1. Главная страница » Компьютеры » Network access как оптимизировать

Network access как оптимизировать

Автор: | 16.12.2019

С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть.

MCSE+Security, MCDBA, CCNP

Глобальная сеть Интернет таит в себе много угроз для пользователей: вирусы, черви, троянские кони… Все эти угрозы хорошо знакомы каждому системному администратору. Многие считают, что для борьбы с ними достаточно межсетевого экрана, корпоративного антивируса и своевременной установки обновлений. Однако жизнь показывает, что таких мер не всегда достаточно. Приведем несколько примеров. Во многих организациях для проникновения в корпоративную сеть достаточно просто подключиться к любой свободной сетевой розетке. И злоумышленник тут же получит IP адрес по DHCP и сможет без труда просканировать сеть на предмет наличия доступных ресурсов. Может он и не сможет сразу завладеть учетной записью доменного администратора, но зачастую этого и не требуется.

Другой пример, более близкий к реальности. Сотрудник возвращается из командировки со своим ноутбуком. Естественно антивирусные базы не обновлялись и критические обновления не устанавливались. Как водится, на ноутбуке у пользователя были права локального администратора (а что, у вас в организации не так?!) в связи с чем за время командировки лэптоп превращается в настоящий “зверинец”, содержащий вредоносное ПО всех мастей. Когда, с такого ноутбука пользователь заходит в локальную сеть, вредоносное ПО начнет пытаться размножаться, что может привести к весьма неприятным последствиям.

Основной вывод, который можно сделать из приведенных примеров это то, что необходимо отслеживать каждую подключающуюся в сеть машину на предмет “благонадежности”. Многие разработчики выпустили свои решения, позволяющие решить данную проблему. Наиболее известным является Cisco Network Admission Control от корпорации Cisco. Мне приходилось внедрять Cisco NAC L2 вместе с антивирусом от Trend Micro. Однако, данное решение обладает рядом недостатков, что усложняет его внедрение.

Вот мы наконец и подошли к теме сегодняшней статьи, а именно к описанию технологии Network Access Protection, представленной в Microsoft Server 2008 и Windows Vista. Вообще, Windows Server 2008 Longhorn (уже прозванный в народе “длиннорогим”) обладает целым рядом нововведений, в том числе и связанных с безопасностью, некоторые из которых, возможно, станут темами последующих статей. Но сегодня мы обсудим технологию NPS, впервые появившуюся в качестве серверного решения именно в Windows Server 2008.

Технология NAP позволяет ограничить доступ к сети, разрешая его только хостам, удовлетворяющим требованиям безопасности. С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть. Компьютерам, не удовлетворяющим этим требованиям можно, к примеру, разрешить доступ только в карантинную зону, где они смогут установить необходимые обновления, или же запретить доступ совсем.

Что же представляет из себя Network Access Protection, из каких компонент состоит и как работает? Основным элементом, осуществляющим проверку хоста является Network Policy Server (NPS), служба, входящая в состав Windows Server 2008. NPS является RADIUS сервером, и пришел на смену Internet Autentification Server (IAS), входившему в состав Windows Server 2003. NPS осуществляет аутентификацию и авторизацию попытки сетевого подключения, основываясь на политиках безопасности, определяет, можно ли хосту подключиться к сети. В качестве примера, я продемонстрирую установку и настройку сервера Network Policy Server и соответствующих политик. Для простоты будем считать, что у вас уже установлен Windows Server 2008. В окне Add Roles Wizard, которое как и версии 2003 появляется после загрузки системы, выбираем Network Policy and Access Service.

На следующем шаге определяемся с компонентами, которые нам необходимо установить. В данном случае, нас интересует только Network Policy Server.

Подтверждаем выбранные опции и запускаем процесс установки.

Как видно все довольно просто. Теперь откроем консоль настройки установленного приложения. Делается это как и в прежних версиях Windows, из раздела Administrative Tools. Консоль администрирования NPS после установки выглядит так

Теперь необходимо настроить политики Запроса соединения (Connection Request Policies). Данные политики определяют набор правил, которые использует NPS для проверки попыток соединений. В качестве примера, настроим одну из таких политик.

Для этого необходимо в консоли администрирования NPS выбрать Policies, и далее Health Policies.

Политики состояния системы (Health Policies) позволяют определить требования к состоянию системы с помощью System Health Validators (SHV), так называемых маркеров, которые сообщают NPS о состоянии системы машины, запрашивающей подключение (NAP клиента). Вот пример health policy.

Маркер SHV может иметь следующее состояния:

Client passes all SHV checks – проверки всех маркеров прошли успешно. В таком случае, как правило, пользователь получает полный доступ к сети (естественно в рамках своих полномочий)

Client fails all SHV checks – не одна проверка не пройдена. Как правило, таких пользователей лучше не пускать в сеть вообще.

Client passes one or more SHV checks – клиент прошел одну или несколько проверок. Здесь все определяет то, какие проверки прошел пользователь. Как правило, в такой ситуации лучше всего разрешить доступ только в карантинную сеть, где он сможет установить недостающие обновления и патчи.

Читайте также:  Mikrotik 951 сброс к заводским настройкам

Client fails one or more SHV checks – клиент не прошел одну или несколько проверок. Случай аналогичный предыдущему. Разница лишь в том, что для вас приоритетней.

Client reported as transitional by one or more SHV’s – транзитный маркер возвращается, когда машина только подключилась к сети, и состояние SHV еще не определено.

Client reported as infected by one or more SHV’s – состояние Infected. Антивирусные продукты, интегрированные с NAP могут возвращать такое состояние SHV.

Client reported as unknown by one or more SHV’s – состояние неизвестен обычно бывает на тех машинах, которые несовместимы, либо на них не установлен клиент NAP. Понятно что такие машины тоже лучше в сеть не пускать.

Далее необходимо определить, политики, определяющие критерии, по которым определяется состояние клиента, а также действия NPS. Для этого в разделе Network Access Protection выбираем System Health Validators.

В первом окне определяются различные состояния SHV. В окне Configure определяются более подробные настройки.

Как видно, мы можем определить различные параметры, которым должна соответствовать каждая машина, пытающаяся подключиться к нашей сети. Обратите внимание на то, что политики для Windows Vista и для Windows XP немного различаются.

Для настройки действий, которые производятся в случае соответствия SHV той или иной политике необходимо открыть консоль Network Policies, далее в NAP Enforcement, в закладке Settings определяем Network Policy.

В этом разделе можно определить различные действия, которые применяются к рабочим станциям, соответствующим тем или иным состояниям SHV. В частности, можно определить политики, позволяющие доступ в сеть только в определенные промежутки времени, или ограничить доступ только определенными ресурсами.

Как все это работает

Теперь, когда я описал настройку всех основных компонент NAP, необходимо пояснить, как все это работает. Клиентская машина, на которой установлена Windows XP+SP2 или Vista пытается установить соединение. Это выражается в RADIUS Access- Request запросе к серверу NPS. Сервер NPS сравнивает содержимое Access-request сообщения с политиками, которые мы определили при настройке Health Policy. В зависимости от того, соответствует или нет данная информация политикам, NPS применяет к пользовательской станции то или иное действие, определенное в network Policy. Далее служба NPS отправляет RADIUSAccess-Accept сообщение с информацией об уровне доступа пользователя.

Описанный выше процесс работы компонент NAP несколько упрощен, потому что углубляться в технические подробности нет смысла, так как многое определяется конкретной реализацией некоторых компонент системы.

У многих может возникнуть вполне резонный вопрос: что произойдет, если в сеть попытается подключиться рабочая станция с операционной системой неподдерживаемой NAP, к примеру с Linux? Ответ прост: NPS не сможет получить от такой машины маркер SHV, соответственно, к ней должна быть применена политика для состояния Unknown и при правильной настройке политик NPS, такая машина не должна получить доступ в сеть.

Фактически настройка основных компонент NAC завершена. Конечно, некоторые рутинные моменты остались за рамками данной статьи. Тем читателям, кого заинтересовала тема данной статьи и интересуют моменты практической реализации, я рекомендую выполнить следующие лабораторные работы:

Подписывайтесь на каналы "SecurityLab" в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Введение

Автор статьи Рик Вановер сделал подробный обзор конфигурации сервера Windows Server 2008 при установке технологии разграничения сетевого доступа Network Access Protection компании Microsoft, версии TechRepublic. Настройка различных компонентов и последовательности передачи данных при выполнении программы MS-NAP требует тщательного изучения и четкого понимания. Данный текст поможет вам как следует разобраться во всех этих моментах.

Технология MS-NAP, в отличие от других платформ Microsoft, не похожа на Exchange, SQL или IIS, а, скорее, представляет собой набор компонентов, стратегий и сервисов. Принципиальное отличие этой программы в том, что она не может работать как единое сервисное решение. Выполнение задач распределено среди целого ряда систем. А, к примеру, небольшая по размеру программа Exchange может объединить все компоненты на одном компьютере.

В целом, для выполнения всех компонентов, предусмотренных разработчиками, технологии MS-NAP требуется как минимум два сервера. В программе имеется несколько основных элементов, обеспечивающих корректное исполнение. Далее, существует четыре механизма или метода применения защиты доступа к сети, с которыми работает MS-NAP. Это DHCP, VPN, IPSec и 802.1X. Эти компоненты позволяют согласовать условия ограничения и структуру сети, необходимые пользователю. В данной статье мы рассмотрим, что необходимо для надлежащей работы MS-NAP.

Лучшие примеры по настройке серверных программ MS-NAP

Вид серверной СУБД MS-NAP зависит от ключевых компонентов в существующей структуре сети, включая службу каталогов Active Directory (AD). Неверная настройка этих компонентов не приведет ни к чему хорошему. См. ниже лучшие практические примеры по настройке MS-NAP:

Политики программного обеспечения и сети: Прежде всего, следует решать не технические вопросы, а определить какие функциональные возможности вы бы хотели получить от MS-NAP. Лишь после этого можно перейти к техническим вопросам: определяемся с выбором пакетов обновлений, антивирусных программ, необходимостью использования протоколов IPSec, а также другими сторонними поставщиками, которым будет разрешен доступ в сеть. Затем определяемся с компонентами работоспособности системы: серверами исправления, запретами доступа и прочими параметрами.

Читайте также:  Hitman blood money оружие

Домен службы каталогов Active Directory: Эта часть структуры интерфейса должна иметь очень четкую организацию, чтобы пользователи без проблем могли получить доступ к заданным ресурсам. Постарайтесь не попасть в ловушку, назначив неограниченное право доступа при попытке заставить систему работать. Структура сети определяет набор функций MS-NAP, отвечающих за различные задачи. Требование к операционным системам: начиная с Windows Server 2003 и выше.

Доступ к виртуальным частным сетям (VPN): При использовании механизма защиты доступа к виртуальным частным сетям VPN Enforcement, важен выбор VPN для корректной работы MS-NAP. Технология обеспечивает надежную защиту внутренней сети на базе инфраструктуры внешней сети (Интернет).

Сетевое оборудование: Убедитесь, что ваше оборудование поддерживает протокол 802.1X, особенно при наличии клиентов беспроводной сети или компонентов ограничения 802.1X EC.

Протокол сети DHCP: Сеть DHCP важна для работы MS-NAP, поскольку здесь есть параметры «scope options», которые в случае несовместимости с требованиями политики работоспособности MS-NAP определяют тип необходимых исправлений.

Конфигурация MS-NAP на сервере Windows Server 2008: сервер DHCP

Сейчас мы перейдем к конкретному примеру конфигурации для операционной системы Windows Server 2008 Beta 3 (ранее известной под названием Longhorn). Настроим сервер DHCP, чтобы ввести в действие политику работоспособности NAP. Политика работоспособности зависит от параметров совместимости:

• Неограниченный доступ к серверу, определяемый политикой работоспособности
• Ограниченный доступ прямых несовместимых систем, выявленных сервером исправления
• Отказ в доступе для систем, которые абсолютно несовместимы

В данном примере речь не идет об определенных областях применения и требованиях, необходимых для доступа в сеть. Однако в реальных ситуациях без предварительного планирования желаемого набора функций в работе MS-NAP не обойтись. Эти настройки, подчеркиваю, обеспечат автоматическое обновление компьютеров, не соответствующих требованиям политики работоспособности, необходимых для доступа к сеть. Ниже приводится пример настройки сети с помощью серии TechRepublic приложения MS-NAP:

Во-первых, при настройке MS-NAP необходимо задать требования к работоспособности системы на сервере Network Policy and Access Services (NPS) операционной системы WS2K8. Эти компоненты являются отправной точкой при запуске системы MS-NAP. С помощью подсказки Add Server Role (добавить компонент сервера), выберите компонент NPS, как показано на рисунке A и нажмите кнопку Continue (продолжить).

Выберите сервер политики сети Network Policy, компонент работоспособности Health Registration Authority и элемент Host Credential Authorization Protocol. Возможно, придется добавить информационный сервер Интернет IIS, если это будет необходимо для запуска выше обозначенных компонентов. В нашем примере все компоненты сервера работают в автономном режиме, поскольку установлена сертифицированная версия WS2K8.

После этого вам необходимо определить, возможен ли сертифицированный сетевой доступ только для клиентов, внесенный в доменный список. Это не чисто технический вопрос, а важный момент с точки зрения политики работоспособности. В нашем примере доступ предоставляется только участникам активного каталога доменных имен. Процесс добавления базовых компонентов достаточно понятный, после выполнения устанавливается консоль Network Policy Server (NPS.MSC). Пример незаполненной консоли виден на рис.B.

Элементы конфигурации MS-NAP определяются компонентом работоспособности System Health Validator. В нашем примере, мы настроим устройство оценки работоспособности, требующее запуска антивирусной программы и обновления системы с целью соответствия политике работоспособности. Пример на рис. C.

Конфигурация компонента System Health Validator определит характер политики работоспособности MS-NAP. Проверка несоответствующих систем будет осуществляться посредством запуска антивирусных приложений на сервере WS2K3-DEV. Это сервер исправления Remediation server. На консоли NPS мы выберем сервер WS2K3-DEV в качестве сервера для группы "RG-NonCompliant-NoAV", как показано на рис.D.

Сервер исправления важен для эффективной работы всех компонентов MS-NAP. Он позволяет несовместимым политике работоспособности системам заходить на обозначенные хосты (в нашем примере WS2K3-DEV). Доступ ко всем остальным компьютерным системам, обозначенным в активном каталоге, будет запрещен. Однако, если данный сегмент позволяет доступ к системам, отличным от системы Windows, клиент, несовместимый с политикой работоспособности MS-NAP, может иметь доступ к данным системам через систему протоколов TCP/IP, в соответствии с настроенными параметрами. Во время пробного запуска рекомендуется тщательное тестирование на предмет обнаружения подобных проблем.

Затем необходимо задать в Windows настройки по управлению совместимыми и несовместимыми системными компонентами на серверах работоспособности системы System Health Servers. Нужно настроить конфигурации Windows для использования параметров политики Security Health Validator, которые мы ранее определили для систем, соответствующих или не соответствующих определенным критериям (PASS и FAIL), установив в системе антивирусную программу, как показано на рис.E.

Задав параметры политики по управлению совместимыми и несовместимыми системами, мы можем перейти к распределению клиентов сети по двум параметрам политики (PASS и FAIL), которые мы уже создали ранее. Политика PASS подразумевает право полного доступа, а политика FAIL означает, что системы будут доступны компонентам работоспособности для установки антивирусных программ. В MS-NAP есть хорошие подсказки по настройке параметров политики работоспособности. На рис. F показан пример установки параметров полного доступа, как часть политики PASS сети.

Читайте также:  Gmail com почта восстановление пароля

После того как мы установили параметры политики работоспособности для ключевых компонентов NPS, необходимо задать конфигурацию сервера DHCP, чтобы MS-NAP работал на всех активных компьютерах. Настройка сервера DHCP показана на рис.G.

Необходимо также задать с помощью DHCP класс несовместимых пользователей, которые будут проверяться серверами исправления. Все доменные имена этого класса и доменное имя remeditation.ws2k3dev.local добавятся на сервер исправления. Сервис DHCP для Windows Server 2008 прописывает этот класс как "Default Network Access Protection Class", таким образом, политика работоспособности MS-NAP может применяться на различных рабочих станциях с помощью протоколов DHCP. На рис. H показан пример настройки классов.

На этой стадии, протокол DHCP на сервере WS2K8 установлен с целью запуска MS-NAP, и ни один клиент, пытающийся получить IP-адрес, не сможет этого сделать, пока не будет подходить под определенные параметры конфигурации (они не запускаются с помощью неверных установок в операционной системе Windows Vista Enterprise):

1. Запустите Security Center в системе Windows Vista
2. Запустите компонент DHCP enforcement
3. Запустите сервис Network Access Protection Agent
4. Отключите IPv6 в Network and Sharing Center , если он не используется в вашей сети

Пользователи операционной системы Windows XP могут получать обновления MS-NAP, установив сервисный пакет Service Pack 3. Пользователи систем Windows 2000, NT, а также систем, отличных от Windows, не смогут восстанавливать адреса, используя настройки MS-NAP.

После того, как была настроена конфигурация, пользователи системы Vista могут получить адрес с запущенного сервера DHCP. В процессе работы DHCP к клиенту будут применимы все требования политики работоспособности MS-NAP .

Просьба не применять все выше изложенные настройки на практике, так как большинство пользователей DHCP в таком случае не смогут получить IP-адрес (независимо от того, настроена ли для них политика PASS или FAIL). Машины, на которых не установлены компоненты NAP, не смогут получить адрес.

Дополнительные ресурсы MS-NAP

Этот пример является кратким обзором по настройке серверной СУБД MS-NAP в операционной системе Windows Server 2008. Несмотря на то, что Windows Server 2008 выпущена в бета-версии, пользователям доступно большое количество ресурсов, включая дополнительные примеры конфигураций MS-NAP, а также подробная техническая информация по важнейшим параметрам распознавания и требованиям трафика сети.

Для оптимизации быстродействия базы данных рабочего стола Microsoft Access вы можете воспользоваться средством анализа быстродействия. Средство анализа быстродействия недоступно в проектах и Access и приложениях Access Web App. Оно проверяет структуру базы данных и содержащиеся в ней данные, а затем выносит предложения по улучшению производительности и предотвращению ошибок.

Вы можете анализировать отдельные объекты баз данных (например, проверить таблицу, добавляемую в уже оптимизированную базу данных) или выбрать все объекты для полного анализа базы.

Запуск средства анализа быстродействия

Откройте базу данных Access, которую хотите оптимизировать.

На вкладке Работа с базами данных в группа Анализ нажмите кнопку Анализ быстродействия.

Откроется окно "Анализ быстродействия".

В окне "Анализ быстродействия" откройте вкладку, соответствующую типу объекта базы данных, который вы хотите оптимизировать. Чтобы посмотреть список всех объектов базы данных, откройте вкладку Все типы объектов.

Выберите имена объектов базы данных, которые вы хотите оптимизировать. Чтобы выбрать все объекты базы данных в списке, нажмите кнопку Выделить все.

Повторяйте шаги 3 и 4, пока не выберете все объекты, которые хотите оптимизировать. После этого нажмите кнопку ОК, чтобы начать анализ.

Примечание: Средство анализа быстродействия не выносит предложений по улучшению производительности самого приложения Microsoft Access, а также системы, в которой оно запущено.

Использование результатов

В средстве анализа быстродействия можно получить результаты трех типов: Совет, Предложение и Мысль.

При выборе элемента в списке Результаты анализа в поле Примечания под ним отображаются сведения о предлагаемых мерах оптимизации.

На вкладке Совет отображаются прямые улучшения, для которых вам не потребуется принимать серьезных решений. Действия типа Совет можно выполнить в Access автоматически.

На вкладке Предложение доступны действия, для выполнения которых вам придется принять определенные решения. Чтобы увидеть описание необходимых решений, щелкните Предложение в списке и ознакомьтесь со сведениями в поле Примечания. Действия типа Предложение можно выполнить в Access автоматически.

Действия типа Мысль следует выполнить самостоятельно. Для этого выберите необходимый пункт в списке и следуйте инструкциям в поле Примечания.

Автоматическая оптимизация в Access

Выберите одно или несколько действий типа Совет или Предложение, которые хотите выполнить. Для выполнения всех действий по оптимизации из списка нажмите кнопку Выделить все.

Нажмите кнопку Оптимизировать.

Средство анализа быстродействия выполнит действия по оптимизации и пометит их как Исправлено.

При необходимости повторяйте действия, пока средство анализа быстродействия не учтет все необходимые советы и предложения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *