Защиту Windows 7 от сетевых угроз обеспечивает специальная системная служба — брандмауэр. Иногда он также называется файрволом или персональным межсетевым экраном. Microsoft не рекомендует отказываться от использования защитника, но если вы установили сторонний файрвол, можно отключить брандмауэр в Windows 7. Иногда также может потребоваться внесение некоторых программ в «белый список» защитника сети.
Что такое брандмауэр и зачем он нужен
Основное предназначение этой встроенной утилиты — фильтрация интернет-трафика. Для определения подозрительной активности она использует набор предварительно заданных правил. Потенциально опасные соединения блокируются, не позволяя злоумышленникам получить доступ к компьютеру пользователя. Ограничения могут быть применены и к отправке исходящих пакетов. Таким образом обеспечивается конфиденциальность данных, хранящихся на жёстком диске.
Похожий функционал присутствует не только в операционной системе, но и на большинстве моделей роутеров. Между встроенным защитником Windows и сетевым экраном маршрутизатора есть принципиальное отличие. При активации этой функции на роутере обеспечивается сетевая безопасность всех домашних устройств, а не только одного ПК. Существуют и отдельные программы с аналогичными функциями, не входящие в прошивку маршрутизатора и комплект поставки «семёрки».
Обратите внимание! Не следует путать файрвол и антивирус. Второй тип приложений имеет другой функционал, так как он анализирует не сетевую активность, а пользовательские файлы и код запущенных программ. В системах Microsoft есть отдельная антивирусная служба — «Защитник Windows».
Как включить и настроить брандмауэр
Этот компонент системы автоматически включается после её установки. Поэтому никаких дополнительных действий для активации службы совершать не требуется. При этом, вы можете легко проверить её текущий статус. Достаточно открыть панель управления, затем выбрать пункт «Брандмауэр Windows». В этом разделе можно выполнить и другие действия:
- Отключить брандмауэр в Windows 7.
- Ознакомиться с текущими настройками.
- Восстановить рекомендуемые свойства сетевого защитника.
- Изменить порядок вывода уведомлений о деятельности службы.
Если служба выключена, на главной странице настроек её статус будет отображаться красным цветом. Чтобы включить защиту, нажмите кнопку «Использовать рекомендуемые параметры». Для более тонкой конфигурации перейдите в меню по ссылке, позволяющей включить/отключить защитник. Такая настройка заключается в разделении параметров файрвола при подключении к домашним и общественным сетям. Второй тип подключений обычно требует более строгих подходов по безопасности передачи данных.
Важно! Если блокировка соединений мешает корректной работе нужного вам приложения, внесите его в список исключений. Это делается на отдельной странице, которую можно включить через меню в левой части окна. Напротив названия программы установите галочки, затем сохраните параметры.
Как отключить брандмауэр в Windows 7
Отключить утилиту можно через тот же пункт панели управления, в котором настраивается защитник сети. Система позволяет полностью отключить файрвол или остановить его работу только в частных/общественных сетях. После выключения защитника ОС будет регулярно отображать предупреждения и предложения его включить. Чтобы избавиться от этих сообщений, воспользуйтесь разделом настройки уведомлений.
Для ускорения работы компьютера рекомендуется также отключить аналогичную службу в операционной системе. Чтобы это сделать, нужно включить меню «Пуск» и набрать «msconfig». Далее откройте предложенную программу и перейдите на вкладку «Службы». Здесь отображаются все фоновые процессы, автоматически запускаемые при загрузке ОС. Найдите службу с соответствующим названием и уберите флажок напротив неё. Затем примените изменения при помощи кнопки в нижней части окна.
Важный совет! Утилиту системной конфигурации также можно включить нажатием комбинации клавиш «Win+R» (выполнить). В появившемся окне введите название «msconfig» и кликните «ОК».
Полезное видео: Отключение защиты в Windows 7
Читайте также:
Родительский контроль в Windows 7: ограничение информации из интернета для детей
Родительский контроль в Windows 8: программы и способы их настройки для обеспечения безопасности
Ситуация, когда на одной рабочей станции не установлены последние заплатки,
на другой не работает брандмауэр, а на третьей — антивирус или антишпионское ПО,
встречается сплошь и рядом. А ведь безопасность всей Сети определяется самым
слабым звеном. Как же быть администратору с клиентскими компьютерами, не
удовлетворяющими требованиям безопасности?
Новая технология NAP
Технология защиты сетевого доступа NAP (Network Access Protection)
,
реализованная в Win2k8, призвана помочь администратору в поддержании
безопасности Сети на максимально высоком уровне. Принцип работы NAP заключается
в следующем. При подключении клиента к Сети проверяется наличие файрвола,
последних обновлений безопасности, обновлений антивирусных программ и т.д. Если
компьютер не удовлетворяет принятым политикам, в полном доступе ему будет
отказано до тех пор, пока выявленные проблемы не будут устранены. В зависимости
от настроек, компьютеры, не прошедшие контроль, либо блокируются полностью, либо
помещаются в карантин (например, им выдаются IP-адреса из другого диапазона).
Как вариант, можно настроить только журналирование подобных событий без принятия
каких-либо мер. В карантинной подсети могут располагаться коррекционные сервера
(Remediation Server
), предоставляющие ресурсы для устранения выявленных
недостатков, к примеру, сервер обновлений WSUS (Windows Server Update
Services)
или антивирусная база. После обновления соответствие политикам
проверяется повторно, – если все нормально, система получает доступ в Сеть.
Среди настроек можно указать веб-страничку, на которой описано, почему
пользователь не может подключиться, и что ему для этого нужно сделать.
Так что, NAP
выполняет не только блокирующие функции, но и является
средством, помогающим устранить найденные недостатки. Его работа не сводится к
однократной проверке при подключении (после которой пользователь может отключить
антивирус, «чтобы не мешал»). Проверка состояния производится периодически в
течение всего времени, когда компьютер подключен к Сети.
Для некоторых компьютеров (несовместимая ОС; ноутбук посетителя, которым
управлять не имеем права) может быть настроено исключение, позволяющее получить
доступ в любом случае.
Очень важно понимать, что сам по себе NAP не защищает Сеть
и тем более
не заменяет антивирус и межсетевой экран. Он взаимодействует со многими
механизмами принуждения (DHCP, VPN, IPsec, IEEE 802.1x и TS-Gateway) для
повышения уровня безопасности. Собственно, одна из задач администратора при
развертывании NAP и заключается в выборе «своего» метода. Наиболее простым и в
реализации и по принципу действия является DHCP, – достаточно перестроить
таблицу маршрутизации, и клиент уже не сможет получить доступ в Сеть.
Модифицированная NAP совместимая DHCP-служба называется DHCP NAP Enforcement
Client (EC). Остальные методы более надежны, хотя потребуют дополнительных
настроек.
Разберем такой вариант. Вся клиентская система в порядке, только не
активирован брандмауэр. Что проще всего сделать в такой ситуации? Блокировать
доступ или объяснить пользователю, в чем его проблема? Нет. Проще включить
Windows Firewall. Вот тут мы подходим к еще одной важной особенности NAP
– клиент-серверная архитектура.
Для оценки состояния используется агент NAP
либо уже встроенный в
систему, либо устанавливаемый отдельно. Агент передает отчет о соблюдении
установленных требований серверу сетевых политик (NPS, Network Policy Server
)
отправкой специального SHV-маркера (System Health Validators)
. NPS-сервер
является механизмом обработки политик, встроенным в Win2k8. Он пришел на замену
Internet Authentication Service (IAS)
, который обеспечивал RADIUS
аутентификацию в Active Directory.
Кроме Win2k8, агент уже включен в состав Windows Vista и XP SP3. Сам агент
состоит из нескольких уровней. Это позволяет наращивать его возможности. За
проверку соответствия заданным требованиям отвечает агент состояния системы (System
Health Agents, SHA
). Причем, на компьютере может одновременно работать
несколько таких агентов. Собственный агент Microsoft SHA
на основании
информации, полученной из Центра безопасности, проверяет, включен ли брандмауэр,
установлен ли антивирус и антишпионское ПО. Производители программ могут
добавлять SHA для поддержки своих продуктов. Агент карантина (Quarantine
Agent, QA
) создает отчеты о состоянии работоспособности SHA. И, наконец,
клиент принуждения (Enforcement Client, EC
) обеспечивает доступ к Сети,
основываясь на состоянии системы.
Имеющийся API позволяет третьим сторонам создавать реализации EC для своих
решений, а использование сетевого протокола идентификации IEEE 802.1X
гарантирует совместимость с различными видами устройств. В настоящее время
разработан протокол авторизации учетных данных узла (Host Credential
Authorization Protocol, HCAP
), обеспечивающий интеграцию и с подобной
разработкой Cisco NAC
(Network Admission Control
). Активировать
поддержку HCAP
можно на этапе установки сервера NPS. Имеются данные о
разработках агента Anyclick for NAP для Mac и Linux в UNETsystem (www.unetsystem.co.kr).
Компания Avenda (www.avendasys.com)
уже представила готовое (правда, не бесплатное) решение Avenda Linux NAP Agent
для использования в Linux.
Установка NPS
Роль NPS
, как и большинство остальных ролей, по умолчанию не
устанавливается. Выбираем в «Диспетчере сервера» (Server Manager) ссылку
«Добавить роли» (Add roles), затем в окне выбора ролей отмечаем «Службы политики
сети и доступа» (Network Policy and Access Services). Попутно не забываем
устанавливать остальные роли, которые могут потребоваться (DHCP, службы
терминалов, VPN). В дальнейших настройках будем использовать DHCP, поэтому
отмечаем и роль «DHCP Server».
Переходим к выбору служб ролей (Select Role Services). Кроме HCAP, о котором
говорилось выше, и самого NPS, здесь имеется еще ряд пунктов, которые активируем
в зависимости от конфигурации. Так, «Центр регистрации работоспособности» (Health
Registration Authority, HRA) является компонентом NAP, обеспечивающим
безопасность IPSec. Роли HRA и HCAP потребуют наличия IIS и Windows Process
Activation Service. Запрос на их установку появится на соответствующем шаге.
Роль службы маршрутизации и удаленного доступа (Routing and Remote Access
Service, RRAS) необходима для клиентов, подключающихся удаленно (Dial-up & VPN,
NAT). Вот, собственно, и все. По окончании установки во вкладке «Роли» в
«Диспетчере сервера» появится новый пункт. Также в меню «Администрирование» (Administrative
Tools) станет доступна консоль «Сервер политики сети» (Network Policy Server).
Настройка NPS при помощи шаблона
Консоль управления позволяет настроить NPS-сервер несколькими способами.
Самый простой – выбрать нужную конфигурацию в раскрывающемся списке
«Стандартная конфигурация» (Standard Configuration) на заглавной странице.
Отсюда можно быстро настроить сервер NAP, а также RADIUS-сервер для удаленного
доступа (Dial-up & VPN) и IEEE 802.1x-подключения. К примеру, выбираем «Защита
доступа к сети» (Network Access Protection). После этого внизу страницы появится
ссылка на документацию. Для начала настройки нажимаем на «Настройка NAP» (Configure
NAP), – стартует мастер конфигурации. Самый важный шаг – определение в списке «Network
Connection method» метода подключения для NAP-совместимых клиентов. Здесь есть
все поддерживаемые NAP варианты: DHCP, IPSec с HRA, IEEE 802.1x Wired и Wireless,
VPN и TS-Gateway. Затем в поле «Имя политики» при необходимости уточняем
название правила и переходим к шагу выбора сервера принудительной защиты
доступа. Главное, не запутаться в терминологии, так как просят указать на RADIUS
клиента. Обычно это IEEE 802.1x-совместимый маршрутизатор или беспроводная точка
доступа.
Если на компьютере, на котором производится установка NPS, выполняется служба
DHCP, то этот шаг можно пропустить. В Сети может быть несколько DHCP-областей;
сервер NPS может контролировать их все или только некоторые. Шаг «Укажите
DHCP-области» (Specify DHCP Scopes) позволяет определить области, которые будут
контролироваться этим сервером. Если здесь ничего не указать, политика будет
применяться ко всем NAP-областям. Все добавленные DHCP-серверы должны также
поддерживать NPS. Теперь указываем группы пользователей и компьютеров, к которым
будут применяться правила. На следующей странице «Specify a NAP Remediation
Group and URL» задаем группу серверов обновлений, которые будут использоваться
клиентами. Если такой группы нет, то ее следует создать, нажав кнопку «Новая
группа». Чуть ниже, в строке «Trouble shooting URL», вводим адрес страницы с
инструкциями для пользователя (если она нужна) и переходим к определению
политики работоспособности NAP (Define NAP Health policy). Установленный флажок
«Включить автообновление клиентских компьютеров» (Enable auto-remediation of
client computers) разрешает получение обновлений клиентскими системами, не
удовлетворяющими политикам. Если этот параметр не выбран, клиенты, не
поддерживающие NAP, не обновятся автоматически и не смогут получить полный
доступ, пока не будут обновлены вручную. Переключатель внизу позволяет выбрать
ограничения доступа к Сети клиентам, не поддерживающим NAP. По умолчанию
разрешен только ограниченный доступ (Deny full network access …). Если по
какой-то причине для таких систем ограничений не предусмотрено, то переключаем в
полный доступ (Allow full network access …). После нажатия кнопки «Далее»
создаются политики и выводится отчет.
Знакомство с консолью NPS
Более тонко политики задаются в отдельных меню
. Так в «RADIUS Server и
Clients» настраиваются клиенты и удаленные группы серверов RADIUS (Remote RADIUS
Server Groups). Если узел NPS будет настроен как RADIUS прокси, то на удаленные
сервера будут пересылаться запросы на подключение.
В меню «Политики» (Policies) указываются политики запросов на подключение (Connection
Request Policies, CRP), сетевые политики (Network Policies) и политики
работоспособности (Health Policies). В CRP-политиках определяется обработчик
запроса при подключении клиента. Это может быть как локальный узел, так и
удаленный (в случае с RADIUS). Так как ранее мы уже создали политики, используя
шаблон, то в списке присутствуют две записи: NAP DHCP и проверка подлинности
Windows. Чтобы добавить новую политику, следует в контекстном меню выбрать пункт
«Новый документ». После чего следовать указаниям мастера. В колонке «Статус»
показано, активна эта политика или нет, а цифра в соседней колонке указывает на
порядок ее обработки.
Для изменения политики следует дважды щелкнуть по имени. В появившемся окне
свойств – три вкладки. На вкладке «Обзор» (Overview) можно изменить имя
политики; сняв флажок «Политика включена» (Policy enabled), отключить проверку
этой политики сервером. Раскрывающийся список чуть ниже позволяет изменить тип
NPS-сервера (сейчас установлен DHCP-сервер). Активная политика будет применяться
без каких-либо ограничений. Во вкладке «Условия» (Conditions) задаются различные
ограничения для выбранной политики: по времени, IP-адресу, группе HCAP, по имени
пользователя, протоколу, типу службы и туннеля и т.д. В том числе, предусмотрены
и такие, как разработчик оборудования RADIUS. Все это позволяет задать
действительно гибкие правила, правда, тут придется немного потрудиться. И,
наконец, в третьей вкладке «Параметры» (Settings) настраиваются параметры для
политики сети, которые будут применены после проверки всех ограничений.
Большинство основных параметров NAP находятся в «Network Policies». Различают
два типа политик: разрешающая и запрещающая. После использования шаблона в
списке уже будут присутствовать пять политик, определяющих, кому и на каких
условиях будет разрешен или запрещен доступ. При выборе политики в окнах внизу
будут показаны условия и параметры. При необходимости их можно отредактировать,
вызвав мастера двойным щелчком. Новая политика создается аналогично предыдущему
пункту (выбор «Новый документ» в контекстном меню).
Обратимся к свойствам политики. Сразу обращаем внимание, что теперь вкладок
четыре: добавилась «Ограничения» (Constraints). А содержимое других вкладок чуть
изменилось. На вкладке «Обзор» указывается, разрешить или запретить доступ в
сеть клиентам, удовлетворяющим требованиям этой политики. Установленный по
умолчанию флажок «Ignore user account dial-in properties» позволяет игнорировать
свойства удаленного доступа учетной записи пользователя, если запрос на
подключение удовлетворяет политикам. Настройка методов проверки подлинности
перекочевала в «Ограничения». Здесь же указывается тайм-аут простоя и сеанса,
ограничения по времени, тип порта NAS и некоторые другие. Соответственно,
несколько изменилось содержимое вкладки «Параметры». В ней настраиваются
IP-фильтры (позволяющие определить, какие пакеты обрабатывать этим интерфейсом),
шифрование, дополнительные атрибуты RADIUS, обработка многоканальных
подключений. Политика назначения клиенту IP-адреса определяется в подпункте «IP
Setting». Выбрав «Принудительное использование NAP» (NAP Enforcement), мы
настраиваем уровень применения правил NAP. Это может быть полный доступ к Сети,
полный доступ в ограниченное время (испытательный срок) и ограниченный доступ.
Наличие разрешающих политик и настроек может немного запутать. На этапе
подготовки нужно четко определиться с задачами и представлять конечный
результат, чтобы не активировать ничего лишнего. Так, параметры сетевой политики
для «правильных» клиентов должны разрешать полный доступ, автообновление должно
быть выключено. Для нарушителей, наоборот – ограниченный доступ и активируем
автообновление.
Группа серверов обновлений задается в окне, появляющемся при нажатии кнопки
«Настроить» (Configure). За автообновление клиентских компьютеров отвечает
флажок «Enable auto-remediation of client computers».
Конфигурации, необходимые для доступа к Сети NAP-совместимым клиентам,
создаются в «Политики работоспособности». После использования шаблона здесь две
политики: DHCP Совместимый и DHCP Несовместимый. Вторая определяет клиентов,
которые не прошли одну или несколько SHV-проверок.
Непосредственно параметры SHV и группы серверов обновлений настраиваются в
меню «Защита доступа к Сети». По умолчанию в NPS присутствует только один SHV –
«Средство проверки работоспособности системы безопасности Windows» (Windows
Security Health Validator). Двойным щелчком вызываем окно свойств, в котором
представлены способы разрешения кода ошибки в различных ситуациях (SHV не может
связаться со службами или не отвечает, SHA не отвечает клиенту и т.д.). По
умолчанию при возникновении любой ошибки клиенту устанавливается статус
«Несовместимый». Нажав на кнопку «Настроить», получим возможность указать
требования к клиентским компьютерам (отдельно Windows XP и Vista):
- должен ли быть включен Windows Firewall (или другой совместимый
брандмауэр); - должна ли быть включена антивирусная программа и насколько актуальна ее
версия; - работает ли Windows Defender или другое антишпионское ПО и насколько оно
актуально (только для Vista); - включено ли автоматическое обновление;
- установлены ли обновления безопасности с заданным уровнем, с указанием
времени последней проверки наличия обновлений.
Последнее меню – «Учетные данные» (Accounting) – отвечает за настройки
журналирования событий NPS. Для хранения журналов можно использовать локальный
файл или базу SQL-сервера (в том числе и удаленного). При использовании
локального хранилища события будут отображаться в Event Viewer.
Настройка клиента NAP
Настройка NAP клиента производится при помощи MMC консоли «Конфигурация
клиента NAP» (NAP Client Configuration), доступной в совместимых версиях ОС.
По умолчанию она не выводится в списке, поэтому ее необходимо добавить
самостоятельно
. Запускаем mmc из командной строки и добавляем новую оснастку
«Консоль» – «Добавить или удалить оснастку». Выбираем в списке «Конфигурация
клиента NAP» и нажимаем кнопку «Добавить». В появившемся окне отмечаем
компьютер, на котором будет выполняться оснастка (обычно это локальная система).
После нажатия на «ОК» в окне MMC появляется новая консоль, в корне которой
предложено три настройки: клиент системы ограничений (Enforcement Client),
параметры интерфейса пользователя (User Interface Settings) и параметры
регистрации работоспособности (Health Policies). Список поддерживаемых
механизмов NAP доступен в «Enforcement Client» (по умолчанию все отключены).
Например, для активации механизма DHCP выделяем «Клиент принудительного
карантина для DHCP» (DHCP Quarantine Enforcement Client) и нажимаем «Включить».
Пункт «User Interface Setting» позволяет задать рисунок значка NAP-клиента и
поясняющий текст.
Если компьютеров много, то ручная настройка клиентов займет много времени. В
этом случае следует использовать групповые политики, которые расположены в узле
Конфигурация компьютера/Установки Windows/Настройки безопасности/Защита доступа
к Сети (Computer Configuration/Windows Setting/Security Setting/Network Access
Protection).
Заключение
Новая технология Network Access Protection
позволяет повысить
безопасность Сети, блокировав или ограничив доступ незащищенным клиентским
компьютерам. Особенно это актуально для удаленных систем, как правило,
неподконтрольных администратору и служащих основными источниками неприятностей.
WARNING
Сам по себе NAP не защищает Сеть и, тем более, не заменяет антивирус и
межсетевой экран.
NAP не предназначен для защиты от инсайдеров и других подобных типов
внутренних угроз, когда пользователь обладает в Сети особыми правами,
позволяющими выполнять злонамеренные действия как умышленно, так и случайно.
Как вы, скорее всего, заметили, в последнее время большинство моих статей посвящается технологии групповой политики, которую, по моему мнению, необходимо знать и понимать, так как именно благодаря этой технологии вы можете оградить пользователей, компьютеры и сеть своей компании от многих бед. Групповые политики тесно связаны практически с каждыми технологиями, которые можно разворачивать в организации. Но в любом случае, даже если вы будете использовать сценарии с каждым параметром групповой политики, парк компьютеров вашей организации все еще будет уязвим по многим причинам.
Практически в каждой организации, одной из основных задач системного администратора, а иногда и отдельного администратора по безопасности, связанной с обслуживанием парка компьютеров является обеспечение безопасности. В организациях чаще всего для обеспечения безопасности внедряют следующие решения:
- Установка антивирусного программного обеспечения на клиентские компьютеры, файловые и почтовые сервера, а также консоли управления антивирусным программным обеспечением на выделенном сервере. К ключевым продуктам для бизнеса по обеспечению антивирусной безопасности можно отнести продукты Microsoft ForeFront, Kaspersky Enterprise Space Security, а также Symantec Endpoint Protection;
- Настройка брандмауэров на рабочих станциях и серверах в организации. Например, брандмауэр Windows в режиме повышенной безопасности позволяет фильтровать входящий и исходящий трафик, используя настраиваемые правила для определения законных и небезопасных коммуникаций;
- Развертывание межсетевых экранов в демилитаризованных зонах, которые могут быть комплексными решениями для обеспечения безопасности в сети, позволяющие защитить внутреннюю сеть организации от угроз из Интернета. Например, межсетевой экран Microsoft Forefront Threat Management Gateway 2010 предлагает единый простой способ обеспечения безопасности периметра благодаря интегрированному межсетевому экрану, VPN, предотвращению вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.
- Обеспечение безопасности обмена данных между компьютерами при помощи протокола IPSec, который чаще всего применяется для защиты трафика через Интернет при использовании виртуальных частных сетей;
- Настройка политики безопасности групповой политики. К таким политикам можно отнести политики паролей и блокировки учетных записей, политики открытого ключа, политики ограниченного использования программ и многое другое;
- Использование шифрования дисков, позволяющее защитить данные, расположенные на клиентских компьютерах в том случае, если пользовательский компьютер украден или во избежание раскрытия данных, находившихся на потерянных, украденных или неправильно списанных персональных компьютерах.
Как видите, не существует единого комплексного решения, позволяющего полностью защитить всех ваших пользователей от различных ситуаций и атак и, разумеется, перечисленный выше список решений не является окончательным. Но при помощи всех указанных выше решений обеспечения безопасности вы сможете лишь защитить сеть своей организации от атак злоумышленниками извне, то есть из сети Интернет. Также вы можете защитить свою интрасеть от человеческого фактора, так как при правильном использовании функционала групповой политики можно ограничить пользователей от выполнения многих действий, а также от внесения большинства изменений в систему. Но не стоит исключать возможность, когда сотрудники вашей компании разъезжают по командировкам. Будучи на вокзале, в аэропорту, интернет кафе или в партнерской организации, ваш пользователь мог подключать свой ноутбук к сети Интернет или к внутренней сети другой компании. А так как в расположении, где пользователь подключался к сети Интернет, могут быть не соблюдены требования безопасности, ноутбук вашего сотрудника может быть заражен и по возвращении в свой офис, вирус, расположенный на ноутбуке приехавшего сотрудника может начать распространяться на уязвимые компьютеры. Описанный выше сценарий является наиболее распространяемым и во избежание подобных ситуаций, в операционной системе Windows Server 2008 была анонсирована новая технология «Защита доступа к сети» . Эта технология содержит как клиентские, так и серверные компоненты, позволяющие создавать и применять определенные политики требований к работоспособности, определяющие характеристики конфигурации программного обеспечения и системы при подключении компьютеров к внутренней сети организации. Когда клиентские компьютеры подключаются к сети организации, их компьютеры должны соответствовать определенным требованиям состояния и если компьютер не соответствует таким требованиям (например, установка последних обновлений операционной системы), то они будут помещены в сетевой карантин, где смогут загрузить последние обновления, установить антивирусное обеспечение и выполнить другие требуемые действия. В этой вводной статье я вкратце расскажу о данной технологии.
Технология защиты доступа к сети и методы принудительной защиты
Как уже было упомянуто немного ранее, защита доступа к сети (Network Access Protection, NAP) является расширяемой платформой, предоставляющей определенную инфраструктуру. Защита доступа к сети требует выполнения полной проверки и оценивает работоспособность клиентских компьютеров, при этом ограничивая сетевой доступ для клиентских компьютеров, не соответствующих этим требованиям. В защите доступа к сети применяются политики работоспособности, проверяющие и оценивающие клиентские компьютеры, приводя их в соответствие политике работоспособности до предоставления им полного доступа к сети. Несмотря на то, что технология защиты доступа к сети обеспечивает богатый функционал, такие компоненты как проверка состояния работоспособности компьютера, создание отчетов о работоспособности, сравнение показателей работоспособности клиентского компьютера с параметрами политики работоспособности, а также настройка параметров клиентского компьютера в соответствие с требованиями политики работоспособности осуществляются другими компонентами, которые называются агентами работоспособности системы и средствами проверки работоспособности системы. Агенты работоспособности по умолчанию включены как компоненты системы в операционных системах, начиная с Windows Vista и Windows Server 2008. Но для интеграции защиты доступа к сети, разработчики стороннего программного обеспечения также могут использовать набор API для написания своих собственных агентов работоспособности. Стоит обратить внимание на то, что защита доступа к сети предоставляет двухстороннюю защиту клиентских компьютеров и внутренней сети организации, обеспечивая соответствие подключающихся к сети компьютеров действующих в организации требованиям политики сети, а также политики работоспособности клиента.
Сами по себе политики работоспособности применяются с использованием компонентов клиентской стороны, которые уже проверяют и оценивают работоспособность, согласно которым ограничивается доступ к сети для несоответствующих клиентских компьютеров, а также одновременно компонентов клиентской и серверной стороны, обеспечивающих обновление несоответствующих клиентских компьютеров для предоставления им полного доступа к сети. А работоспособность задается в виде сведений о клиентском компьютере, которые используются защитой доступа к сети для определения возможности доступа данного клиента к внутренней сети организации. К примерам характеристик, которые проверяются при оценке состояния работоспособности состояния конфигурации клиентского компьютера, по сравнению с состоянием, необходимым в соответствии с политикой работоспособности можно отнести статус установки обновлений операционной системы и обновлений сигнатур антивирусного программного обеспечения, установку обновлений антишпионского программного обеспечения, работоспособность брандмауэра на клиентском компьютере и прочее. В том случае, если конфигурация клиентского компьютера не будет соответствовать необходимому состоянию, таким компьютерам или будет полностью запрещен доступ к сети организации, или им будет предоставлен доступ только к специальной сети карантина, где клиенту будут предоставлены обновления программного, антивирусного и антишпионского обеспечения.
Когда клиентские компьютеры пытаются получить доступ к сети организации через такие серверы доступа к сети как VPN-серверы, к ним применяется принудительная защита доступа к сети. Способ применения такой принудительной защиты напрямую зависит от выбранного метода применения. Политики работоспособности защиты доступа к сети могут быть применены к следующим сетевым технологиям:
- Протоколу DHCP . При использовании этого типа принудительной защиты используется серверная роль DHCP, установленная на компьютере под Windows Server 2008, обеспечивающая автоматическое предоставление IP-адресов клиентским компьютерам. Если для этого типа включена защита NAP, то IP-адреса, предоставляющие сетевой доступ могут получить лишь компьютеры, которые полностью соответствуют требованиям безопасности, а все остальные компьютеры будут получать адреса в подсети 255.255.255.255 без основного шлюза. Несмотря на то, что клиенты не могут получить доступ к сети организации, они будут обеспечены маршрутами узла, направляющих трафик на сетевые ресурсы в группе восстановления работоспособности, где они смогут установить все необходимые обновления безопасности;
- Безопасным подключениям IPSec . Этот метод включения принудительной защиты развертывается для того, чтобы клиенты проверяли актуальность защиты системы перед получением сертификата работоспособности. В свою очередь, сервер сертификации выдает клиентам NAP сертификат X.509 для проверки подлинности, который необходим для обеспечения безопасности IPSec перед подключением клиентов к сети, когда они обмениваются данными по протоколу IPsec с другими клиентами организации. При использовании текущего метода вместе с поддержкой защиты доступа к сети вам предстоит еще развернуть сервер сертификации;
- Проводным и беспроводным сетям IEEE 802.1X . Метод принудительной защиты на основании проводных или беспроводных сетей IEEE 802.1X реализуется совместно с точками беспроводного доступа или коммутаторами Ethernet с поддержкой проверки подлинности 802.1X. При этой реализации сервер NAP дает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X команду перемещать несоответствующих требованиям клиентов в зону карантина или вообще не подключать к сети организации. Текущий метод защиты обеспечивает гарантии соответствия требованиям системы безопасности для компьютеров, которые могут находиться в сети продолжительное время;
- VPN-серверам и подключениям . Применение данного метода принудительной защиты предназначается для работы с виртуальными частными сетями и предусматривает развертывание VPN-сервера Windows Server 2008 и компонента «Маршрутизация и удаленный доступ» . Соответственно, при использовании NAP, клиенты, подключающиеся к виртуальной частной сети должны проходить проверку работоспособности, и неограниченный сетевой доступ будут получать лишь те клиентские компьютеры, которые соответствуют требованиям системы безопасности;
- Шлюзу удаленных рабочих столов . Несмотря на то, что в большинстве случаев к серверам удаленных рабочих столов могут подключаться лишь определенные авторизированные пользователи, отслеживание состояния работоспособности клиентских компьютеров позволяет подключаться к серверам или удаленным рабочим столам только соответствующим требованиям безопасности компьютерам.
Заключение
В целом, как вы уже поняли, технология «Защита доступа к сети» обеспечивает дополнительную степень безопасности, предоставляющую допуск к ресурсам внутренней сети только тем компьютерам, которые соответствуют отведенным требованиям безопасности. Но не стоит забывать и о том, что, несмотря на обеспечение гарантии технологии защиты доступа к сети, ваши пользователи не смогут подключиться к внутренней сети без соответствия требований безопасности, работа NAP может не значительно препятствовать опытному хакеру, все равно подключиться к сети вашей организации. На этом первая статья из цикла статей по технологии защиты доступа к сети NAP подходит к концу. В следующих статьях данного цикла вы узнаете о развертывании технологии NAP, об устранении неполадок, связанных с это технологией, обо всех методах принудительной защиты, а также о многих других нюансах.
Технология защиты сетевого доступа Microsoft Network Access Protection (NAP) встроена в клиентские операционные системы Windows Longhorn Server и Windows Vista, она расширяет функциональность службы Network Access Quarantine Control в Windows Server 2003. Эта технология позволяет администраторам проверять состояние всех клиентов (а не только постоянных удалённых), подключённых к сети компьютеров в соответствие с принятым требованиям политики безопасности.Несоответствующие тем или иным требованиям машины будут направляться в специальную сеть с ограниченным доступом, где смогут снабдить свои системы недостающими для нужного уровня соответствия ресурсами.
Ниже перечислены 10 основных фактов, которые необходимо узнать перед тем, как внедрить NAP в сеть.
NAP - добавочная функция
NAP не занимает нишу таких защитных механизмов сети, как брандмауэры, приложения по борьбе с вредоносным ПО и системы обнаружения вторжений. Эта технология ни в коей мере не способна предотвратить несанкционированный доступ в сеть. Вместо этого она помогает защитить от атак и действий вредоносных программ подключённые к сети компьютеры, система защита и конфигурация которых оставляет желать лучшего.
NAP может работать в режиме мониторинга или в режиме изоляции
В режиме мониторинга авторизированные пользователи получают доступ к сети даже в том случае, если их состояние их систем не удовлетворяют требованиям безопасности. Этим машинам присваивается соответствующий статус и администраторы могут дать пользователям необходимые инструкции. В изоляционном режиме неудовлетворяющие требования безопасности компьютеры переводятся в специальную карантинную сеть, где смогут установить все недостающие для утверждения ресурсы.
Можно выбирать критерии соответствия
Критерии соответствия включают наличие обновлений, "заплаток" и последних защитных патчей, антивирусных и антишпионских программ, брандмауэров и включенной службы автоматических обновлений Windows. Настроить эти критерии можно при помощи серверного средства оценки состояния систем System Health Validator (SHV).
NAP-сервер должен быть встроен в Windows Longhorn Server
NAP-сервер - это Сервер политики безопасности (Network Policy Server, NPS). NPS заменит в Longhorn службу аутентификации Internet Authentication Service (IAS), которая является частью Windows Server 2003 и отвечает за аутентификацию и авторизацию. В состав NAP входят сервер управления и координации политики NAP Administration Server и сервер определения соответствия NAP Enforcement Server. Компонент System Health Validator (SHV) запускается на сервере.
NAP требует от клиентских компьютеров наличия клиентского приложения NAP
Клиенты NAP для Windows Vista и Windows XP должны появиться с выходом Windows Longhorn Server. Агент System Health Agent (SHA) запускается на клиентских системах. Если машины сети работают на операционных системах, не поддерживающих NAP, можно внести их в список исключений, чтобы позволить им дальше работать в сети. Если же этого не сделать, не поддерживающие NAP компьютеры смогут получить доступ только к специальной карантинной сети.
SHA представляет заявление о работоспособности Statement of Health (SoH), основанное на состоянии клиентской системы
Приложение NAP добавляет SoH к SHV. SHV подключается к серверу политики безопасности Policy Server и определяет, соответствует ли описанный в SoH статус работоспособности клиентской системы требованиям принятой политики. Если да, то компьютер получает полный доступ к ресурсам сети. Если нет (в режиме изоляции), то компьютер получает доступ только к карантинной сети, где на специальных серверах коррекции (Remediation servers) содержатся все необходимые обновления и программы, наличие которых требуется для получения полного доступа.
Использование сертификатов работоспособности для оптимизации процесса проверки
Чтобы сервер Longhorn мог выполнять функции центра сертификации CA и выдавать сертификаты работоспособности, необходимо наличие служб Internet Information Services (IIS) и служб сертификации Certificate Services. Такой компьютер будет называться сервером авторизации работоспособности (Health Registration Authority, HRA). Клиент NAP будет отправлять заявление SoH серверу HRA, который в свою очередь будет посылать его на NPS-сервер. NPS-сервер будет связываться с сервером политики безопасности Policy Server, чтобы проверить SoH. Если проверка пройдёт успешно, сервер HRA выдаст клиенту сертификат работоспособности, который впоследствии можно использовать для идентификации по протоколу IPSec.
Четыре механизма ограничения доступа NAP
Для ограничения по протоколу IPSec (IPSec enforcement) используются сервер HRA и сертификаты X.509. Для ограничения по стандарту 802.1x (802.1x enforcement) используется компонент EAPHost NAP EC для проверки клиентов, подключающихся через точку доступа 802.1x (это может быть точка беспроводного доступа или Ethernet-коммутатор). Профили ограниченного доступа могут состоять из набора IP-фильтров или идентификаторов виртуальной локальной сети VLAN, предназначенные для направления компьютера в карантинную сеть. Для ограничения по идентификатору VPN (VPN enforcement) используются VPN-сервера в момент попытки подключения через виртуальную частную сеть. Для ограничения по протоколу DHCP (DHCP enforcement) используются DHCP сервера в момент, когда компьютер пытается арендовать или обновить конфигурацию IP-адреса в сети. Можно использовать как один, так и все методы ограничения доступа.
Доступ ограничен только тем компьютерам, которые входят в сеть по одному из вышеописанных методов
DHCP enforcement - самый простой и самый дорогой метод ограничения доступа, потому что все клиентские компьютеры DHCP должны будут арендовать IP-адреса (за исключением тех машин, которым присвоены статические адреса). Но самым надёжным методом является ограничение по IPSec. Даже при ограниченном доступе компьютер моет подключаться к DNS и DHCP-серверам, равно как и к серверам коррекции. Можно также разместить дополнительные DNS-серверы или включить их в карантинную сеть с ограниченным доступом вместо основных.
NAP отличается от службы защиты сетевого доступа Network Access Quarantine Control в Windows Server 2003
NAP можно применять абсолютно ко всем, а не только к подключенным удалённым системам сети. То есть с помощью NAP можно проверять и управлять состоянием как временно подключающихся к сети ноутбуков, так и местных настольных систем. NAP легко внедрить, поскольку в отличие от NAQC для её развёртывания не требуется создавать произвольные коды и производить настройку вручную посредством инструментов командной строки. Вдобавок сторонние производители ПО могут использовать интерфейс NAP для создания NAP-совместимых компонентов проверки состояния системы и ограничения сетевого доступа. NAP и NAQC можно использовать одновременно, но в большинстве случаев NAP удачно заменит NAQC.
Один из аспектов сетевой безопасности, который расстраивает многих администраторов, заключается в том, что у них нет контроля над конфигурацией удаленных компьютеров. Хотя корпоративная сеть может иметь очень безопасную конфигурацию, в настоящий момент ничто не может помешать удаленному пользователю подключиться к корпоративной сети с помощью компьютера, который заражен вирусами, или который не содержит необходимых обновлений. Инструмент операционной системы Longhorn Server под названием Network Access Protection (защита доступа к сети, NAP) позволит изменить такую ситуацию. В этой статье я расскажу вам об инструменте NAP и покажу, как он работает.
Когда я работал сетевым администратором, одна из вещей, которая меня очень расстраивала, заключалась в том, что у меня был очень слабый контроль над удаленными пользователями. Согласно бизнес требованиям моей организации, у удаленных пользователей должна была существовать возможность подключения к корпоративной сети из любого места вне офиса. Проблема заключалась в том, что хотя я предпринимал экстремальные меры для защиты корпоративной сети, у меня не было абсолютно никакого контроля над компьютерами, который пользователи могли бы использовать для удаленного подключения к сети. В конце концов, домашний компьютер сотрудника не является собственностью компании.
Причина, по которой это так сильно меня расстраивало, заключалась в том, что я никогда не знал, в каком состоянии находится компьютер пользователя. Иногда, удаленные пользователи могли подключаться к сети с помощью компьютера, который заражен вирусами. Иногда, компьютер удаленного пользователя мог работать на устаревшей версии операционной системы Windows. Хотя я предпринимал шаги по защите корпоративной сети, я всегда боялся, что удаленный пользователь с неадекватной защитой может инфицировать файлы в сети вирусом, или случайно открыть важную корпоративную информацию, потому что его компьютер может быть заражен трояном.
Однако несколько лет назад появился луч надежды. Компания Microsoft подготовилась к выпуску операционной системы Windows Server 2003 R2, в которой велся разговор о новом инструменте под названием NAP. Чтобы немного сократить историю, расскажу лишь, что чтобы настроить безопасность сети с помощью более ранних версий этого инструмента, необходимо было иметь ученую степень в области компьютерной безопасности. И поэтому инструмент NAP был удален из окончательной версии R2.
Компания Microsoft проделала большой объем работы по усовершенствованию инструмента NAP с того времени, и теперь инструмент NAP одним из основных инструментов для безопасности в операционной системе Longhorn Server. Хотя версия инструмента NAP для операционной систем Longhorn будет гораздо более простой в настройке, чем невышедшая версия для Windows Server 2003, она по-прежнему остается весьма сложной. Поэтому целью написания этой статьи было то, чтобы предоставить вам описание инструмента NAP, а также показать вам, как он работает еще до выхода официальной версии операционной системы Longhorn Server.
Для начала
Перед тем как я продолжу, я хочу объяснить еще одну вещь относительно инструмента NAP. Назначение инструмента NAP заключается в том, чтобы убедиться, что компьютер удаленного пользователя удовлетворяет требованиям безопасности вашей организации. NAP ничего не делает, чтобы предотвратить неавторизованный доступ к вашей сети. Если у злоумышленника есть компьютер, который удовлетворяет требованиям по безопасности вашей компании, то NAP ничего не сделает, чтобы попытаться остановить злоумышленника. Защита от злоумышленников, которые пытаются получить доступ к сетевым ресурсам – это задача других механизмов безопасности. NAP спроектирован для того, чтобы просто запретить вход в вашу сеть разрешенным пользователям, которые используют небезопасные компьютеры.
Еще одну вещь, о которой я хочу упомянуть, перед тем как продолжить свой рассказ дальше, заключается в том, что инструмент NAP отличается от инструмента Network Access Quarantine Control, который присутствует в операционной системе Windows Server 2003. Инструмент Network Access Quarantine Control использует ограниченные политики для контроля удаленных компьютеров, но он подчиняется NAP.
Основы защиты доступа к сети
Инструмент NAP спроектирован, чтобы расширить корпоративный VPN. Процесс начинается, когда клиент устанавливает VPN сессию с сервером Longhorn, на котором запущена служба Routing and Remote Access (маршрутизация и удаленный доступ). После того, как пользователь устанавливает соединение, сервер сетевой политики проверяет состояние удаленной системы. Это обеспечивается путем сравнения конфигурации удаленного компьютера с политикой сетевого доступа, которая определена администратором. Что происходит дальше, зависит от того, что администратор прописал в этой политике.
У администратора есть настройка для конфигурации либо политики мониторинга (monitoring only policy), либо политики изоляции (isolation policy). Если включена только политика мониторинга, то любой пользователь с правильным правами получит доступ к сетевым ресурсам, вне зависимости от того, удовлетворяет ли его компьютер корпоративной политике безопасности или нет. Хотя политика мониторинга не запрещает любому компьютеру доступ в вашу сеть, результат сравнения конфигурации удаленного компьютера с корпоративными требованиями записывается в специальный журнал.
На мой взгляд, политика мониторинга лучше всего подходит для перехода в среду NAP. Подумайте на секунду, если у вас есть удаленные пользователи, которым необходим доступ к ресурсам, находящимся в вашей корпоративной сети, для выполнения из работы, то вы, вероятней всего, не захотите изначально включать NAP в изоляционном режиме. Если вы все же захотите сделать так, то велик шанс того, что ни один из ваших удаленных пользователей не сможет получить доступ к вашей корпоративной сети. Вместо этого вы можете настроить NAP для использования политики мониторинга. Это позволит вам оценить влияние ваших политик доступа к сети без случайного запрета выполнять кому-то его работу. После такого тестирования вы сможете включить политику в изоляционном режиме.
Как вы, вероятно, уже догадались, в режиме изоляции компьютеры, который не удовлетворяют корпоративной политике безопасности, помещаются в сетевой сегмент, который изолирован от ресурсов промышленной сети. Конечно, это очень общее заявление. Это полностью на усмотрение администратора, решить, что делать с пользователем, компьютер которого не удовлетворяет корпоративной политике. Обычно, администратор предоставляет пользователям, компьютеры которых не удовлетворяют корпоративной политике, доступ к изолированному сетевому сегменту, о котором я говорил выше. Также у администратора есть возможность ограничения доступа к одному ресурсу или к всем сетевым ресурсам.
Вы можете удивиться, какое может быть преимущество в предоставлении доступа компьютерам, которые не соответствуют требованиям корпорации, к изолированному сетевому сегменту. Если компьютер, который не соответствует требованиям, подключается к сети, и инструмент NAP запущен в изоляционном режиме, то такому компьютеру закрыт доступ в промышленную сеть. Обычно такой карантин продолжается, пока пользователь подключен к сети. Простой карантин компьютеров, которые не удовлетворяют политикам компании, позволяет избежать вирусного заражения или использования брешей в безопасности в вашей сети, но не закрывает для пользователя много всего полезного. В конце концов, если пользователь не может получить доступ к сетевым ресурсам, то он не может выполнять свою работу.
Тут как раз и приходит на помощь изолированный сетевой сегмент. Администратор может поместить специальный набор обновлений и антивирусов в этот изолированный сегмент. Такие ресурсы позволяет привести компьютер удаленного пользователя в соответствие с требованиями компании. Например, на таких серверах могут содержаться обновления для безопасности или для антивирусной программы.
Очень важно обратить внимание на то, что инструмент NAP не содержит каких-либо механизмов, которые способны проверить состояние удаленного компьютера и установку на нем обновлений. Это уже будет работа агентов состояния системы и валидатора состояния систем. По слухам, эти компоненты будут интегрированы в следующую версию SMS Server.
Заключение
В этой статье я рассказал вам о новом инструменте в операционной системе Longhorn Server под названием NAP. Во второй части этой статьи, я расскажу вам о процессе настройки с помощью этого инструмента.
