Windows Server 2008 { Network Access Protection }

Windows Server 2008 {Network Access Protection}

Szentgyörgyi TiborTibor@halasztelek.hu

Oktató, rendszergazda

Netacademia Oktatóközpont

Miről is lesz szó?NAP bemutatásaKomponensekFelhasználási területekDEMO:

DHCP kényszerítésVPN kényszerítés

NAP bevezetése

Network Access ProtectionNEM VPN karanténNEM véd a felhasználói támadások ellenNEM ISA ServerNEM feltétlen kell hozzá speciális hardverNEM kell hozzá külön licenc

Garantálja, hogy csak egészséges kliensek tartózkodhatnak a hálózatunkban

Network Access Protection

Egészségi állapot ellenőrzése (Policy Validation)A hálózati elérés korlátozása (Network Restriction)Egészségi állapot helyreállítása (Remediation)Egészségi állapot fenntartása (Ongoing Compliance)

Hozzáférés a hálózathozX

DHCP

Remediation Server

NPS

Szeretnék IP-címet.

Parancsolj!

HealthRegistration

Authority

Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om Kliens ok?

Nem.Frissítésre van szüksége

Nincs eü kiskönyved! Először gyógyulj meg!Kellene

frissítés

Parancsolj!

Yes. Eü kiskönyv kiadása

Parancsolj, az eü kiskönyved

Client

KaranténZóna

HatárZóna

VédettHálózat

KomponensekSystem health agents (SHA) System health validators (SHV) Enforcement Servers

DHCP, VPN, IPSec, 802.1x

NPS ServerRADIUS kiszolgáló

System health servers SCCM,

Remediation ServersWSUS, Antivirus Server

DEMO: NAP komponensek

Felhasználási területek

Kényszerítés Egészséges kliens Beteg kliens

DHCP Teljes IP cím, teljes hozzáférés Korlátozott útvonalak

VPN Teljes hozzáférés Korlátozott VLAN

802.1X Teljes hozzáférés Korlátozott VLAN

IPsecMinden megbízható

állomással kommunikálhat

Egészséges gépek nem állnak vele szóba

TS Gateway Teljes hozzáférés Nincs hozzáférés

IPSec

• Beteg kliensek azonnal izolálva lesznek – a tanúsítványukat visszavonja a NAP ügynök

• Hitelesítést ÉS titkosítást is tartalmaz

• Bármilyen hardverrel működik • Beépített Windows szolgáltatásokat használ kliens és kiszolgáló oldalon is

• Csak ADCS alapon, tanúsítványokkal

• Könnyen beilleszthető a meglévő környezetünkbe

• Együtt használható a többi NAP kényszerítéssel

• A Windows Server 2008-as DHCP kioszt IP címeket a nem NAP-kompatibilis gépeknek is

• Gyors, egyszerű beüzemelés

DHCP

• A „beteg” gépek karanténba kerülnek

• Nem kapnak alapértelmezett átjárót• A patikákat statikus route-tábla bejegyzések alapján érik el

•Gyógyulás után teljes értékű IP-címet kapnak

DHCP

DEMODHCP kényszerítés

•NPS beállítások•DHCP beállítások•Csoportházirend•Kliens beállítások

DEMO

VPN kényszerítés

TS Gateway + NAP

NAP bevezetése

• Kliens oldalon Vista vagy XP SP3• Válasszunk NAP kényszerítést • Első lépésben csak riportoljunk

• Riport eszköz készül• Használjuk a beépített SHV-ket• Később kipróbálhatjuk a külső SHV-kat

is

http://www.microsoft.com/nap

Step-by-Step Guide: Demonstrate NAP DHCP Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&DisplayLang=enStep-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&DisplayLang=en.Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&DisplayLang=en.

http://www.microsoft.com/hun/technet/

További információk

Köszönöm a figyelmet!