Ova lekcija nudi informacije koje se odnose na konfiguraciju klijenta koji bi trebalo da komunicira sa Server-side infrastrukturom NAP-enforcement okruženja.

NAP-omogućeni klijent je kompjuter koji ima NAP komponente instalirane i  na kome može da se izvrši provera stanja kompjutera slanjem SoH ka NPS-u.

U ovoj lekciji ćete naučiti:

  • Šta su to System Health validatori
  • Šta je to Health polisa
  • Šta su to Remediation Server grupe
  • NAP klijensta konfiguracija

 

Šta su to System Health validatori?

Slika 34.01


SHAs i SHVs, koji predstavljaju NAP infrastrukturne komponente, nude praćenje i proveru stanja kompjutera. Windows 7, Windows Vista i Windows XP Service Pack 3 uključuju Windows Security Validator SHA koji nadgleda Windows Security Center postavke. Windows Server 2008 uključuje odgovarajući Windows Security Health Validator (SHV). NAP je dizajniran da bude fleksibilan i da može da se po potrebi proširuje. Takođe može da funkcioniše sa svakim proizvođačem softvera koji nudi SHAs i SHVs koji koriste NAP API.

Šta je to Health polisa?

Health polisa se sastoji od jednog ili više SHVs i drugih postavki koje dozvoljavaju administratoru da definiše Client-computer konfiguracione zahteve za NAP-omogućene kompjutere koji pokušavaju da se konektuju na mrežu.

Da bi osvarili korišćenje Windows Security Health validatora, administratori moraju da konfigurišu Health polisu i u polisi moraju da dodele odgovarajući SHV.

Karakteristike Health polise:

  • Health Polisa se sastoji od jednog ili više SHVs i drugih postavki koje dovzoljavaju administratoru da definiše Client-computer konfiguracione zahteve za NAP-omogućene kompjutere koji pokušavaju da se konektuju na mrežu.
  • Administrator može da definiše Client Health polise u NPS-u dodavanjem jednog ili više SHVs u Health Polisu.
  • NAP Enforcement se kompletira NPS-om na per-Network Policy osnovi.
  • Nakon što je administrator kreirao Health polisu dodavanjem jednog ili više SHVs u polisu, administrator može da doda Health polisu u Network polisu i omogući NAP Enforcement u polisi.

 

Šta su to Remediation server grupe?

Remediation Server grupa je lista Restricted mrežnih servera koji nude resurse koji dovode nesaglasne NAP-omogućene kompjutere u saglasnost sa klijentskom Health polisom koju je definisao administrator.

Sa primenjenim NAP Enforcementom administrator bi trebalo da odredi Remediation server grupe tako da klijenti imaju pristup resursima koji dovode nesaglasne NAP-omogućene klijente u saglasne NAP-omogućene klijente.

Karakteristike Remediation servera:

  • Remediation server hostuje ažuriranja koja NAP Agent može da iskoristi da dovede nesaglasni klijentski kompjuter u saglasni klijentski kompjuter, koji u potpunosti odgovara svim zahtevima u Health polisi koju je definisao administrator.
  • Remediation serverska grupa je lista servera koji se nalaze u restricted mreži koju Non-compilant (nesaglasni) klijentski kompjuter dovode u Compilant stanje (saglasnost sa Health polisom koju je definisao administrator). Nesaglasni NAP klijenti mogu da pristupe remediation serverima zbog potrebnih softverskih ažuriranja koja moraju da se instaliraju na tim NAP klijentskim kompjuterima.

 

NAP klijentska konfiguracija

Potrebno je upamtiti ovaj osnovni vodič kada konfigurišete NAP klijente:

  • Neke NAP izgradnje (Deployments) koje koriste Windows Security Health Validatore zahtevaju od administratora omogućavanje Security Center-a.
  • Network Access Protection (NAP) servis je potreban prilikom izgradnje NAP u NAP-capable klijenste kompjutere.
  • Takođe, administrator mora da konfiguriše NAP Enforcement klijente na NAP-capable kompjuterima.

 

Najbolje vežbe

Obavezno pogledati sledeće savete prilikom implemntacije NAP:

  • Potrebno je koristiti Strong Enforcement metode (IPSec, 802.1x i VPN). Strong Enforcement metode nude najjaču i najefektniju izgradnju NAP-a.
  • Ne bi trebalo da se oslanjamo na NAP da će zaštiti mrežu od malicioznih korisnika. NAP je dizajniran da pomogne administratorima pri održavanju zdravlja mrežnih kompjutera i ovim potezom administratori održavaju integritet kompletne mreže. NAP ne sprečava autorizovanog korisnika koji sedi za saglasnim kompjuterom od ažuriranja malicioznog programa u mrežu ili onemogućavanja NAP agenta.
  • Potrebno je koristiti konzistentne NAP polise kroz hijerarhiju sajta da bi se smanjila pojava konfuzije. Netačna konfiguracija NAP polise može da rezultuje da klijenti koji su nesaglasni i koji ne bi trebalo da pristupe mreži ipak pristupaju mreži ili da validni klijenti budu restrikovani i smešteni u Restricted mrežu. Što je komplikovani NAP dizajn polisa, veća je mogućnost pojave ovakvih komplikacija i problema.
  • Ne bi trebalo da se oslanjamo na NAP kao na trenutni ili na Real-time Enforcmenet mehanizam. Postoje nasleđena odlaganja i usporenja u NAP Enforcement mahanizmu. Dok NAP pomaže da kompjuteri budu saglasni sa zahtevima koje je administrator definisao u Health polisi, tipično odlaganje i usporenje NAP Enforcement-a traje po nekoliko sati ili čak i više u zavisnosti od mnogo faktora, uključujući postavke velikog broja konfiguracionih parametara.
 
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Konfiguracija NAP-a 1
  • Konfiguracija NAP-a 2
  • Konfiguracija NAP-a 3
  • Konfiguracija NAP-a 4