Date post: | 02-May-2015 |
Category: |
Documents |
Upload: | armo-di-stefano |
View: | 217 times |
Download: | 2 times |
Network Access Protection (NAP): la soluzione di policy enforcement in
Windows Server 2008 R2
PierGiorgio MalusardiIT Pro EvangelistMicrosoft Italiahttp://blogs.technet.com/pgmalusardi
Agenda
Network Access Protection: panoramica Architettura di NAP Policy di Network Access Protection
Network Access Protection: panoramica
Non è una soluzione di sicurezza serve per evitare attacchi blocca utenti malevoli
È una tecnologia di policy enforcement un sistema di controllo degli accessi alla rete basato
sullo stato dei computer
Aiuta a mantenere i computer conformi alle policy
Riduce le possibilità di attacco
Network Access Protection: panoramica
È il motore di policy che consente di fornire accessi sicuri alla reteUsando NAP server (NPS) un amministratore IT può impostare policy di accesso alla rete basate su identità in AD, periodo della giornata, locazione, ecc…
Consente decisioni sugli accessi basate sullo stato di Windows Security CenterCon NAP è possibile valutare, forzare e rimediare le impostazioni del Security Center per rete, host e accesso da remoto.
Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessiUsando le estensioni a NAP fornite da SCCM o FCS, un amministratore IT può forzare la conformità alle policy di patch e di sicurezza con elevati livelli di granularità per rete, host e accesso da remoto.
Abilita i report sulla conformità per gli accessi alla reteCon NAP un amministratore IT può valutare il livello di conformità alle policy aziendali senza impattare l’accesso o la produttività.
Network Access Protection: panoramica
Infrastruttura: Windows Server 2008 Windows Server 2008 R2
Client Windows XP SP2 Windows Vista Windows 7
Network Access Protection: panoramica
Funzioni Verifica delle condizioni Rimedi Autorizzazione e autenticazione di rete Contabilità
Rete di confine
Rete ristretta
Rete sicura
Architettura di NAP: introduzione
Active Directory
NPS
Policy Server
DHCP HRA Device 802.1x
Server dei rimedi
Client NAP
Internet
VPN
Architettura di NAP: introduzione
NPS
Policy Server
DHCP
HRA
Device 802.1x
RemediationServer
Client NAP
VPNUnified Access Gateway
PEAP su PPP
DHCP
HTTPS
PEAP su EAPOL
AggiornamentiQuery surichiestedi sistema
Remote Desktop Gateway
Messaggi RADIUS
RDP su H
TTPS
Architettura di NAP: componenti client
SHA_1 SHA_2 SHA_3
API SHA
NAP Agent
API NAP EC
EC_1VPN
EC_2DHCP
EC_3IPSec
NAP srv_AVPN
NAP srv_BDHCP
NAP srv_CHRA
Srvrimedi_A
SrvRimedi_B 1. Enforcement Client
2. System Health Agent
3. NAP Agent
4. API SHA
5. API EC
Client NAP
Architettura di NAP: componenti server
SHV_1 SHV_2 SHV_3
API SHV
NAP Administration Srv
NPS
ES_1VPN
ES_2DHCP
ES_3IPSec
Policysrv_A
Policysrv_B
Client NAP
NPS
NAP Srv
1. Network Policy Server
2. NAP Administration Server
3. System Health Validator
4. API SHV
5. NAP ServerMessaggi RADIUS
Architettura di NAP: visione d’insieme
SHV_1 SHV_2 SHV_3
API SHV
NAP Administration Srv
NPS
ES_1 ES_2DHCP
ES_3IPSec
Policysrv_A
Policysrv_B
NPS
NAP Srv
Messaggi RADIUS
SHA_1 SHA_2 SHA_3
API SHA
NAP Agent
API NAP EC
EC_1 EC_2DHCP
EC_3IPSec
Srvrimedi_A
SrvRimedi_B
Client NAP
Componentiforniti da
terze parti
Architettura di NAP: comunicazione c/s
SHV_1 SHV_2 SHV_3
API SHV
NAP Administration Srv
NPS
ES_1
Policysrv_A
Policysrv_B
NPS
NAP Srv
Messaggi RADIUS
SHA_1 SHA_2 SHA_3
API SHA
NAP Agent
API NAP EC
EC_1
Srvrimedi_A
SrvRimedi_B
Client NAP
Architettura di NAP: comunicazione c/s
SHV_1 SHV_2 SHV_3
API SHV
NAP Administration Srv
NPS
ES_1
Policysrv_A
Policysrv_B
NPS
NAP Srv
Messaggi RADIUS
SHA_1 SHA_2 SHA_3
API SHA
NAP Agent
API NAP EC
EC_1
Srvrimedi_A
SrvRimedi_B
Client NAP
Tecnologie integrate con NAP
Windows Security Center System Center Configuration Manager Forefront Client Security 3ze Parti…
Policy di Network Access Protection
Connection Request Policy (CRP): “Proxy” Valutate in ordine Usata la prima che corrisponde alle condizioni
del client Network Policy (NP): “Authorize”
Valutate in ordine Usata la prima che corrisponde alle condizioni
del client Health Policies (HP) “Evaluate and Enforce”
Verificate tutte Applicata solo quella che corrisponde
Connection Request Policy
Health Authentication
Authorization
Policy NAP: concetti generali
Policy NAP: dalle più specifiche alle più generiche Tutte le Health Policies sono valutate e scritte in
log Forzatura degli accessi per rete e host sono
basati sulle regole di accesso e indipendenti dalle policy NAP
Le impostazioni per la rete delle policy NAP (Quarantena, “in salute” e differita) impattano il client e non la tecnologia di forzatura
Policy NAP: condizioni
Connection Request Policy
Tipo di NAS Giorno e ora Nome utente NAS/ES Criteri VPN Stato di salute del PC Client Tipo di porta
Network Policy
Tipo di NAS Giorno e ora Gruppo di sicurezza Scope DHCP Policy di salute Capacità NAP Sistema operativo Metodi di autenticazione NAS/ES Stato di salute del PC Client
Policy NAP: impostazioni
Connection Request Policy
Metodo di autenticazione Proxy di accounting e
autenticazione Modifica di attributi Iniezione di attributi
Network Policy
Risposte: Access Accept/Reject Iniezione di attributi Forzatura NAP Impostazioni RRAS
Policy NAP: scenari
È il motore di policy che consente di fornire accessi sicuri alla reteScenario: Accesso wireless sicuro con autenticazione degli utenti su AD
Consente decisioni sugli accessi basate sullo stato di Windows Security CenterScenario: Vietare l’accesso ad internet ai client senza antivirus
Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessiScenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA
Abilita i report sulla conformità per gli accessi alla reteScenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec
Policy NAP: scenari
Scenario: Accesso wireless sicuro con autenticazione degli utenti su ADCRP – per ora giorno e locazione dell’utenteNP – per IP del NAS, richiede PEAP-MSCHAPv2 e nessuna valutazione dello stato di salute
Scenario: Vietare l’accesso ad internet ai client senza antivirusCRP – per ora, giorno e locazione dell’utenteNP – per segmento IP del NAS, richiede PEAP-TLS e una policy di NAP che richiede il real time scan dell’AVForzatura – Assegnazione alla VLAN 802.1x, VLAN ristretta senza accesso a Internet
Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DACRP – per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCMForzatura – Accesso pieno via DirectAccess richiede certificati di salute
Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsecCRP – a per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni
Network Access Protection: scenari
Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DACRP – per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCMForzatura – Accesso pieno via DirectAccess richiede certificati di salute
Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsecCRP – a per ora, giorno e locazione dell’utenteNP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni
Valore di NAP per le tecnologie di accesso
Policy di accesso granulari basate su: Identità Conformità Ecc.
Infrastruttura unificata di policy per diverse tecnologie di controllo degli accessi
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.