему не планируется выпуск агента для Windows Server 2003?

Ответ: Честно говоря не вижу смысла в том, чтобы помещать сервера в карантин и ждать пока не произойдет самовосстановление. Автоматическое самовостановление может быть весьма опасным в данном случае. Соответствие серверов политикам организации, обычно достигается с помощью процесса управления конфигурациями. К примеру с помощью System Center Configuration Manager.

 

Вопрос: Если сервер восстановления (Remediation) подвергся DOS атаке, есть ли вероятность что все клиенты не соответствующие политике сразу будут попадать в основную сеть?

Ответ: Даже если сервер восстановления подвергнется атаке, ничего страшного не произойдет. Решение о перемещении клиентов в карантин и возвращении их в корпоративную сеть принимает не он, а сервер NPS. В случае если у вас выходит из строя сервер автовосстановления клиенты просто останутся в карантине до тех пор пока не исправятся.