Компанія Microsoft для своїх систем розробила технологію мережевого захисту Network Access Protection (MS-NAP). Вона призначена для обмеження мережного доступу за принципом відповідності встановленим вимогам безпеки, головна з яких – наявність сервіс-паку та останніх латок-хотфіксів.

У MS-NAP немає механізму захисту від проникнення зловмисників, проте за допомогою цієї технології можна убезпечити роботу в мережі окремих машин.

У чому переваги технології Network Access Protection?

Грубо кажучи, головною метою NAP є запобігання підключенню до мережі клієнтських систем із застарілою конфігурацією (наприклад, де встановлені старі версії службових пакетів доповнень, антивірусного програмного забезпечення та ін.). NAP також надзвичайно корисна для мобільних систем. Уявіть власника ноутбука, який працює вдома та підключається до корпоративної мережі, будучи поза офісом; якщо це суперечить безпековій політиці компанії, NAP зможе заборонити доступ для даного комп'ютера.

NAP необхідна у випадках, коли співробітники фірми входять у мережу зі своїх домашніх ПК. Зазвичай організації забороняють доступ до мережі таким машинам, але трапляються винятки. У таких ситуаціях NAP необхідна як повітря, оскільки без неї адміністратор не може навіть перевірити, чи є на комп'ютері. останні версіїслужбових пакетів та хотфіксів.

NAP можна використовувати для перевірки стану стандартних настільних систем (та інших серверів Windows Server 2008) щодо надання мережного доступу. Такий підхід допомагає захистити від проблем, які можуть виникнути, якщо машину, довгий часщо працювала автономно (внаслідок чого вона стала більш уразливою), підключили до мережі. По суті, це обіцяє ті ж неприємності, що і в описаній вище ситуації з ноутбуком.

Налаштування MS-NAP

MS-NAP можна налаштувати за допомоги Windows Server 2008 для сервера та Windows Vista, Windows Server 2008, Windows XP з третім пакетом оновлень для клієнтів, що підтримуються. Третій сервіс-пак для Windows XP поки що не побачив світ (знаходиться на стадії бета-тестування), але відомо, що в ньому буде представлений модуль NAP для цієї операційної системи.

Інструментарій MS-NAP використовує ролі об'єктів мережі для здійснення політики адміністрування та безпеки, зберігання даних про системні вимоги для клієнтських машин, їх перевірки на відповідність цим вимогам, автоматичного надання необхідних доповнень та виправлень, а також тимчасової ізоляції пристроїв, що не відповідають вимогам, - все це, згідно вибраним параметрам. Для пристроїв з виявленими вадами передбачена спеціальна карантинна зона (корекційна мережа), де здійснюється потрібне налаштуванняконфігурації, після якої вони можуть бути знову використані для подальшої роботиу корпоративній мережі. На малюнку A показано стандартну схему роботи MS-NAP та її рольових об'єктів.

Малюнок A. MS-NAP використовує різноманітні рольові об'єкти.

Microsoft давно випускає продукти для серверів, здатні здійснювати функції маршрутизації та управління службами DNS, DHCP, WINS; MS-NAP не є винятком. Хоча не всім IT-фахівцям на підприємствах знадобляться послуги, що надаються мережевим обладнанням, технологія MS-NAP дозволяє використовувати рольові об'єкти сервера Windows для ідентифікації та управління системами безпеки. MS-NAP використовує традиційне мережеве обладнання, тому дана технологія не може вважатися 100% продуктом Microsoft.

Механізм роботи MS-NAP

Суть MS-NAP досить зрозуміла. Незрозуміло тільки, як усе це працює. Для захисту мережі MS-NAP використовує рольові об'єкти сервера разом із комбінаціями комунікаційних каналів. Розглянемо докладніше потік трафіку MS-NAP. Для сервера використовуються такі компоненти MS-NAP:

Повноваження реєстру безпеки (HRA):Цей комп'ютер Windows Server 2008, якому призначено роль інтернет-сервера IIS, отримує сертифікати безпеки з відповідних центрів.
Сервер політики NAP (NAP Health Policy Server, NPS):Цей комп'ютер Windows Server 2008 з NPS містить вимоги щодо політики безпеки та перевірку на відповідність цим вимогам.
Корекційний сервер (Remediation Server):Тут розміщено ресурси для усунення несправностей клієнтів NAP, які не пройшли перевірку на відповідність. Наприклад, останні версії антивірусного програмного забезпечення та інших програм.
Сервер вимог безпеки (Health Requirement Server):Цей рольовий об'єкт забезпечує сервери MS-NAP необхідними компонентами, які забезпечують поточний рівень безпеки.
Клієнт NAP (NAP client):Комп'ютер з ОС Windows XP SP3 або Vista, який спрямовано діяльність MS-NAP.
Сервер VPN (VPN server):Роль сервера може виконувати вже існуюча система, однак потрібно мати на увазі, що це точка доступу в зовнішню мережу(яка не обмежується лише інтернетом).
Мережеве обладнання:Комутатори або точки бездротового доступу WAP, які підтримують протокол ідентифікації IEEE 802.1X.
Сервер DHCP (DHCP Server):Сервер DHCP за допомогою протоколу RADIUS передає дані про рівень безпеки клієнта NPS серверу політики безпеки. Це є ключовим компонентом MS-NAP. Якщо система пройшла перевірку, їй надається необмежений доступ до мережі, інакше вона потрапляє до карантинної мережі для коригування конфігурації.

Варіанти використання MS-NAP

Після того, як ми розглянули принцип роботи MS-NAP, розберемося, які вигоди від застосування цієї технології можуть отримати користувачі звичайних мереж. Безпека стоїть першому місці у політиці будь-якої організації, отже, функції захисту кожного програмного продукту мають бути передбачені ще ранніх стадіях розробки. Технологія MS-NAP здатна заборонити доступ до мережі незахищеним системам та окремим користувачам. У середовищі Windows є один з найкращих інструментів управління системами - домен Активної директорії (Active Directory, AD).

За допомогою AD IT-професіонали можуть керувати великою кількістю елементів систем та використовувати додаткові пакети адміністрування, наприклад Systems Management Server (SMS), а також налаштовувати політику оновлень для Windows та захисту від вірусів. MS-NAP може допомогти там, де працюють звичайні стратегії адміністрування.

Уявіть, коли постачальнику або іншому діловому партнеру потрібно підключитися до ресурсу корпоративної мережі. Підключення може здійснюватися з машин, приєднаних до іншого домену або мережі з іншим механізмом управління, тобто недоступних для контролю адміністратором. Нарешті ці комп'ютери можуть належати іншому середовищу Активних директорій, а це означає, що адміністратора, після того як ці машини підключатися до мережі, не буде необхідних ресурсів для коригування необхідних налаштувань. Технологія MS-NAP виправить потрібні параметридистанційної системи, перш ніж вона отримає доступ до мережі.

Питання оновлення та налаштування конфігурації систем з інших організацій – тема окремої розмови, менш важлива, ніж питання щодо надання їм прямого доступу до корпоративної мережі. Але у разі такої необхідності MS-NAP змусить віддалену систему прийняти правила мережевої політики перед тим, як надати можливість підключення. Це допомагає подолати розбіжність у стандартах, прийнятих організацією та групами розробників комп'ютерного устаткування.

Головним завданням MS-NAP є профілактика ризиків, що виникають при підключенні віддалених користувачів, які виходять у мережу з домашніх комп'ютерів та ноутбуків. Найбільший ризик виникає при вході в мережу користувачів, які майже не переймаються безпекою своїх систем. MS-NAP дозволяє здійснювати керування конфігурацією всіх віддалених систем, включаючи ті, що рідко підключаються до мережі (через це не відбувається своєчасне оновлення конфігурації параметрів безпеки). Клієнт MS-NAP не повинен мати обліковий запис у домені Активної директорії організації. До того ж, за допомогою AD можна здійснювати безпосереднє управлінняідентифікацією.

Ресурси Microsoft для MS-NAP

В інтернеті представлена ​​інформація про розробку та пробної версіїцього інструментарію для бета-версій систем Windows Server 2008. Компанія Microsoft у свою чергу представила на своєму сайті.

Міжплатформна підтримка NAP

Технологія MS-NAP працює на основі широко розповсюдженого мережевого протоколу ідентифікації IEEE 802.1X, що забезпечує сумісність NAP з операційними системами Windows Server 2008, Vista, XP та різними видами пристроїв. В цілому, IEEE 802.1X за допомогою стандартного протоколу RADIUS дозволяє здійснювати безпечний доступ до бездротових мереж та мереж Ethernet.

Головна перевага цього протоколу полягає в тому, що серверу ідентифікації не потрібно надавати роль вузла бази даних. Це означає, що мережеве обладнання, що підтримує IEEE 802.1X, може подавати запити на рольові об'єкти MS-NAP. Таким чином, технологія MS-NAP дозволяє здійснювати централізоване керування процесами авторизації та ідентифікації, а також вести облікові записи відповідно до заданих параметрів безпеки. В даний час цей протокол, розроблений спільними зусиллями інженерів HP, Microsoft, Cisco, Trapeze networks та Enterasys, підтримується більшістю виробників мережного обладнання.

Матеріали

Як ви, швидше за все, помітили, останнім часом більшість моїх статей присвячується технології групової політики, яку, на мою думку, необхідно знати та розуміти, оскільки саме завдяки цій технології ви можете захистити користувачів, комп'ютери та мережу своєї компанії від багатьох бід. Групові політики тісно пов'язані практично з кожними технологіями, які можна розгортати у створенні. Але в будь-якому випадку, навіть якщо ви використовуватимете сценарії з кожним параметром групової політики, парк комп'ютерів вашої організації все ще буде вразливим з багатьох причин.

Практично в кожній організації, одним з основних завдань системного адміністратора, а іноді й окремого адміністратора безпеки, пов'язаного з обслуговуванням парку комп'ютерів, є забезпечення безпеки. В організаціях найчастіше для забезпечення безпеки впроваджують такі рішення:

• Встановлення антивірусного програмного забезпечення на клієнтські комп'ютери, файлові та поштові сервери, а також консолі керування антивірусним програмним забезпеченням на виділеному сервері. До ключових продуктів для бізнесу антивірусної безпеки можна віднести продукти Microsoft ForeFront, Kaspersky Enterprise Space Security, а також Symantec Endpoint Protection;
• Налаштування брандмауерів на робочих станціях та серверах в організації. Наприклад, брандмауер Windowsв режимі підвищеної безпекидозволяє фільтрувати вхідний та вихідний трафік, використовуючи настроювані правила для визначення законних та небезпечних комунікацій;
• Розгортання міжмережевих екранів у демілітаризованих зонах, які можуть бути комплексними рішеннями для забезпечення безпеки в мережі, що дають змогу захистити внутрішню мережу організації від загроз з Інтернету. Наприклад, міжмережевий екран Microsoft Forefront Threat Management Gateway 2010 пропонує єдиний простий спосіб забезпечення безпеки периметра завдяки інтегрованому міжмережевому екрані, VPN, запобігання вторгнень, перевірки наявності шкідливих програмта фільтрації URL-адрес.
• Забезпечення безпеки обміну даних між комп'ютерами за допомогою протоколу IPSec, який найчастіше застосовується для захисту трафіку через Інтернет під час використання віртуальних приватних мереж;
• Налаштування політики безпеки групової політики. До таких політиків можна віднести політики паролів та блокування облікових записів, політики відкритого ключа, політики обмеженого використання програм та багато іншого;
• Використання шифрування дисків, що дозволяє захистити дані, розташовані на клієнтських комп'ютерах у тому випадку, якщо комп'ютер вкрадений або щоб уникнути розкриття даних, що знаходилися на втрачених, вкрадених або неправильно списаних персональних комп'ютерах.

Як бачите, не існує єдиного комплексного рішення, що дозволяє повністю захистити всіх ваших користувачів від різних ситуаційта атак і, зрозуміло, перерахований вище список рішень не є остаточним. Але за допомогою всіх вищевказаних рішень забезпечення безпеки ви зможете лише захистити мережу своєї організації від атак зловмисниками ззовні, тобто з Інтернету. Також ви можете захистити свою інтрамережу від людського фактора, оскільки при правильному використанні функціоналу групової політики можна обмежити користувачів від виконання багатьох дій, а також від внесення більшості змін до системи. Але не варто уникати можливості, коли співробітники вашої компанії роз'їжджають по відрядженнях. Будучи на вокзалі, в аеропорту, інтернет-кафе або в партнерській організації, ваш користувач міг підключати свій ноутбук до мережі Інтернет або до внутрішньої мережі іншої компанії. А оскільки в розташуванні, де користувач підключався до мережі Інтернет, можуть бути не дотримані вимоги безпеки, ноутбук вашого співробітника може бути заражений і після повернення до свого офісу вірус, розташований на ноутбуці співробітника, що приїхав, може почати поширюватися на вразливі комп'ютери. Описаний вище сценарій є найбільш поширеним і, щоб уникнути подібних ситуацій, в операційній системі Windows Server 2008 було анонсовано нову технологію «Захист доступу до мережі». Ця технологія містить як клієнтські, так і серверні компоненти, що дозволяють створювати та застосовувати певні політики вимог до працездатності, що визначають характеристики конфігурації програмного забезпечення та системи при підключенні комп'ютерів до внутрішньої мережі організації. Коли клієнтські комп'ютери підключаються до мережі організації, їх комп'ютери повинні відповідати певним вимогам стану і якщо комп'ютер не відповідає таким вимогам (наприклад, встановлення останніх оновлень операційної системи), вони будуть поміщені в мережевий карантин, де зможуть завантажити останні оновлення, встановити антивірусне забезпечення та виконати інші необхідні дії. У цій вступній статті я коротко розповім про цю технологію.

Технологія захисту доступу до мережі та методи примусового захисту

Як вже було згадано трохи раніше, захист доступу до мережі (Network Access Protection, NAP) є платформою, що розширюється, що надає певну інфраструктуру. Захист доступу до мережі вимагає виконання повної перевірки та оцінює працездатність клієнтських комп'ютерів, при цьому обмежуючи доступ до мережі для клієнтських комп'ютерів, що не відповідають цим вимогам. У захисті доступу до мережі застосовуються політики працездатності, що перевіряють та оцінюють клієнтські комп'ютери, приводячи їх у відповідність до політики працездатності до надання їм повного доступу до мережі. Незважаючи на те, що технологія захисту доступу до мережі забезпечує багатий функціонал, такі компоненти як перевірка стану працездатності комп'ютера, створення звітів про працездатність, порівняння показників працездатності клієнтського комп'ютера з параметрами політики працездатності, а також налаштування параметрів клієнтського комп'ютера відповідно до вимог політики працездатності. іншими компонентами, які називаються агентами працездатності системи та засобами перевірки працездатності системи. Агенти працездатності за замовчуванням включені як компоненти системи в операційних системах, починаючи з Windows Vista та Windows Server 2008. Але для інтеграції захисту доступу до мережі розробники стороннього програмного забезпечення також можуть використовувати набір API для написання своїх власних агентів працездатності. Варто звернути увагу на те, що захист доступу до мережі надає двосторонній захист клієнтських комп'ютерів і внутрішньої мережі організації, забезпечуючи відповідність комп'ютерів, що підключаються до мережі, діючих в організації вимогам політики мережі, а також політики працездатності клієнта.

Самі по собі політики працездатності застосовуються з використанням компонентів клієнтської сторони, які вже перевіряють та оцінюють працездатність, згідно з якими обмежується доступ до мережі для невідповідних клієнтських комп'ютерів, а також одночасно компонентів клієнтської та серверної сторони, які забезпечують оновлення невідповідних клієнтських комп'ютерів для надання їм повного доступу до мережі. А працездатність задається у вигляді відомостей про клієнтський комп'ютер, які використовуються захистом доступу до мережі для визначення можливості доступу даного клієнтадо внутрішньої мережі організації. До прикладів характеристик, які перевіряються при оцінці стану працездатності стану конфігурації клієнтського комп'ютера, порівняно зі станом, необхідним відповідно до політики працездатності, можна віднести статус установки оновлень операційної системи та оновлень сигнатур антивірусного програмного забезпечення, встановлення оновлень антишпигунського програмного забезпечення, працездатність брандма комп'ютері та інше. У разі, якщо конфігурація клієнтського комп'ютера не буде відповідати необхідному стану, таким комп'ютерам або буде повністю заборонено доступ до мережі організації, або їм буде надано доступ тільки до спеціальної мережі карантину, де клієнту буде надано оновлення програмного, антивірусного та антишпигунського забезпечення.

Коли клієнтські комп'ютери намагаються отримати доступ до мережі організації через сервери доступу до мережі як VPN-сервери, до них застосовується примусовий захист доступу до мережі. Спосіб застосування такого примусового захисту залежить від обраного методу застосування. Політики працездатності захисту доступу до мережі можуть бути застосовані до таких мережних технологій:

• Протоколу DHCP. У разі використання цього типу примусового захисту використовується серверна роль DHCP, встановлена ​​на комп'ютері під Windows Server 2008, що забезпечує автоматичне надання IP-адрес клієнтським комп'ютерам. Якщо для цього типу увімкнено захист NAP, то IP-адреси, що надають мережевий доступ можуть отримати лише комп'ютери, які повністю відповідають вимогам безпеки, а решта комп'ютерів отримуватиме адреси в підмережі 255.255.255.255 без основного шлюзу. Незважаючи на те, що клієнти не можуть отримати доступ до мережі організації, вони будуть забезпечені маршрутами вузла, що направляють трафік на мережеві ресурси у групі відновлення працездатності, де вони зможуть встановити всі необхідні оновлення безпеки;
• Безпечним підключенням IPSec. Цей метод включення примусового захисту розгортається у тому, щоб клієнти перевіряли актуальність захисту системи перед отриманням сертифіката працездатності. У свою чергу сервер сертифікації видає клієнтам NAP сертифікат X.509 для перевірки автентичності, який необхідний для забезпечення безпеки IPSec перед підключенням клієнтів до мережі, коли вони обмінюються даними протоколу IPsec з іншими клієнтами організації. При використанні поточного методу разом із підтримкою захисту доступу до мережі вам доведеться ще розгорнути сервер сертифікації;
• Провідним та бездротовим мережам IEEE 802.1X. Метод примусового захисту на основі дротових або бездротових мереж IEEE 802.1X реалізується спільно з точками бездротового доступу або комутаторами Ethernetза допомогою автентифікації 802.1X. При цій реалізації сервер NAP дає комутатору автентифікації 802.1X або точці бездротового доступу 802.1X команду переміщати невідповідних вимогам клієнтів у зону карантину або взагалі не підключати до мережі організації. Поточний метод захисту забезпечує гарантії відповідності вимогам системи безпеки для комп'ютерів, які можуть перебувати в мережі тривалий час;
• VPN-серверам та підключенням. Застосування даного методупримусового захисту призначається для роботи з віртуальними приватними мережами та передбачає розгортання VPN-сервера Windows Server 2008 та компонента «Маршрутизація та віддалений доступ». Відповідно, при використанні NAP, клієнти, що підключаються до віртуальної приватної мережі, повинні проходити перевірку працездатності, і необмежений мережевий доступ будуть отримувати лише клієнтські комп'ютери, які відповідають вимогам системи безпеки;
• Шлюзу віддалених робочих столів. Незважаючи на те, що в більшості випадків до серверів віддалених робочих столів можуть підключатися лише певні авторизовані користувачі, відстеження стану працездатності клієнтських комп'ютерів дозволяє підключатися до серверів або віддалених робочих столів лише відповідним вимогам безпеки комп'ютерів.

Висновок

Загалом, як ви вже зрозуміли, технологія «Захист доступу до мережі»забезпечує додатковий ступінь безпеки, що надає допуск до ресурсів внутрішньої мережі лише комп'ютерам, які відповідають відведеним вимогам безпеки. Але не варто забувати і про те, що, незважаючи на забезпечення гарантії технології захисту доступу до мережі, ваші користувачі не зможуть підключитися до внутрішньої мережі без відповідності вимог безпеки, робота NAP може не перешкоджати досвідченому хакеру, все одно підключитися до мережі вашої організації. На цьому перша стаття з циклу статей з технології захисту доступу до мережі NAP добігає кінця. У наступних статтях цього циклу ви дізнаєтеся про розгортання технології NAP, про усунення несправностей, пов'язаних з цією технологією, про всі методи примусового захисту, а також про багато інших нюансів.

Один із аспектів мережевої безпеки, який засмучує багатьох адміністраторів, полягає в тому, що вони не мають контролю над конфігурацією віддалених комп'ютерів. Хоча корпоративна мережа може мати дуже безпечну конфігурацію, теперішній моментніщо не може завадити віддаленому користувачеві підключитися до корпоративної мережі за допомогою комп'ютера, зараженого вірусами, або який не містить необхідних оновлень. Інструмент операційної системи Longhorn Server під назвою Network Access Protection(Захист доступу до мережі, NAP) дозволить змінити таку ситуацію. У цій статті я розповім вам про інструмент NAP та покажу, як він працює.

Коли я працював мережним адміністратором, одна з речей, яка мене дуже засмучувала, полягала в тому, що я мав дуже слабкий контроль над віддаленими користувачами. Відповідно до бізнес вимог моєї організації, у віддалених користувачів повинна була існувати можливість підключення до корпоративної мережі з будь-якого місця поза офісом. Проблема полягала в тому, що хоча я вживав екстремальних заходів для захисту корпоративної мережі, я не мав абсолютно ніякого контролю над комп'ютерами, який користувачі могли б використовувати для віддаленого підключення до мережі. В кінці кінців, домашній комп'ютерспівробітника перестав бути власністю компанії.

Причина, через яку це так сильно мене засмучувало, полягала в тому, що я ніколи не знав, у якому стані є комп'ютер користувача. Іноді віддалені користувачі могли підключатися до мережі за допомогою комп'ютера, який заражений вірусами. Іноді комп'ютер віддаленого користувача міг працювати на застарілій версії операційної системи Windows. Хоча я вдався до захисту корпоративної мережі, я завжди боявся, що віддалений користувач з неадекватним захистом може інфікувати файли в мережі вірусом, або випадково відкрити важливу корпоративну інформацію, тому що його комп'ютер може бути заражений трояном.

Проте кілька років тому з'явився промінь надії. Компанія Microsoft підготувалася до випуску операційної системи Windows Server 2003 R2, в якій йшлося про новий інструмент під назвою NAP. Щоб трохи скоротити історію, розповім лише, що щоб налаштувати безпеку мережі за допомогою більше ранніх версійцього інструменту, необхідно було мати вчений ступінь у галузі комп'ютерної безпеки. І тому інструмент NAP було видалено з остаточної версії R2.

Компанія Microsoft зробила великий обсяг роботи з удосконалення інструменту NAP з того часу, і тепер інструмент NAP одним з основних інструментів безпеки в операційній системі Longhorn Server. Хоча версія інструменту NAP для операційної системи Longhorn буде набагато простішою в налаштуванні, ніж версія Windows Server 2003, що не вийшла, вона, як і раніше, залишається дуже складною. Тому метою написання цієї статті було надати вам опис інструменту NAP, а також показати вам, як він працює ще до виходу офіційної версії операційної системи Longhorn Server.

Для початку

Перед тим, як я продовжу, я хочу пояснити ще одну річ щодо інструменту NAP. Призначення інструменту NAP полягає в тому, щоб переконатися, що комп'ютер віддаленого користувача відповідає вимогам безпеки вашої організації. NAP нічого не робить, щоб запобігти неавторизованому доступу до вашої мережі. Якщо у зловмисника є комп'ютер, який відповідає вимогам безпеки вашої компанії, то NAP нічого не зробить, щоб спробувати зупинити зловмисника. Захист від зловмисників, які намагаються отримати доступ до мережевих ресурсів, – це завдання інших механізмів безпеки. NAP спроектований для того, щоб просто заборонити вхід до вашої мережі дозволеним користувачам, які використовують небезпечні комп'ютери.

Ще одну річ, про яку я хочу згадати, перед тим як продовжити свою розповідь далі, полягає в тому, що інструмент NAP відрізняється від інструмента Network Access Quarantine Control, який є в операційній системі Windows Server 2003. Інструмент Network Access Quarantine Control використовує обмежені політики контролю віддалених комп'ютерів, але він підпорядковується NAP.

Основи захисту доступу до мережі

Інструмент NAP спроектований для розширення корпоративного VPN. Процес починається, коли клієнт встановлює VPN сесію з сервером Longhorn, на якому запущено службу Routing and Remote Access (маршрутизація та віддалений доступ). Після того, як користувач встановлює з'єднання, сервер мережної політики перевіряє стан віддаленої системи. Це забезпечується шляхом порівняння конфігурації віддаленого комп'ютераз політикою мережного доступу, яку визначено адміністратором. Що відбувається далі залежить від того, що адміністратор прописав у цій політиці.

Адміністратор має налаштування для конфігурації або політики моніторингу (monitoring only policy), або політики ізоляції (isolation policy). Якщо включено лише політику моніторингу, будь-який користувач з правильними правами отримає доступ до мережевих ресурсів, незалежно від того, чи задовольняє його комп'ютер корпоративній безпековій політиці. Хоча політика моніторингу не забороняє будь-якому комп'ютеру доступ до мережі, результат порівняння конфігурації віддаленого комп'ютера з корпоративними вимогами записується в спеціальний журнал.

На мою думку, політика моніторингу найкраще підходить для переходу в середу NAP. Подумайте на секунду, якщо у вас є віддалені користувачі, яким необхідний доступ до ресурсів, що знаходяться у вашій корпоративній мережі, для виконання з роботи, то ви, найімовірніше, не захочете спочатку включати NAP в ізоляційному режимі. Якщо ви все ж таки захочете зробити так, то великий шанс того, що жоден з ваших віддалених користувачів не зможе отримати доступ до вашої корпоративної мережі. Натомість ви можете налаштувати NAP для використання політики моніторингу. Це дозволить вам оцінити вплив ваших політик доступу до мережі без випадкової заборони виконувати комусь його роботу. Після такого тестування ви зможете увімкнути політику в ізоляційному режимі.

Як ви, ймовірно, вже здогадалися, в режимі ізоляції комп'ютери, які не задовольняють корпоративну безпекову політику, поміщаються в мережевий сегмент, який ізольований від ресурсів промислової мережі. Звісно, ​​це дуже загальна заява. Це повністю на розсуд адміністратора, вирішити, що робити з користувачем, комп'ютер якого не задовольняє корпоративну політику. Зазвичай адміністратор надає користувачам, комп'ютери яких не задовольняють корпоративну політику, доступ до ізольованого мережного сегменту, про який я говорив вище. Також адміністратор має можливість обмеження доступу до одного ресурсу або до всіх мережних ресурсів.

Ви можете здивуватися, яка може бути перевага у наданні доступу комп'ютерам, які не відповідають вимогам корпорації до ізольованого мережного сегменту. Якщо комп'ютер, який відповідає вимогам, підключається до мережі, і інструмент NAP запущено в ізоляційному режимі, то комп'ютера закрито доступ у промислову мережу. Зазвичай такий карантин продовжується, поки користувач підключено до мережі. Простий карантин комп'ютерів, які задовольняють політикам компанії, дозволяє уникнути вірусного зараженняабо використання проломів у безпеці у вашій мережі, але не закриває для користувача багато всього корисного. Зрештою, якщо користувач не може отримати доступ до мережевих ресурсів, він не може виконувати свою роботу.

Тут таки приходить на допомогу ізольований мережевий сегмент. Адміністратор може помістити спеціальний набір оновлень та антивірусів у цей ізольований сегмент. Такі ресурси дозволяють привести комп'ютер віддаленого користувача у відповідність до вимог компанії. Наприклад, такі сервери можуть містити оновлення для безпеки або антивірусної програми.

Дуже важливо звернути увагу на те, що інструмент NAP не містить жодних механізмів, які здатні перевірити стан віддаленого комп'ютера та встановлення на ньому оновлень. Це вже буде робота агентів стану системи та валідатора стану систем. За чутками ці компоненти будуть інтегровані в наступну версію SMS Server.

Висновок

У цій статті я розповів вам про новий інструмент в операційній системі Longhorn Server під назвою NAP. У другій частині цієї статті я розповім вам про процес налаштування за допомогою цього інструменту.

Published on Лютий 20, 2009 by · Коментарів немає

У заключному розділі шостої частини цієї статті я показав вам, як настроїти непрацююче VPN з'єднання з клієнтом, який працює під керуванням операційної системи Windows Vista. У цій статті я завершу цю статтю та покажу вам, як закінчити процес налаштування клієнта.

Почнемо процес налаштування із запуску Панелі керування ( Control Panel), та натискання на посилання Network and Internet (мережа та інтернет), а потім на посилання Network and Sharing Center (мережа та центр доступу). Коли відкриється вікно Network and Sharing Center, натисніть посилання Manage Network Connections (Управління мережевими підключеннями). Ви повинні побачити вікно, в якому відображені всі ваші мережеві підключення, а також VPN підключення, яке ви створили в останній частині цієї статті.

Клацніть правою кнопкою миші на з'єднанні VPN і виберіть команду Properties (Властивості) з контекстного меню. Після цього з'явиться вікно властивостей з'єднання. Перейдіть на закладку Security (безпека) та виберіть радіо-кнопку Advanced (Custom Settings), як показано на малюнку A.

Рисунок A : Ви повинні налаштувати з'єднання, щоб використовувати додаткові параметри безпеки Advanced (Custom Settings)

Тепер натисніть кнопку Settings (Налаштування), щоб з'явилося діалогове вікно Advanced Security Settings (додаткові параметри безпеки). Т.к. ми вже налаштували VPN з'єднання використання відкритого протоколу для аутентифікації (Extensible Authentication Protocol), то ви повинні вибрати радіо-кнопку Use Extensible Authentication Protocol (EAP). Після цього стане активним список, що випадає, розташований під цією радіо-кнопкою. Виберіть Protected EAP (PEAP – захищений EAP) (Encryption Enabled-шифрування включено), як показано на малюнку B.

Рисунок B : Ви повинні налаштувати безпеку вашого VPN з'єднання та використовувати Protection EAP (PEAP) (Encryption Enabled)

Тепер клацніть кнопку Properties (Властивості), щоб відкрити діалогове вікно Protected EAP Properties (Властивості захищеного EAP). Поставте галочку в полі Validate Server Certificate (перевіряти сертифікат сервера) та приберіть галочку з поля Connect to these Servers (підключатися до серверів). Ви також повинні вибрати пункт Secured Password (EAP-MSCHAP V2) зі списку Select Authentication Method (вибір методу аутентифікації). Нарешті, заберіть галочку з поля Enable Fast Reconnect (включити швидке перепідключення) та поставте галочку в поле Enable Quarantine Checks (включити карантинні перевірки), як показано на малюнку C.

Рисунок C : Сторінка властивостей Protected EAP Properties дозволяє налаштувати параметри для відкритого протоколу для аутентифікації (Extensible Authentication Protocol)

Після цього натисніть кнопку OK у кожному відкритому діалоговому вікні, щоб їх закрити. Тепер ви налаштували з'єднання VPN connection, щоб воно задовольняло необхідні вимоги. Але ще не все зроблено. Для того, щоб Network Access Protection (захист доступу до мережі) почав працювати, необхідно зробити так, щоб служба Network Access Protection service стартувала автоматично. За промовчанням у операційній системі Windows Vista всі служби налаштовані на ручний запуск, тому ви повинні змінити спосіб запуску цієї служби.

Для цього відкрийте панель керування (Control Panel) і натисніть посилання System and Maintenance (система та підтримка), а потім на посилання Administrative Tools (адміністрування). Тепер перед вами з'явиться список різноманітних адміністративних інструментів. Двічі клацніть на іконці Services (Служби), щоб відкрити Service Control Manager (Менеджер управління службами).

У списку служб знайдіть службу Network Access Protection Agent service. Двічі клацніть на цій службі, а потім змініть тип запуску (startup type) на Automatic (автоматично) та натисніть кнопку OK. Пам'ятайте, що зміна типу запуску служби на Automatic (автоматично) не запустить цю службу. Це лише гарантує, що цю службу буде автоматично запущено після перезавантаження комп'ютера. Однак, ви можете запустити служби без перезавантаження, натиснувши правою кнопкою миші на службі та вибравши команду Start (пуск) із контекстного меню. Якщо у вас виникли проблеми із запуском служби, перевірте, щоб була запущена служба Remote Procedure Call (RPC віддалений виклик процедур) та служби DCOM Server Process Launcher. Агент служби захисту доступу до мережі Network Access Protection Agent Service не може працювати без цих допоміжних служб.

Перевірка захисту доступу до мережі (Network Access Protection)

Чи вірите ви чи ні, але ми нарешті закінчили налаштування захисту доступу до мережі (Network Access Protection). Тепер настав час виконати деякі прості тести, щоб переконатися, що все працює так, як ми хочемо.

Як ви пам'ятаєте, ми змінили налаштування нашого сервера мережевих політик (network policy server) таким чином, щоб комп'ютери, які не задовольняють політику, автоматично виправлялися. Ми також налаштували наш сервер мережевих політик (network policy server) таким чином, щоб єдиним критерієм був увімкнений брандмауер Windows firewall. Таким чином, ви повинні відключити брандмауер (firewall) на клієнтській машині, а потім підключитися до сервера мережної політики (network policy server), який використовує створене вами з'єднання VPN. Після цього, брандмауер на клієнтській машині має бути автоматично увімкнено.

Почнемо з вимкнення брандмауера на клієнтському комп'ютері. Для цього відкрийте панель керування (Control Panel) та натисніть посилання Security (безпека). Тепер виберіть посилання Windows Firewall(брандмауер), щоб відкрити діалогове вікно Windows Firewall. Припускаючи, що брандмауер Windows Firewall вже запущено, натисніть посилання Turn Windows Firewall On or Off. Тепер ви побачите діалогове вікно, яке дозволяє вам увімкнути або вимкнути брандмауер. Виберіть кнопку Off (not recommended), як зображено на малюнку D, і натисніть кнопку OK. Тепер брандмауер Windows Firewall повинен бути вимкнений.

Рисунок D : Виберіть кнопку Off (Not Recommended) і натисніть кнопку OK, щоб вимкнути брандмауер Windows firewall

Тепер, коли ви відключили брандмауер Windows Firewall, потрібно встановити з'єднання VPN з вашим сервером RRAS / NAP server. Для цього відкрийте Control Panel (Панель керування) та натисніть на посилання Network and Internet (мережа та інтернет), а потім на посилання Network and Sharing Center (мережа та центр доступу). Коли відкриється вікно Network and Sharing Center, натисніть посилання Manage Network Connections (Управління мережевими підключеннями). Тепер ви маєте побачити список локальний з'єднаньвашої робочої станціїта існуючі VPN підключення.

Двічі клацніть на VPN з'єднання, яке ви створили, а потім натисніть кнопку Connect (підключитися). Вам необхідно буде ввести ім'я користувача, пароль та назву домену. Натисніть кнопку OK після введення цієї інформації, і після цього буде встановлено з'єднання з сервером VPN / NAP server.

Через невеликий проміжок часу після встановлення з'єднань, ви повинні побачити наступне повідомлення на екрані:

Цей комп'ютер не має Meet Corporate Network Requirements. Network Access is Limited (Цей комп'ютер не відповідає корпоративним вимогам до мережі. Доступ до мережі обмежений).

Ви можете побачити це повідомлення на рис.

Рисунок E : Якщо брандмауер (firewall) вимкнено, ви повинні побачити це повідомлення після встановлення VPN з'єднання

Відразу після цього ви побачите, що іконка брандмауера Windows Firewall зміниться і вказуватиме на те, що брандмауер увімкнено. Як тільки це станеться, ви побачите ще одне повідомлення:

Це Computer Meets Corporate Network Requirements. You Have Full Network Access (Це комп'ютер відповідає корпоративним вимогам до мережі. У вас повний доступ до мережі).

Ви можете побачити це повідомлення на малюнку F.

Зображення F : Коли NAP Server підключить брандмауер Windows Firewall, з'явиться це повідомлення

Повідомлення, зображене на малюнку F, також з'явиться, коли ваш комп'ютер, повністю задовольняє корпоративним вимогам, підключитися до сервера NAP, використовуючи з'єднання VPN.

Висновок

У цій статті я показав вам, як налаштувати сервер NAP server, який дозволить гарантувати, що клієнти VPN задовольняють ваші вимоги до безпеки мережі. Однак, не забувайте, що на момент написання цієї статті операційна система Longhorn Server все ще знаходилася в режимі тестування. І тому деякі етапи цього процесу можуть зазнати невеликих змін після виходу остаточної версії Longhorn, але я не чекаю будь-яких великих змін. Ви також повинні пам'ятати, що захист доступу до мережі Network Access Protection здатний перевіряти лише робочі станції, які працюють під керуванням операційної системи Windows Vista. Я чув чутки, що Windows XP може бути трохи перероблено для підтримки NAP.

www.windowsnetworking.com

Дивіться також:

Readers Comments (Коментарів немає)

Та людина я, людина! =)

Exchange 2007

Якщо ви бажаєте прочитати попередні частини цієї серії статей, перейдіть за посиланнями: Проведення моніторингу Exchange 2007 за допомогою диспетчера System ...

Вступ У цій статті з кількох частин я хочу показати вам процес, який нещодавно використав для переходу з існуючого середовища Exchange 2003.

Якщо ви пропустили першу частину цієї серії, будь ласка, прочитайте її за посиланням Використання інструмента Exchange Server Remote Connectivity Analyzer Tool (Частина...

Якщо ви пропустили попередню частину цієї серії статей, перейдіть на посилання Моніторинг Exchange 2007 за допомогою диспетчера System Center Operations ...

Один із аспектів мережевої безпеки, який засмучує багатьох адміністраторів, полягає в тому, що вони не мають контролю над конфігурацією віддалених комп'ютерів. Хоча корпоративна мережа може мати дуже безпечну конфігурацію, на даний момент ніщо не може завадити віддаленому користувачеві підключитися до корпоративної мережі за допомогою комп'ютера, зараженого вірусами, або який не містить необхідних оновлень. Інструмент операційної системи Windows 2008 Server під назвою Network Access Protection (захист доступу до мережі, NAP) дозволить змінити таку ситуацію. У цій статті я розповім вам про інструмент NAP та покажу, як він працює.

Коли я працював мережним адміністратором, одна з речей, яка мене дуже засмучувала, полягала в тому, що я мав дуже слабкий контроль над віддаленими користувачами. Відповідно до бізнес вимог моєї організації, у віддалених користувачів повинна була існувати можливість підключення до корпоративної мережі з будь-якого місця поза офісом. Проблема полягала в тому, що хоча я вживав екстремальних заходів для захисту корпоративної мережі, я не мав абсолютно ніякого контролю над комп'ютерами, який користувачі могли б використовувати для віддаленого підключення до мережі. Зрештою, домашній комп'ютер співробітника не є власністю компанії.

Причина, через яку це так сильно мене засмучувало, полягала в тому, що я ніколи не знав, у якому стані є комп'ютер користувача. Іноді віддалені користувачі могли підключатися до мережі за допомогою комп'ютера, який заражений вірусами. Іноді комп'ютер віддаленого користувача міг працювати на застарілій версії операційної системи Windows. Хоча я вдався до захисту корпоративної мережі, я завжди боявся, що віддалений користувач з неадекватним захистом може інфікувати файли в мережі вірусом, або випадково відкрити важливу корпоративну інформацію, тому що його комп'ютер може бути заражений трояном.

Проте кілька років тому з'явився промінь надії. Компанія Microsoft підготувалася до випуску операційної системи Windows Server 2003 R2, в якій йшлося про новий інструмент під назвою NAP. Щоб трохи скоротити історію, розповім лише, що щоб налаштувати безпеку мережі за допомогою більш ранніх версій цього інструменту, необхідно було мати науковий ступінь у галузі комп'ютерної безпеки. І тому інструмент NAP було видалено з остаточної версії R2.

Компанія Microsoft зробила великий обсяг роботи з удосконалення інструменту NAP з того часу, і тепер інструмент NAP одним з основних інструментів безпеки в операційній системі Windows 2008 Server. Хоча версія інструмента NAP для операційної системи Windows 2008 буде набагато простішою в налаштуванні, ніж версія Windows Server 2003, що не вийшла, вона, як і раніше, залишається дуже складною. Тому метою написання цієї статті було надати вам опис інструменту NAP, а також показати вам, як він працює ще до виходу офіційної версії операційної системи Windows 2008 Server.

Для початку

Перед тим, як я продовжу, я хочу пояснити ще одну річ щодо інструменту NAP. Призначення інструменту NAP полягає в тому, щоб переконатися, що комп'ютер віддаленого користувача відповідає вимогам безпеки вашої організації. NAP нічого не робить, щоб запобігти неавторизованому доступу до вашої мережі. Якщо у зловмисника є комп'ютер, який відповідає вимогам безпеки вашої компанії, то NAP нічого не зробить, щоб спробувати зупинити зловмисника. Захист від зловмисників, які намагаються отримати доступ до мережевих ресурсів, - це завдання інших механізмів безпеки. NAP спроектований для того, щоб просто заборонити вхід до вашої мережі дозволеним користувачам, які використовують небезпечні комп'ютери.

Ще одну річ, про яку я хочу згадати, перед тим як продовжити свою розповідь далі, полягає в тому, що інструмент NAP відрізняється від інструмента Network Access Quarantine Control, який є в операційній системі Windows Server 2003. Інструмент Network Access Quarantine Control використовує обмежені політики контролю віддалених комп'ютерів, але він підпорядковується NAP.

Основи захисту доступу до мережі

Інструмент NAP спроектований для розширення корпоративного VPN. Процес починається, коли клієнт встановлює VPN сесію з сервером Windows 2008, на якому запущено службу Routing and Remote Access (маршрутизація та віддалений доступ). Після того, як користувач встановлює з'єднання, сервер мережної політики перевіряє стан віддаленої системи. Це забезпечується шляхом порівняння конфігурації віддаленого комп'ютера з політикою мережного доступу, визначеного адміністратором. Що відбувається далі залежить від того, що адміністратор прописав у цій політиці.

Адміністратор має налаштування для конфігурації або політики моніторингу (monitoring only policy), або політики ізоляції (isolation policy). Якщо включено лише політику моніторингу, будь-який користувач з правильними правами отримає доступ до мережевих ресурсів, незалежно від того, чи задовольняє його комп'ютер корпоративній безпековій політиці. Хоча політика моніторингу не забороняє будь-якому комп'ютеру доступ до мережі, результат порівняння конфігурації віддаленого комп'ютера з корпоративними вимогами записується в спеціальний журнал.

На мою думку, політика моніторингу найкраще підходить для переходу в середу NAP. Подумайте на секунду, якщо у вас є віддалені користувачі, яким необхідний доступ до ресурсів, що знаходяться у вашій корпоративній мережі, для виконання з роботи, то ви, найімовірніше, не захочете спочатку включати NAP в ізоляційному режимі. Якщо ви все ж таки захочете зробити так, то великий шанс того, що жоден з ваших віддалених користувачів не зможе отримати доступ до вашої корпоративної мережі. Натомість ви можете налаштувати NAP для використання політики моніторингу. Це дозволить вам оцінити вплив ваших політик доступу до мережі без випадкової заборони виконувати комусь його роботу. Після такого тестування ви зможете увімкнути політику в ізоляційному режимі.

Як ви, ймовірно, вже здогадалися, в режимі ізоляції комп'ютери, які не задовольняють корпоративну безпекову політику, поміщаються в мережевий сегмент, який ізольований від ресурсів промислової мережі. Звісно, ​​це дуже загальна заява. Це повністю на розсуд адміністратора, вирішити, що робити з користувачем, комп'ютер якого не задовольняє корпоративну політику. Зазвичай адміністратор надає користувачам, комп'ютери яких не задовольняють корпоративну політику, доступ до ізольованого мережного сегменту, про який я говорив вище. Також адміністратор має можливість обмеження доступу до одного ресурсу або до всіх мережних ресурсів.

Ви можете здивуватися, яка може бути перевага у наданні доступу комп'ютерам, які не відповідають вимогам корпорації до ізольованого мережного сегменту. Якщо комп'ютер, який відповідає вимогам, підключається до мережі, і інструмент NAP запущено в ізоляційному режимі, то комп'ютера закрито доступ у промислову мережу. Зазвичай такий карантин продовжується, поки користувач підключено до мережі. Простий карантин комп'ютерів, які не задовольняють політикам компанії, дозволяє уникнути вірусного зараження або використання проломів у безпеці у вашій мережі, але не закриває для користувача багато корисного. Зрештою, якщо користувач не може отримати доступ до мережевих ресурсів, він не може виконувати свою роботу.

Тут таки приходить на допомогу ізольований мережевий сегмент. Адміністратор може помістити спеціальний набір оновлень та антивірусів у цей ізольований сегмент. Такі ресурси дозволяють привести комп'ютер віддаленого користувача у відповідність до вимог компанії. Наприклад, такі сервери можуть містити оновлення для безпеки або антивірусної програми.

Дуже важливо звернути увагу на те, що інструмент NAP не містить жодних механізмів, які здатні перевірити стан віддаленого комп'ютера та встановлення на ньому оновлень. Це вже буде робота агентів стану системи та валідатора стану систем. За чутками ці компоненти будуть інтегровані в наступну версію SMS Server.

Реалізація захисту доступу до мережі (Network Access Protection) вимагає використання кількох серверів, кожен із яких виконує певну роль. Як може виглядати така проста реалізація, Ви можете побачити на малюнку 1.

Малюнок 1: Реалізація захисту доступу до мережі вимагає використання кількох серверів

Як можна побачити з діаграми, клієнт з операційною системою Windows Vista підключається до сервера Windows 2008 Server, на якому запущена служба віддаленого доступу Remote Access (RRAS). Цей сервер працює як сервер VPN-сервер для мережі. Клієнт з Windows Vista встановлює з'єднання з цим сервером звичайним способом.

Коли віддалений користувач підключається до сервера VPN-сервер, контролер домену перевіряє права користувача. До обов'язків сервера мережевих політик входить визначення, які політики необхідно задіяти, і що станеться, якщо віддалений клієнт не має повноважень. У тестовому середовищі необхідно використовувати один фізичний сервер для виконання ролей служби маршрутизації та віддаленого доступу, а також ролі сервера мережевих політик. У реальній ситуації сервер VPN server розташовуються по периметру мережі, і розміщення сервера мережевих політик по периметру мережі дуже погана ідея.

Контролер домену

Якщо ви подивіться на діаграму, зображену на малюнку A, то ви побачите, що один із необхідних серверів – це контролер домену. Не думайте, що це лише єдиний сервер - це вся інфраструктура Active Directory infrastructure. Як, я впевнений, ви знаєте, Active Directory не може працювати без сервера DNS server. Саме тому, якби ця діаграма була буквально описом реальної мережі, то тоді контролер домену використав би для своєї роботи служби DNS services. Звичайно, в реальній ситуації організації зазвичай використовують кілька контролерів домену та спеціальні DNS.

Ще необхідно також розглянути той фактор, який може бути не таким очевидним з діаграми, що також потрібні корпоративні сертифікати. У разі цієї діаграми служби сертифікатів можна легко розмістити на контролері домену. У реальній ситуації часто використовується спеціальний сервер сертифікатів, т.к. Природа цифрових сертифікатів дуже чутлива.

Якщо вас це дивує, то причина, по якій необхідний корпоративний сертифікат, полягає в тому, що сервер VPN server використовує протокол PEAP-MSCHAPv2 для аутентифікації. А протокол PEAP для своєї роботи використовує сертифікати. Сервер VPN server буде використовувати сертифікати з серверної машини, у свою чергу віддалені клієнти будуть використовувати сертифікати користувача.

Встановлення корпоративного сертифіката

Процедура встановлення корпоративного сертифіката може відрізнятися в залежності від того, чи ви встановлюєте служби на сервері Windows 2003 або на сервер Windows 2008. Т.к. однією з цілей написання цієї статті було познайомити вас з операційною системою Windows 2008 Server, то наступна процедура описуватиме встановлення служб для сертифікатів для операційної системи Windows 2008 Server.

Перед тим, як я покажу вам, як встановлювати служби сертифікатів, ви повинні запам'ятати дві речі. Перше, операційна система Windows 2008 Server, як і раніше, знаходиться в бета тестуванні. Тому завжди існує шанс, що те, про що я вам зараз розповідаю, зміниться на момент виходу остаточної версії, хоча дуже сильні зміни на цьому етапі дуже небажані.

Інша річ, про яку також необхідно пам'ятати, полягає в тому, що ви повинні вжити негайних заходів для забезпечення безпеки вашого корпоративного сертифіката. До того ж, якщо хтось заволодіє вашим корпоративним сертифікатом, то він заволодіє вашою мережею. Т.к. ця стаття сфокусована на захисті доступу до мережі, я збираюся показати вам, що необхідно зробити для того, щоб встановити і запустити ваші служби сертифікатів. Насправді ви повинні краще подумати про конфігурацію сервера.

Почнемо процес встановлення з відкриття менеджера сервера операційної системи Windows 2008 Server Manager та вибору налаштування Керування ролями з дерева консолі. Далі натисніть посилання Додати ролі, яку можна знайти в розділі Roles Summary в консолі. В результаті цих дій Windows запустить майстри з додавання ролей. Натисніть кнопку Next, щоб пропустити вікно привітання майстра. Тепер ви побачите список усіх доступних ролей. Виберіть параметр Active Directory Certificate Server зі списку. Ролі можуть розташовуватися не в алфавітному порядку, тому, якщо це необхідно, перейдіть до кінця, щоб знайти необхідну службу. Щоб продовжити, натисніть кнопку Next.

Після цього ви побачите екран, на якому представлені служби сертифікатів та деякі попередження. Натисніть кнопку Next для того, щоб пропустити цей екран і перейти до іншого вікна, на якому вам пропонують вибрати компоненти, що встановлюються. Виберіть Certification Authority та Certificate Authority Web Enrollment, а потім натисніть кнопку Next.

Після цього ви побачите екран, на якому вас запитують, чи хочете ви створити корпоративний сертифікат або сертифікат, що окремо стоїть. Виберіть Enterprise Certificate Authority і натисніть кнопку Next. Далі вас запитають, чи буде цей сервер працювати як кореневий Root CA або як додатковий Subordinate CA. Т.к. це перший (і єдиний) сертифікат у лабораторії, то ви повинні вибрати параметр Root CA. Щоб продовжити, натисніть кнопку Next.

Далі майстер запитає вас, чи хочете створити новий закритий ключ або використовувати існуючий закритий ключ. Т.к. це лише тестова установка, тому вибираємо параметр для створення нового закритого ключа і натискає для продовження на кнопку Next.

У наступному вікні ви повинні вибрати постачальника послуг для шифрування, довжину ключа, а також алгоритм хешування. На практиці ви повинні обережно підійти до вибору цих параметрів. Т.к. ми створюємо цей сертифікат виключно з демонстраційною метою, то залиште все за замовчуванням і натисніть кнопку Next.

На наступному екрані ви зможете визначити загальна назва, а також різний суфікс для сертифіката. Знову залиште все за замовчуванням і натисніть кнопку Next.

Далі ви побачите вікно, в якому ви маєте задати термін дії сертифіката. За промовчанням цей період складає 5 років, що чудово підходить для наших цілей, тому просто натисніть кнопку Next. Далі відкриється вікно, в якому ви повинні вказати, де будуть розміщені бази даних сертифікатів та відповідні журнали транзакцій (transaction log). У промисловому середовищі цей вибір необхідно зробити з особливою обережністю щодо безпеки та відмовостійкості. Т.к. це лише тестова лабораторія, то просто натисніть на кнопку Next.

Основні завдання конфігурації

Перед тим, як я покажу вам, як налаштувати цей сервер для роботи як сервер VPN server, ви повинні виконати деякі основні завдання конфігурації. В основному це означає, що ви повинні встановити операційну систему Windows 2008 Server і налаштувати її на використання статичної IP-адреси. Ця IP-адреса повинна потрапляти в той же інтервал, в якому працює контролер домену, який ми налаштували раніше. Як сервер Preferred DNS Server, який віддається перевагу, в його конфігурації TCP/IP configuration повинен бути вказаний контролер домену, який ви встановили раніше в цій статті, т.к. він також працює як сервер DNS server. Після того, як ви закінчите з початковою конфігурацією сервера VPN, ви повинні використовувати команду PING для того, щоб перевірити, чи сервер VPN server може взаємодіяти з контролером домену.

Підключення до домену

Тепер, коли ви вказали TCP/IP конфігурацію комп'ютера і перевірили, що до нього можна підключитися, настав час розпочати справжні завдання конфігурації. Перше, що ви повинні зробити, - це підключити сервер до домену, який ви створили раніше в цій статті. Процес підключення до домену в операційній системі Windows 2008 Server дуже схожий на той самий процес в операційній системі Windows Server 2003. Клацніть правою кнопкою на команді Computer, яка знаходиться в меню сервера Start. В результаті цієї дії Windows 2008 запустить аплет System із Control Panel. Тепер натисніть кнопку Change Settings (Змінити налаштування), яка знаходиться в розділі Computer Name, Domain, та Workgroup Settings цього вікна. Внаслідок цього з'явиться вікно системних властивостей (System Properties). Вікно системних властивостей дуже схоже на аналогічне вікно в операційній системі Windows Server 2003. Натисніть кнопку Change (змінити), щоб з'явилося діалогове вікно Computer Name Changes. Тепер виберіть Domain, яка знаходиться в розділі Member of. Введіть назву вашого домену в полі Domain та натисніть кнопку OK.

Тепер з'явиться вікно для введення ваших прав. Введіть ім'я користувача (username) та пароль (password) для облікового запису адміністратора домену та натисніть кнопку Submit (прийняти). Після короткої паузи ви повинні побачити діалогове вікно, що вітає вас у домені. Натисніть кнопку OK, і ви побачите інше діалогове вікно, яке повідомляє вам, що ви повинні перевантажити ваш комп'ютер. Натисніть кнопку OK ще раз, а потім натисніть кнопку Close (закрити). Після перезавантаження комп'ютера ви станете членом домену, який ви вказали.

Встановлення маршрутизації та віддаленого доступу

Тепер настав час встановити службу маршрутизації та віддаленого доступу (Routing and Remote Access service). Потім ми налаштуємо цю службу, щоб наш сервер працював як сервер VPN. Почнемо процес із запуску менеджера сервера. Ви можете знайти ярлик для менеджера сервера меню Адміністрування. Після запуску менеджера сервера перейдіть до розділу Roles Summary, який можна знайти у вікні докладно. Тепер натисніть посилання Add Roles (додати ролі) для запуску майстра з додавання ролей Add Roles Wizard.

Після запуску майстра натисніть кнопку Next, щоб пропустити вікно привітання. Тепер ви побачите вікно, яке запитує про те, які ролі ви хочете встановити на сервері. Виберіть посилання, яке відповідає Network Access Services (Служби доступу до мережі). Натисніть кнопку Next (далі) і ви побачите екран, який є введенням у служби мережного доступу (Network Access Services). Натисніть кнопку Next ще раз, і ви побачите екран, на якому ви можете вибрати компоненти служби мережного доступу Network Access Services, які ви хочете встановити. Позначте позиції, які відповідають службам Network Policy Server, та Routing and Remote Access Services.

Якщо ви оберете поле для Routing and Remote Access Services, автоматично буде обрано службу віддаленого доступу (Remote Access Service), службу маршрутизації (Routing), а також набір Connection Manager Administration Kit. Ви повинні залишити вибраним поле для служби віддаленого доступу Remote Access Service, т.к. разом з нею будуть встановлені компоненти, необхідні для роботи нашого сервера як сервер VPN. Інші два поля є додатковими. Якщо ви хочете, щоб сервер працював, як маршрутизатор NAT router або використовував протоколи маршрутизації, такі як IGMP proxy або RIP, то ви повинні залишити вибраним поле Routing. В іншому випадку ви можете не вибирати її.

Натисніть кнопку Next (далі) і ви побачите екран, який відобразить загальну інформаціюпро служби, які ви маєте намір встановити. Припускаючи, що все гаразд, натискаємо кнопку Install (установити), щоб розпочати процесу установки. Ніхто не знає, скільки триватиме процес встановлення на фінальній версії операційної системи Windows 2008 Server. Однак, на моєму тестовому сервері, який працює під керуванням бета версії операційної системи Windows 2008, процес встановлення зайняв кілька хвилин. Насправді виникає ілюзія, що сервер заблокований на час процесу установки. Після завершення процесу встановлення натисніть кнопку Close (закрити).

Після встановлення служб мережного доступу, необхідно налаштувати служби маршрутизації та віддаленого доступу Routing and Remote Access Services для роботи з VPN з'єднаннями. Почніть із введення команди MMC у командному рядку сервера. В результаті цієї дії відкриється порожня консоль керування Microsoft Management console. Виберіть Add/Remove Snap-in з меню файл (File). Windows відображає список доступних додатків. Виберіть Routing and Remote Access Snap-in зі списку та натисніть кнопку Add (Додати), а потім на кнопку OK. Додаток для маршрутизації та віддаленого доступу завантажиться в консоль.

Клацніть правою кнопкою миші на контейнер Server Status (статус сервера в консолі) та виберіть команду Add Server (додати сервер) із контекстного меню. Потім виберіть This Computer (це комп'ютер) і натисніть кнопку OK. Тепер у консолі має відображатися список для вашого сервера. Клацніть правою кнопкою миші на списку сервера та виберіть команду Configure and Enable Routing and Remote Access (налаштувати та підключити маршрутизацію та віддалений доступ) з контекстного меню. В результаті цього Windows запустить майстри Routing and Remote Access Server Setup Wizard.

Натисніть кнопку Next (далі), щоб пропустити екран привітання майстра. Тепер ви побачите екран, на якому ви запитаєте, яку конфігурацію ви хочете використовувати. Виберіть Remote Access (віддалений доступ - dial-up або VPN) і натисніть кнопку Next (далі). У наступному вікні ви зможете вибрати між налаштуванням dial-up або VPN доступом. Виберіть поле VPN і натисніть кнопку Next (далі).

Тепер помічник відкриє вікно з параметрами VPN з'єднання. Виберіть мережевий інтерфейс (network interface), який використовуватимуть клієнти для підключення до сервера VPN і приберіть галочку навпроти поля Enable Security on Setting up Static Packet Filters. Натисніть кнопку Next (далі), а потім виберіть параметр From a Specified Address і знову натисніть кнопку Next (далі).

Після цього ви побачите вікно, в якому необхідно ввести інтервал IP адрес, які можна призначати клієнтам VPN. Натисніть кнопку New (Новий) та введіть початкову та кінцеву адреси для інтервалу IP-адрес. Натисніть кнопку OK і натисніть кнопку Next. У результаті Windows відкриє вікно Managing Multiple Remote Access Server.

На наступному етапі необхідно вибрати Yes для налаштування сервера для роботи із сервером Radius server. Тепер вам необхідно буде ввести IP-адресу для сервера Radius server. Т.к. NPS буде працювати на тому ж комп'ютері, на якому працюють служби маршрутизації та віддаленого доступу, то просто введіть IP адресу вашого сервера як основну та додаткову адресу сервера Radius. Вам також необхідно буде ввести shared secret. У демонстраційних цілях просто введіть rras як shared secret. Натисніть кнопку Next (далі), а потім кнопку Finish (завершити). Тепер ви побачите пару попереджувальних повідомлень. Натисніть кнопку OK, щоб закрити будь-яке повідомлення.

Останній етап у процесі конфігурації RRAS полягає у налаштуванні схеми аутентифікації. Для цього натисніть правою кнопкою миші на список для сервера і виберіть команду Properties (властивості) з контекстного меню. Коли ви побачите вікно властивостей сервера, перейдіть на закладку Security (безпека). Тепер додайте EAP-MSCHAPv2 та PEAP у розділі Authentication Methods і натисніть кнопку OK.

Перевірка стану системи (system health validator)

Системна політика стану диктує, що комп'ютеру необхідно для того, щоб його стан вважався нормальним і щоб він зміг підключитися до мережі.

У реальному світі системна політика стану вимагає, щоб робоча станція працювала під управлінням операційної системи, на яку встановлені всі останні оновлення безпеки. Незалежно від того, які критерії ви оберете для визначення нормальності стану робочої станції, ви повинні виконати деяку роботу. Критерії нормального стану дуже сильно змінюються від компанії до компанії, тому компанія Microsoft залишила механізм перевірки нормальності системного стану порожнім (принаймні у поточній версії бета). А якщо так, то вам необхідно буде налаштувати ці критерії нормальності системного стану.

У демонстраційних цілях, я створю дуже простий механізм для перевірки системного стану, який просто дозволяє перевірити, чи підключений брандмауер Windows firewall. Якщо брандмауер підключений, ми вважатимемо, що стан системи нормальний.

Як я вже згадував раніше в цій статті, у реальному світі ви не повинні розміщувати сервер мережевих політик на тому самому комп'ютері, на якому розташовується ваш VPN сервер. Сервер VPN відкритий для зовнішнього світу, і розміщення на ньому сервера мережевих політик може призвести до великих проблем. В операційній системі Windows немає нічого, що заборонить вам використовувати один і той же сервер, як для компонентів VPN components, так і для компонентів сервера мережевих політик, тому в демонстраційних цілях (і через брак апаратного забезпечення) я використовуватиму один і той ж комп'ютер для обох компонентів.

Ми розпочнемо процес налаштування з того, що введемо команду MMC у командному рядку Run, в результаті чого відкриється порожня консоль керування Microsoft Management Console. Після відкриття консолі виберіть Add/Remove Snap-in з меню File (Файл). В результаті цієї дії на екрані з'явиться діалогове вікно Add or Remove Snap-Ins. Виберіть пункт Network Policy Server (сервер мережевої політики) зі списку доступних елементів, а потім натисніть кнопку Add (Додати). Тепер ви побачите вікно, в якому вам запропонують вибрати, яким комп'ютером ви хочете керувати – локальним чи якимось іншим. Переконайтеся, що вибрано параметр Local Computer ( локальний комп'ютер) та натисніть кнопку OK. Натисніть кнопку OK ще раз, і відкриється компонент Network Policy Server (сервер мережевої політики).

Після цього ви повинні перейти в дереві консолі NPS (Local) | Network Access Protection | System Health Validators, що зображено малюнку 1. Тепер, клацніть правою кнопкою миші на об'єкті Windows System Health Validators (контроль системного стану), який можна знайти в центральній частині консолі, та виберіть команду Properties з контекстного меню. В результаті цієї дії відкриється вікно Windows Security Health Validator Properties, зображене на малюнку 2.

Малюнок 1: Перейдіть у дереві консолі NPS (Local) | Network Access Protection | System Health Validators

Рисунок 2: Вікно властивостей Windows Security Health Validator Properties використовується для налаштування контролю стану системи

У діалоговому вікні натисніть кнопку Configure (налаштувати), в результаті чого відкриється діалогове вікно Windows Security Health Validator, яке зображено на малюнку 3. Як ви можете побачити з малюнка, це діалогове вікно дозволяє задати параметри для політики контролю стану вашої системи. За замовчуванням, це діалогове вікно налаштоване так, що необхідно підключення брандмауера Windows Firewall, необхідно підключення оновлення Windows update, а також необхідно, щоб на робочій станції було встановлено антивірусне та антишпигунське програмне забезпечення і щоб воно було сучасним. Т.к. ми зацікавлені лише в тому, щоб був підключений лише брандмауер Windows firewall, то поставте галочку навпроти поля. Натисніть двічі на кнопку OK, щоб продовжити.

Рисунок 3: Поставте галочку навпроти поля A Firewall is Enabled for all Network Connections і заберіть галочки з решти полів

Тепер, коли ви налаштували контроль стану системи, Ви повинні налаштувати шаблон для контролю стану системи. Шаблони контролю за станом системи описують результати контролю стану системи. Зазвичай це означає, що відбудеться в результаті перевірки клієнта на задоволення умов перевірки.

Для налаштування шаблонів для контролю стану Network Policy Server, натисніть правою кнопкою миші на контейнері System Health Validator Template і виберіть команду New (створити) з контекстного меню. Після цього з'явиться діалогове вікно під назвою Create New SHV Template, яке зображено малюнку 4.

Рисунок 4: Ви повинні створити новий шаблон для контролю стану системи

Як ви можете побачити з малюнка, у діалоговому вікні ви повинні задати назву нового шаблону. Введіть слово Compliant у полі Name (назва). Тепер переконайтеся, що у списку Template Type (тип шаблону) вибраний пункт Client Passes all SHV Checks (клієнт проходить всі перевірки). Поставте галочку навпроти поля Windows System Health Validator та натисніть кнопку OK.

Зараз ми створили шаблон, який описує те, що називається compliant (збіг, задоволення). Тепер ми повинні створити другий шаблон, який описує стан, коли ми не задовольняємо умовам. Для цього натисніть правою кнопкою миші на контейнері System Health Validator Templates container і виберіть New (створити) з контекстного меню. Тепер ви повинні побачити той самий екран, з яким ви працювали миттєво тому.

На цей раз назва шаблону буде NonCompliant. Встановіть тип шаблону (Template Type) у Client Fails one or More SHV Checks (клієнт не задовольняє однієї чи кількох перевірок). Тепер поставте галочку навпроти поля Windows Security Health Validator і натисніть кнопку OK. Якщо ви повернетеся в головну консоль сервера мережевих політик і виберіть контейнер System health Validator Templates container, ви зможете побачити, що обидва шаблони Compliant і NonCompliant відображені в центральному вікні консолі, що показано на малюнку 5.

Малюнок 5

Якщо ви повернетеся в головне вікно консолі сервера мережевих політик і виберіть контейнер System health Validator Templates (шаблони для контролю стану системи), то ви побачите, що обидва шаблони Compliant і NonCompliant template, відображені в центральному вікні консолі.

Політики авторизації стану (health authorization policies)

Політики авторизації стану - це такі політики, які контролюють, що станеться у тому випадку, якщо клієнт задовольняє політикам мережного стану, або що трапиться, якщо система, яка вимагає доступу до мережі, визнана незадовільною. Саме ці політики задають, який рівень доступу клієнт отримає після того, як йому буде дозволено увійти в мережу.

Почнемо процес відкриття консолі сервера мережевих політик (Network Policy Server), якщо вона ще не відкрита, а потім виберемо контейнер під назвою Authorization Policies (політики авторизації). Після цього подивіться вікно Details (Загальні), щоб побачити, чи були вже створені політики авторизації. На моїй тестовій системі вже існували чотири раніше створені політики авторизації, але хто знає, чи існуватимуть ці політики в підсумковій версії операційної системи Windows 2008 Server. Якщо у вас існують будь-які політики, то видаліть їх, клацнувши на них правою кнопкою і вибравши команду Delete (видалити) з контекстного меню.

Тепер, коли ви видалили раніше існуючі політики, ви можете розпочати створення нової політики авторизації (authorization policy). Для цього клацніть правою кнопкою миші на контейнері Authorization Policy та виберіть New | Custom commands з контекстного меню. В результаті цього з'явиться таблиця властивостей нової політики авторизації New Authorization Policy Properties.

Перше, що ви повинні зробити, це присвоїти назву для політики. Давайте назвемо політику Compliant-Full-Access. Ви можете ввести назву політики у полі Policy Name (назва політики), яка знаходиться на закладці Overview (огляд). Тепер, встановіть параметр Grant Access (дозволити доступ), як показано на малюнку A. Встановлення типу політики на Grant Access не надає користувачам повний доступ до мережі. Все, що це означає, що запити, які підпадають під дію цієї політики, будуть спрямовані на подальшу обробку.

Рисунок A Установка типу політики (Policy Type) на Grant Access (дозволити доступ)

Тепер виберіть закладку Conditions (Умови). Як випливає з назви, закладка Conditions (умови) дозволяє вам задати умови, яким повинен задовольняти комп'ютер клієнта, щоб застосувати дана політика. Перекрутіть список можливих умовдо позиції Network Access Protection (захист доступу до мережі), а потім виберіть параметр SHV Templates, який знаходиться під ним. Після цього у вікні details з'явиться список Existing Templates (існуючі шаблони). Виберіть параметр Compliant (задовольняє) зі списку, що випадає, і натисніть на кнопку Add (додати). Умови, які використовуються в цьому вікні, політик тепер покажуть, що стан комп'ютера (Computer Health) відповідає “Compliant”, що показано на малюнку B. Це означає, що для того, щоб потрапити під дію цієї політики комп'ютери клієнтів повинні задовольняти критеріям, описаним у політиці Compliant ви створили в попередній частині цієї статті. Більш конкретно це означає, що на комп'ютері клієнта повинен бути включений брандмауер Windows.

Рисунок B Для того, щоб задовольняти умови, комп'ютери клієнтів повинні відповідати вимогам, описаним у політиці Compliant, яку ми створили в попередній частині цієї статті.

Тепер на сторінці властивостей виберіть закладку Settings (Параметри). Закладка Settings (Параметри) містить різні налаштування, які необхідно застосувати до комп'ютерів, щоб задовольняти умови, описані раніше. Т.к. ця політика буде застосовуватися для комп'ютерів, які задовольняють політику мережної безпеки (network security policy), то ми повинні прибрати всі обмеження з налаштувань, щоб комп'ютери могли отримати доступ до мережі.

Для цього перейдіть до дерева консолі до Network Access Protection | NAP Enforcement. Тепер виберіть Do Not Enforce, як показано на малюнку C. Це закриє сумісним комп'ютерам доступ до мережевих ресурсів.

Рисунок C NAP не повинен застосовуватися до комп'ютерів, які відповідають вимогам

Після того, як ви вибрали параметр Do Not Enforce, перейдіть у дереві консолі Constraints | Authentication Method. У вікні details одразу з'явиться набір полів, кожне з яких відповідає різному методу автентифікації (authentication method). Продовжуйте та приберіть галочки з усіх полів, але залиште галочку в полі EAP. Поставте галочку навпроти поля EAP Methods і натисніть кнопку Add (Додати). Виберіть Secured Password (EAP-MSCHAP v2) і двічі натисніть кнопку OK, щоб закрити різні діалогові вікна, які відкриються в процесі. Натисніть кнопку OK ще раз, щоб зберегти шаблон, який ви створили.

Отже, ми створили шаблон для комп'ютерів, які відповідають умовам, тепер ми повинні створити аналогічний шаблон для комп'ютерів, які не відповідають умовам. Для цього клацніть правою кнопкою дерева консолі на контейнері Authorization Policies (політики авторизації) і виберіть команду New | Custom з контекстного меню. Внаслідок цього відкриється вже знайоме вікно властивостей New Authorization Policy Properties.

Як і в попередньому випадку, перше, що нам необхідно зробити - це ввести назву для політики, яку ви створюєте. Давайте назвемо цю політику Noncompliant-Restricted. Хоча ми і створюємо політику, що обмежує, ви все одно повинні вибрати тип політики Grant Access (відкрити доступ). Пам'ятайте, що це не гарантує доступу до мережі, а лише дозволяє продовжити опрацювання політики.

Тепер виберіть закладку Conditions (Умови). Коли ми створювали політику авторизації для комп'ютерів, які відповідають умовам, ми створили умову, згідно з якою комп'ютеру було достатньо задовольняти вимоги шаблону (compliant template), який ми створили в попередній статті. Т.к. ця політика для комп'ютерів, які не задовольняють умовам, ви повинні переконатися, що конфігурація клієнтського комп'ютера відповідає умовам, описаним у шаблоні NonCompliant template. А саме це означає, що на клієнтському комп'ютері вимкнений брандмауер Windows.

Виберіть із списку доступних умов Network Access Protection (захист доступу до мережі), а потім виберіть контейнер SHV Templates. Виберіть NonCompliant зі списку існуючих шаблонів, а потім натисніть кнопку Add (Додати).

Далі, виберіть закладку Settings (налаштування) та перейдіть у дереві консолі до Constraints | Authentication Method. У вікні details можна побачити набір полів, кожне з яких відповідає конкретному методуаутентифікації (authentication method). Заберіть галочки зі всіх полів, але залиште галочку в полі EAP. Поставте галочку в полі EAP Methods, а потім натисніть кнопку Add (Додати). Виберіть Secured Password (EAP-MSCHAP v2) і двічі натисніть кнопку OK, щоб закрити всі непотрібні діалогові вікна.

Отже, все, що ми зробили для політики для комп'ютерів, які не задовольняють умовам, було повністю ідентичним для політики, яку ми створили для комп'ютерів, які задовольняють умовам, крім вказівки іншого шаблону SHV template. Якщо ми залишимо цю політику в тому вигляді, в якому вона зараз, то комп'ютери, які не задовольняють умови, також отримають доступ до мережі. Т.к. ми не хочемо, щоб це сталося, ми повинні використовувати посилення NAP для закриття доступу до мережі.

Для цього виберіть контейнер NAP Enforcement, який можна знайти у списку доступних параметрів Available Settings. Після цього у вікні Details можна побачити різні налаштування. Виберіть налаштування Enforce, а потім поставте галочку навпроти поля Update Non Compliant Computers Automatically, як показано на малюнку D. Натисніть кнопку OK, щоб зберегти створену вами політику.

Рисунок D Ви повинні посилити захист NAP для комп'ютерів, які не відповідають умовам

Політика стандартної автентифікації (default authentication policy)

У попередній статті з цієї серії я показав вам, як створити політики для авторизації (authorization policy), як для комп'ютера, що задовольняє безпеку, так і для комп'ютера, що не задовольняє безпеку. У цій статті ми завершимо процедуру конфігурації сервера. Для цього на першому етапі необхідно створити політику для стандартної автентифікації (default authentication policy), яку можна застосувати на будь-якій машині, яка проходить автентифікацію на сервері RRAS server.

Почнемо процес відкриття консолі сервера мережевих політик Network Policy Server і переходу до NPS (Local) | Authentication Processing | Authentication Policies. Після цього на вікні будуть відображені всі раніше існуючі політики для автентифікації (authentication policies). Вибираємо політики, що існували раніше, натискаємо на них правою кнопкою миші, а потім вибираємо команду Delete (видалити) з контекстного меню.

Тепер настав час для створення політики для стандартної аутентифікації (default authentication policy). Для цього натисніть посилання New (створити), що знаходиться у вікні Actions (команди), та виберіть Custom (загальний). Windows відобразить вікно властивостей New Authentication Policy (нову політику для аутентифікації), яку можна побачити на малюнку A.

Рисунок A : Введіть RRAS як назву політики, потім повірте, що політика підключена

Введіть RRAS як назву політики, а потім перевірте, що в полі Policy Enabled (політика включена) стоїть галочка. Потім, перевірте, чи вибрано кнопку Available Sources (доступні джерела), а потім виберіть параметр Remote Access Server (VPN-Dialup) зі списку Available Sources (доступні джерела).

Тепер, перейдіть на закладку Settings (налаштування) і оберіть контейнер Authentication (автентифікація) з дерева консолі. Тепер поставте галочку у полі Override Authentication Settings from Authorization Policy. Після цього у вікні з'явиться безліч методів автентифікації, як показано на малюнку B. Виберіть поле EAP, а потім натисніть кнопку EAP Methods.

Рисунок B : Виберіть поле EAP та натисніть кнопку EAP Methods

Windows тепер відобразить діалогове вікно Select EAP Providers (Вибір постачальників EAP). Натисніть кнопку Add (Додати), щоб відкрити список методів автентифікації EAP authentication methods. Виберіть EAP-MSCHAPv2 та Protected EAP (PEAP) зі списку та натисніть кнопку OK. Вибрані методи автентифікації EAP authentication methods повинні з'явитися у діалоговому вікні Select EAP Providers (вибір постачальників EAP), як показано на малюнку C. Щоб продовжити, натисніть кнопку OK.

Рисунок C: Ви повинні включити автентифікацію MSCHAPv2 та PEAP authentication

Тепер перейдіть на закладку Conditions (Умови). Ви повинні вибрати принаймні одну умову, яку слід дотримуватися, щоб політики застосовувалася. Ви можете встановити будь-яку умову, яка вам сподобалася, але я рекомендую перейти в дереві консолі до Connection Properties | Tunnel Type і поставити галочки навпроти полів Point to Point Tunneling Protocol та Layer Two Tunneling Protocol, а потім натиснути на кнопку Add (додати). Таким чином, нова аутентифікаційна політика (authentication policy) буде застосована до VPN підключень. Натисніть кнопку OK, щоб зберегти нову аутентифікаційну політику, яку ви щойно створили.

Політика налаштування клієнта RADIUS

При такому типі інсталяції сервер мережної політики Network Policy Server працює як сервер RADIUS server. На відміну від клієнтів, які виконують пряму автентифікацію RADIUS authentication на сервері мережної політики Network Policy Server, сервер RRAS, який працює як сервер VPN, буде працювати як клієнт RADIUS.

Останній етап у процесі налаштування сервера полягає у наданні серверу мережевих політик Network Policy Server списку авторизованих клієнтів RADIUS. Т.к. єдиним клієнтом RADIUS буде сервер VPN server, то ви просто вводите IP-адресу VPN сервера. Т.к. служби RRAS працюють на тому ж фізичному сервері, що і служби мережевих політик Network Policy Services, то ви просто використовуєте IP-адресу сервера.

Щоб створити політику конфігурації клієнта RADIUS Client Configuration Policy, перейдіть до дерева консолі сервера мережної політики Network Policy Server NPS (Local) | RADIUS Clients. Потім натисніть посилання New RADIUS Client, яке можна знайти у вікні Actions. Windows запустить майстри New RADIUS Client Wizard.

У першому вікні майстра ви повинні задати ім'я та IP адресу для нового клієнта RADIUS. При установці в реальних умовах, ви повинні ввести як назву RRAS, а також ввести IP адресу сервера RRAS в поле для IP адреси. Як ви пам'ятаєте, ми використовуємо тестове середовище, і RRAS працює на тому ж сервері, що і служби мережевих політик Network Policy Services. Тому введіть IP-адресу сервера у відповідне поле і натисніть кнопку Next (далі).

Після цього з'явиться вікно додаткової інформації Additional Information. У цьому вікні ви повинні будете задати постачальника клієнта (client vendor) та загальний секрет (shared secret). Виберіть RADIUS Standard як Client Vendor (постачальника клієнта). В рамках цієї статті ви можете вести RRASS як shared secret. Поставте галочку в полі Client is NAP Capable, як показано на малюнку D, та натисніть кнопку Finish (завершити). Ви нарешті налаштували сервер мережевої політики Network Policy Server!

Рисунок D : Введіть shared secret та поставте галочку у полі Client is NAP Capable

Налаштування клієнта

Тепер, коли ми закінчили налаштування сервера мережевих політик Network Policy Server, настав час перейти до налаштування клієнта для підключення до сервера. Пам'ятайте, що ця техніка, про яку я збираюся розповісти, працює тільки на клієнтах, які працюють під керуванням операційної системи Windows Vista.

В рамках цієї статті я припускаю, що комп'ютер клієнта працює під керуванням операційної системи Windows Vista, і що він має статичну IP-адресу. Як ви знаєте, операційна система Windows Vista спроектована для роботи з IPv6 за промовчанням. Інструмент Network Access Protection (захист доступу до мережі) зрештою повинен підтримувати IPv6, але т.к. операційна система Windows Windows 2008 Server, як і раніше, знаходиться в тестуванні, в даний час IPv6 не підтримується, коли справа доходить до Network access protection. Тому ви повинні вимкнути IPv6 у настройках мережі комп'ютера. Коли вийде операційна система Windows 2008 Server, я маю намір написати оновлення цього циклу статей, спрямоване на використання IPv6, а також усе, що змінилося порівняно з тестовою версією.

Комп'ютер клієнта також має бути членом домену, який містить сервер мережної політики Network Policy Server. Додатково домен повинен містити обліковий запис користувача ( user account), яку можна використовувати для входу на сервер Routing and Remote Access Server, який ви створили.

Тепер давайте створимо з'єднання Virtual Private Network connection, яке ви зрештою зможете використовувати для перевірки сервера захисту доступу до мережі Network Access Protection server. Для цього відкрийте Панель керування (Control Panel) і натисніть на посилання Network and Internet (мережа та інтернет), а потім на посилання Network Center ( мережевий центр). Після запуску Network Center натисніть посилання Set up a Connection or Network (створити мережу або мережне підключення). З'явиться вікно, в якому ви повинні вказати тип з'єднання, яке потрібно створити. Виберіть Connect to a Workplace (підключення до робочого місця) та натисніть кнопку Next (далі).

Виберіть параметр для підключення допомогою VPN, і вам необхідно буде задати Internet адресу та назву пункту призначення. Ви повинні ввести IP-адресу сервера RRAS у полі Internet Address. У полі Destination Name (назва пункту призначення) можна ввести будь-яку назву. Поставте галочку в полі Allow Other People to use this Connection (дозволити іншим використовувати це з'єднання) і натисніть кнопку Next (далі). Ви повинні вказати ім'я користувача та пароль для користувача, який має дозвіл на вхід на сервер RRAS server, а також назву домену, в який ви збираєтеся входити.

Натисніть кнопку Connect (підключитися) і операційна система Vista спробує підключитися до сервера RRAS server. Більш ніж ймовірно, з'єднання не відбудеться. Якщо ви отримаєте повідомлення, в якому йдеться про те, що майстер не може підключитися до вашого робочого місця, натисніть іконку Setup a Connection Anyway. В результаті цього ваші налаштування будуть збережені, і пізніше ми зможемо завершити їхню конфігурацію в наступній статті цього циклу.

VPN з'єднання з клієнтом, який працює під керуванням Windows Vista

Почнемо процес налаштування із запуску Панелі керування (Control Panel), та натискання на посилання Network and Internet (мережа та інтернет), а потім на посилання Network and Sharing Center (мережа та центр доступу). Коли відкриється вікно Network and Sharing Center, натисніть посилання Manage Network Connections (Управління мережевими підключеннями). Ви повинні побачити вікно, в якому відображені всі ваші мережеві підключення, а також VPN підключення, яке ви створили в останній частині цієї статті.

Клацніть правою кнопкою миші на з'єднанні VPN і виберіть команду Properties (Властивості) з контекстного меню. Після цього з'явиться вікно властивостей з'єднання. Перейдіть на закладку Security (безпека) та виберіть радіо-кнопку Advanced (Custom Settings), як показано на малюнку A.

Рисунок A : Ви повинні налаштувати з'єднання, щоб використовувати додаткові параметри безпеки Advanced (Custom Settings)

Тепер натисніть кнопку Settings (Налаштування), щоб з'явилося діалогове вікно Advanced Security Settings (додаткові параметри безпеки). Т.к. ми вже налаштували VPN з'єднання використання відкритого протоколу для аутентифікації (Extensible Authentication Protocol), то ви повинні вибрати радіо-кнопку Use Extensible Authentication Protocol (EAP). Після цього стане активним список, що випадає, розташований під цією радіо-кнопкою. Виберіть Protected EAP (PEAP - захищений EAP) (Encryption Enabled-шифрування включено), як показано на малюнку B.

Рисунок B : Ви повинні налаштувати безпеку вашого VPN з'єднання та використовувати Protection EAP (PEAP) (Encryption Enabled)

Тепер клацніть кнопку Properties (Властивості), щоб відкрити діалогове вікно Protected EAP Properties (Властивості захищеного EAP). Поставте галочку в полі Validate Server Certificate (перевіряти сертифікат сервера) та приберіть галочку з поля Connect to these Servers (підключатися до серверів). Ви також повинні вибрати пункт Secured Password (EAP-MSCHAP V2) зі списку Select Authentication Method (вибір методу аутентифікації). Нарешті, заберіть галочку з поля Enable Fast Reconnect (включити швидке перепідключення) та поставте галочку в поле Enable Quarantine Checks (включити карантинні перевірки), як показано на малюнку C.

Рисунок C : Сторінка властивостей Protected EAP Properties дозволяє налаштувати параметри для відкритого протоколу для аутентифікації (Extensible Authentication Protocol)

Після цього натисніть кнопку OK у кожному відкритому діалоговому вікні, щоб їх закрити. Тепер ви налаштували з'єднання VPN connection, щоб воно задовольняло необхідні вимоги. Але ще не все зроблено. Для того, щоб Network Access Protection (захист доступу до мережі) почав працювати, необхідно зробити так, щоб служба Network Access Protection service стартувала автоматично. За промовчанням у операційній системі Windows Vista всі служби налаштовані на ручний запуск, тому ви повинні змінити спосіб запуску цієї служби.

Для цього відкрийте панель керування (Control Panel) і натисніть посилання System and Maintenance (система та підтримка), а потім на посилання Administrative Tools (адміністрування). Тепер перед вами з'явиться список різноманітних адміністративних інструментів. Двічі клацніть на іконці Services (Служби), щоб відкрити Service Control Manager (Менеджер управління службами).

У списку служб знайдіть службу Network Access Protection Agent service. Двічі клацніть на цій службі, а потім змініть тип запуску (startup type) на Automatic (автоматично) та натисніть кнопку OK. Пам'ятайте, що зміна типу запуску служби на Automatic (автоматично) не запустить цю службу. Це лише гарантує, що цю службу буде автоматично запущено після перезавантаження комп'ютера. Однак, ви можете запустити служби без перезавантаження, натиснувши правою кнопкою миші на службі та вибравши команду Start (пуск) із контекстного меню. Якщо у вас виникли проблеми із запуском служби, перевірте, щоб була запущена служба Remote Procedure Call (RPC віддалений виклик процедур) та служби DCOM Server Process Launcher. Агент служби захисту доступу до мережі Network Access Protection Agent Service не може працювати без цих допоміжних служб.

Перевірка захисту доступу до мережі (Network Access Protection)

Чи вірите ви чи ні, але ми нарешті закінчили налаштування захисту доступу до мережі (Network Access Protection). Тепер настав час виконати деякі прості тести, щоб переконатися, що все працює так, як ми хочемо.

Як ви пам'ятаєте, ми змінили налаштування нашого сервера мережевих політик (network policy server) таким чином, щоб комп'ютери, які не задовольняють політику, автоматично виправлялися. Ми також налаштували наш сервер мережевих політик (network policy server) таким чином, щоб єдиним критерієм був увімкнений брандмауер Windows firewall. Таким чином, ви повинні відключити брандмауер (firewall) на клієнтській машині, а потім підключитися до сервера мережної політики (network policy server), який використовує створене вами з'єднання VPN. Після цього, брандмауер на клієнтській машині має бути автоматично увімкнено.

Почнемо з вимкнення брандмауера на клієнтському комп'ютері. Для цього відкрийте панель керування (Control Panel) та натисніть посилання Security (безпека). Тепер виберіть посилання Firewall (брандмауер), щоб відкрити діалогове вікно Windows Firewall. Припускаючи, що брандмауер Windows Firewall вже запущено, натисніть посилання Turn Windows Firewall On or Off. Тепер ви побачите діалогове вікно, яке дозволяє вам увімкнути або вимкнути брандмауер. Виберіть кнопку Off (not recommended), як зображено на малюнку D, і натисніть кнопку OK. Тепер брандмауер Windows Firewall повинен бути вимкнений.

Рисунок D : Виберіть кнопку Off (Not Recommended) і натисніть кнопку OK, щоб вимкнути брандмауер Windows firewall

Тепер, коли ви відключили брандмауер Windows Firewall, потрібно встановити з'єднання VPN з вашим сервером RRAS / NAP server. Для цього відкрийте Control Panel (Панель керування) та натисніть на посилання Network and Internet (мережа та інтернет), а потім на посилання Network and Sharing Center (мережа та центр доступу). Коли відкриється вікно Network and Sharing Center, натисніть посилання Manage Network Connections (Управління мережевими підключеннями). Тепер ви повинні побачити список локальних з'єднань вашої робочої станції та існуючі підключення VPN.

Двічі клацніть на VPN з'єднання, яке ви створили, а потім натисніть кнопку Connect (підключитися). Вам необхідно буде ввести ім'я користувача, пароль та назву домену. Натисніть кнопку OK після введення цієї інформації, і після цього буде встановлено з'єднання з сервером VPN / NAP server.

Через невеликий проміжок часу після встановлення з'єднань, ви повинні побачити наступне повідомлення на екрані:

Цей комп'ютер не має Meet Corporate Network Requirements. Network Access is Limited (Цей комп'ютер не відповідає корпоративним вимогам до мережі. Доступ до мережі обмежений).

Ви можете побачити це повідомлення на рис.

Рисунок E : Якщо брандмауер (firewall) вимкнено, ви повинні побачити це повідомлення після встановлення VPN з'єднання

Відразу після цього ви побачите, що іконка брандмауера Windows Firewall зміниться і вказуватиме на те, що брандмауер увімкнено. Як тільки це станеться, ви побачите ще одне повідомлення:

Це Computer Meets Corporate Network Requirements. You Have Full Network Access (Це комп'ютер відповідає корпоративним вимогам до мережі. У вас повний доступ до мережі).

Ви можете побачити це повідомлення на малюнку F.

Зображення F : Коли NAP Server підключить брандмауер Windows Firewall, з'явиться це повідомлення

Повідомлення, зображене на малюнку F, також з'явиться, коли ваш комп'ютер, повністю задовольняє корпоративним вимогам, підключитися до сервера NAP, використовуючи з'єднання VPN.

Брайн Позей (Brien Posey)