В данной сессии мы рассмотрим, как работает NAP в гетерогенной среде. Как обеспечить интеграцию NAP с ForeFront Client Security и антивирусными продуктами третьих сторон? Также будет демонстрироваться подход, позволяющий контролировать политики здоровья для систем на основе Linux.
2. Что такое NAP?
Интеграция Forefront Client Security и NAP
Как это работает?
Метрики здоровья FCS Integration Kit
Восстановление
NAP в гетерогенной среде
Microsoft TechDays http://www.techdays.ru
3. Будет ли это вашей единственной защитой?
Microsoft TechDays http://www.techdays.ru
4. Улучшенная технология не обязательно решает все проблемы. :(
Microsoft TechDays http://www.techdays.ru
5. Защитим периметр (межсетевой экран, VPN)
Вынесем сервера в демилитаризованную зону
(DMZ)
Построим систему управления
конфигурациями и изменениями
(развертывание и обновления систем,
антивирусы)
Внедрим систему обнаружения вторжений
(IDS)
Microsoft TechDays http://www.techdays.ru
6. И надеемся что все пойдет
хорошо........
Microsoft TechDays http://www.techdays.ru
7. 20% инцидентов безопасности происходит
по вине внешних злоумышленников
80% с участием внутренних сотрудников
Источник: Исследование Национального центра оценки угроз США (National Threats
Assessment Center, NTAC) и координационного центра CERT при Университете
Карнеги-Меллона. 2004 г.
Microsoft TechDays http://www.techdays.ru
8. Излишние полномочия
Редкие обновления (мобильные
пользователи)
Недостаточная грамотность в вопросах
безопасности
Неподконтрольность гостевых и
домашних рабочих мест
Microsoft TechDays http://www.techdays.ru
9. Нет виновных??!!!!
Трудно отслеживать исполнение
политик и регламентов....
....и реагировать вовремя!!!!!
А еще лучше защищаться
заранее !!!
Microsoft TechDays http://www.techdays.ru
10. Стратегия безопасности при которой
периметр состоит из нескольких
защитных механизмов
Проникновение через один слой
приводит к необходимости взламывать
следующий
Microsoft TechDays http://www.techdays.ru
11. Повышает вероятность обнаружения
атаки
Замедляет атакующего и дает нам время
для:
Анализа методов проникновения
Перенастройки защитных систем
Внедрения новых методов противодействия
Microsoft TechDays http://www.techdays.ru
13. Создать дополнительный слой защиты
Воспользоваться механизмами Network
Access Protection
Помочь защититься от нездоровых систем с
антивирусом FCS на борту
Предоставить специальные политики NAP для
клиентов с FCS
Создать механизмы карантина и принудительного
восстановления для клиентов с FCS
Microsoft TechDays http://www.techdays.ru
14. Windows Vista Business, Enterprise,Ultimate
Windows Server 2008 Standard, Enterprise
Windows XP Professional SP3 (x32)
Microsoft TechDays http://www.techdays.ru
15. Microsoft
Update
Настройки Отчеты
Обновления События
Microsoft TechDays http://www.techdays.ru
16. Решение позволяющее:
Проверять соответствие клиентов
политикам здоровья
Ограничивать доступ несоотствующих
клиентов
Автоматически восстанавливать
здоровье клиентов Интранет
Непрерывно обновлять клиентов для
поддержания состояния здоровья
Основано на открытых стандартах
Работает с большинством сетевых
устройст
Поддерживает множество антивирусных
продуктов
Стандарт де факто для продуктов
категории Network Access Control
Microsoft TechDays http://www.techdays.ru
17. Сторонние
Запрос доступа 1 сервера политик
1
Идентификация клиентской системы
и отправка метрик здоровья в NPS Microsoft
2 (RADIUS) NPS 3
NPS проверяет метрики на Несовместим 4
3 соответствие политикам 2 Сервера
Карантин восстановления
Если метрики здоровья не
Policy
соответствуют политикам клиент
4 отправляется в карантин с DCHP,
compliant
последующим автовосстановлением VPN
Коммутатор Корпоративная сеть
Маршрутизатор 5
Если метрики соответствуют
5 политикам предоставляется доступ
в корпоративную сеть
Microsoft TechDays http://www.techdays.ru
19. Information
Protection
Active Directory
Federation Services
(ADFS)
Identity
Management
Guidance
Developer
Microsoft TechDays http://www.techdays.ru
Tools
20. Information
Protection
FCS/NAP
integration
Active Directory
Federation Services
(ADFS)
Identity
Management
Guidance
Developer
Microsoft TechDays http://www.techdays.ru
Tools
21. Компоненты проверки здоровья: Компоненты принуждения:
• System Health Agents (SHA’s) • Enforcement Clients (EC’s)
• System Health Validators (SHV’s) • Enforcement Servers (ES’s)
Windows Update Server Политики здоровья
Обновления
Метрики Запросы на
Клиенты Сервер
здоровья доступ в сеть
(Vista/XP SP3) политик NPS
Сертификаты
FCS Windows FCS Windows
здоровья
SHA SHA SHV SHV
Коммутатор 802.1X
Агент карантина (QA) Policy Firewall
Сервер карантина (ES)
SSL VPN Gateway
Certificate Server
Microsoft TechDays http://www.techdays.ru
23. Имя проверки Условия
Продукт установлен и обновлен • Проверяем бинарные файлы FCS
• Все обновления старше чем N дней установлены
Обновление баз • Все базы сигнатур FCS скачаны и установлены
Статус сервисов Запущены сервисы:
• FCSAM - Anti-malware
• FCSSSA - Security State Assessment
• MOM - Microsoft Operations Manager
• WUAUSERV - Windows Update Agent
Здоровье антивируса FCS • Проверяем
• Что защита от злонамеренного кода и вирусов
включена.
• Может ли работать FCS.
Microsoft TechDays http://www.techdays.ru
24. Восстанавливающеее действие Требования
Обновить FCS • Запустить сканирование WUA
• Скачать и установить обновления
антивируса
Установить обновления баз сигнатур • Call mpcmdrun.exe
антивируса /UPDATESIGNATURES
Включить сервисы • FCSAM - Anti-malware
• FCSSSA - Security State Assessment
• MOM - Microsoft Operations Manager
• WUAUSERV - Windows Update Agent
Проверка основных компонентов FCS Если основные функции FCS отключены
пользователь будет уведомлен и
событие будет запротоколировано
Microsoft TechDays http://www.techdays.ru
33. Порты и профили межсетевого
экрана
Сервисы
Антивирус
Средства борьбы со зловредным и
шпионским кодом
Ключи и ветви реестра
Windows Vista Business,
Enterprise,Ultimate
Windows Server 2008 Standard, Enterprise
Windows XP Professional SP3
Microsoft TechDays http://www.techdays.ru
36. Порты межсетевого экрана
Сервисы
Антивирус
Redhat Enterprise Linux 5 и
выше
CentOS 5 и выше
Fedora Core 6 и выше
SUSE Linux 10.x
Microsoft TechDays http://www.techdays.ru
Демонстрация работы NAP с помощью включения и выключение антивируса и файервола.
Network Access Protection (NAP) is a policy enforcement platform that allows better protection of network assets by enforcing compliance with system health requirements. With Network Access Protection, administrators can create customized health policies to validate computer health before allowing access or communication, automatically update compliant computers to ensure ongoing compliance, or limit the access of noncompliant computers to a restricted network until they become compliant. Network Access Protection functions on four levels. It: Validates compliance to health and security policyRestricts access to the network resources based on that complianceAutomatically remediates clients to a compliant health stateEnsures the client’s ongoing compliance to policy.
TDM-specific notes TBDNetwork Access Protection Functionality Microsoft built the Network Access Protection platform with client and server components. The client side is built into Windows Vista and will be included in Windows XP SP 3. The server components are being shipped with Windows Server 2008. The NAP platform functions in real time. It recognizes, quarantines and minimizes threats before they even reach the network. What happens to a client when it tries to access the network in a NAP-enabled world? Lets go through the process. (Follow slide build.)Health Check: Client requests access to network and presents current health state. DHCP, VPN or Switch/Router relays health status to Microsoft Network Policy Server (RADIUS)Endpoints are checked by Network Policy Server (NPS) for update level, antivirus, and other criteria as defined by policy. Changes in policy or client health state may trigger the scan and remediate process to keep the client up to date.If policy compliant, client is granted full access to corporate networkExamples of healthy client:• Security agent present• Firewall running• BIOS intact• Latest OS patches• Up-to-date antivirus• No malware detected• Only approved applications installedNetwork Restriction & Remediation - Clients that do not pass may be blocked from accessing the network. Restricted clients may be given access to remediation resources to get healthy. The cycle starts over (repeat steps 1-4).Examples of unhealthy client:• Disabled security agent• No firewall running• BIOS irregularities• Missing patches• Outdated antivirus signatures• Scans detect malware