Network Access Protection (NAP): la soluzione di policy enforcement in

Windows Server 2008 R2

PierGiorgio MalusardiIT Pro EvangelistMicrosoft Italiahttp://blogs.technet.com/pgmalusardi

Agenda

Network Access Protection: panoramica Architettura di NAP Policy di Network Access Protection

Network Access Protection: panoramica

Non è una soluzione di sicurezza serve per evitare attacchi blocca utenti malevoli

È una tecnologia di policy enforcement un sistema di controllo degli accessi alla rete basato

sullo stato dei computer

Aiuta a mantenere i computer conformi alle policy

Riduce le possibilità di attacco

Network Access Protection: panoramica

È il motore di policy che consente di fornire accessi sicuri alla reteUsando NAP server (NPS) un amministratore IT può impostare policy di accesso alla rete basate su identità in AD, periodo della giornata, locazione, ecc…

Consente decisioni sugli accessi basate sullo stato di Windows Security CenterCon NAP è possibile valutare, forzare e rimediare le impostazioni del Security Center per rete, host e accesso da remoto.

Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessiUsando le estensioni a NAP fornite da SCCM o FCS, un amministratore IT può forzare la conformità alle policy di patch e di sicurezza con elevati livelli di granularità per rete, host e accesso da remoto.

Abilita i report sulla conformità per gli accessi alla reteCon NAP un amministratore IT può valutare il livello di conformità alle policy aziendali senza impattare l’accesso o la produttività.

Network Access Protection: panoramica

Infrastruttura: Windows Server 2008 Windows Server 2008 R2

Client Windows XP SP2 Windows Vista Windows 7

Network Access Protection: panoramica

Funzioni Verifica delle condizioni Rimedi Autorizzazione e autenticazione di rete Contabilità

Rete di confine

Rete ristretta

Rete sicura

Architettura di NAP: introduzione

Active Directory

NPS

Policy Server

DHCP HRA Device 802.1x

Server dei rimedi

Client NAP

Internet

VPN

Architettura di NAP: introduzione

NPS

Policy Server

DHCP

HRA

Device 802.1x

RemediationServer

Client NAP

VPNUnified Access Gateway

PEAP su PPP

DHCP

HTTPS

PEAP su EAPOL

AggiornamentiQuery surichiestedi sistema

Remote Desktop Gateway

Messaggi RADIUS

RDP su H

TTPS

Architettura di NAP: componenti client

SHA_1 SHA_2 SHA_3

API SHA

NAP Agent

API NAP EC

EC_1VPN

EC_2DHCP

EC_3IPSec

NAP srv_AVPN

NAP srv_BDHCP

NAP srv_CHRA

Srvrimedi_A

SrvRimedi_B 1. Enforcement Client

2. System Health Agent

3. NAP Agent

4. API SHA

5. API EC

Client NAP

Architettura di NAP: componenti server

SHV_1 SHV_2 SHV_3

API SHV

NAP Administration Srv

NPS

ES_1VPN

ES_2DHCP

ES_3IPSec

Policysrv_A

Policysrv_B

Client NAP

NPS

NAP Srv

1. Network Policy Server

2. NAP Administration Server

3. System Health Validator

4. API SHV

5. NAP ServerMessaggi RADIUS

Architettura di NAP: visione d’insieme

SHV_1 SHV_2 SHV_3

API SHV

NAP Administration Srv

NPS

ES_1 ES_2DHCP

ES_3IPSec

Policysrv_A

Policysrv_B

NPS

NAP Srv

Messaggi RADIUS

SHA_1 SHA_2 SHA_3

API SHA

NAP Agent

API NAP EC

EC_1 EC_2DHCP

EC_3IPSec

Srvrimedi_A

SrvRimedi_B

Client NAP

Componentiforniti da

terze parti

Architettura di NAP: comunicazione c/s

SHV_1 SHV_2 SHV_3

API SHV

NAP Administration Srv

NPS

ES_1

Policysrv_A

Policysrv_B

NPS

NAP Srv

Messaggi RADIUS

SHA_1 SHA_2 SHA_3

API SHA

NAP Agent

API NAP EC

EC_1

Srvrimedi_A

SrvRimedi_B

Client NAP

Architettura di NAP: comunicazione c/s

SHV_1 SHV_2 SHV_3

API SHV

NAP Administration Srv

NPS

ES_1

Policysrv_A

Policysrv_B

NPS

NAP Srv

Messaggi RADIUS

SHA_1 SHA_2 SHA_3

API SHA

NAP Agent

API NAP EC

EC_1

Srvrimedi_A

SrvRimedi_B

Client NAP

Tecnologie integrate con NAP

Windows Security Center System Center Configuration Manager Forefront Client Security 3ze Parti…

Policy di Network Access Protection

Connection Request Policy (CRP): “Proxy” Valutate in ordine Usata la prima che corrisponde alle condizioni

del client Network Policy (NP): “Authorize”

Valutate in ordine Usata la prima che corrisponde alle condizioni

del client Health Policies (HP) “Evaluate and Enforce”

Verificate tutte Applicata solo quella che corrisponde

Connection Request Policy

Health Authentication

Authorization

Policy NAP: concetti generali

Policy NAP: dalle più specifiche alle più generiche Tutte le Health Policies sono valutate e scritte in

log Forzatura degli accessi per rete e host sono

basati sulle regole di accesso e indipendenti dalle policy NAP

Le impostazioni per la rete delle policy NAP (Quarantena, “in salute” e differita) impattano il client e non la tecnologia di forzatura

Policy NAP: condizioni

Connection Request Policy

Tipo di NAS Giorno e ora Nome utente NAS/ES Criteri VPN Stato di salute del PC Client Tipo di porta

Network Policy

Tipo di NAS Giorno e ora Gruppo di sicurezza Scope DHCP Policy di salute Capacità NAP Sistema operativo Metodi di autenticazione NAS/ES Stato di salute del PC Client

Policy NAP: impostazioni

Connection Request Policy

Metodo di autenticazione Proxy di accounting e

autenticazione Modifica di attributi Iniezione di attributi

Network Policy

Risposte: Access Accept/Reject Iniezione di attributi Forzatura NAP Impostazioni RRAS

Policy NAP: scenari

È il motore di policy che consente di fornire accessi sicuri alla reteScenario: Accesso wireless sicuro con autenticazione degli utenti su AD

Consente decisioni sugli accessi basate sullo stato di Windows Security CenterScenario: Vietare l’accesso ad internet ai client senza antivirus

Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessiScenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA

Abilita i report sulla conformità per gli accessi alla reteScenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec

Policy NAP: scenari

Scenario: Accesso wireless sicuro con autenticazione degli utenti su ADCRP – per ora giorno e locazione dell’utenteNP – per IP del NAS, richiede PEAP-MSCHAPv2 e nessuna valutazione dello stato di salute

Scenario: Vietare l’accesso ad internet ai client senza antivirusCRP – per ora, giorno e locazione dell’utenteNP – per segmento IP del NAS, richiede PEAP-TLS e una policy di NAP che richiede il real time scan dell’AVForzatura – Assegnazione alla VLAN 802.1x, VLAN ristretta senza accesso a Internet

Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DACRP – per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCMForzatura – Accesso pieno via DirectAccess richiede certificati di salute

Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsecCRP – a per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni

Network Access Protection: scenari

Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DACRP – per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCMForzatura – Accesso pieno via DirectAccess richiede certificati di salute

Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsecCRP – a per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni

Valore di NAP per le tecnologie di accesso

Policy di accesso granulari basate su: Identità Conformità Ecc.

Infrastruttura unificata di policy per diverse tecnologie di controllo degli accessi

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.