Использование служб карантина VPN для защиты от неуправляемых
удаленных компьютеров
Фактическое развертывание карантинного контроля VPN обычно включает
шесть этапов, не входящих ни в какой другой процесс запроса управления
изменениями и процессы тестирования, выполняемые перед разработкой,
которые могут существовать в организации. Эти шесть этапов перечислены
ниже.
1. |
Создание ресурсов карантина. |
2. |
Создание сценариев для проверки конфигураций клиентов. |
3. |
Установка компонента прослушивания Rqs.exe на серверах удаленного
доступа. |
4. |
Создание карантинных профилей диспетчера подключений с помощью
пакета администрирования диспетчера подключений Windows Server
2003. |
5. |
Распространение профилей диспетчера подключений на компьютеры
клиентов удаленного доступа. |
6. |
Настройка политики карантина удаленного
доступа. |
1. Создание ресурсов карантина
Если находящиеся на карантине клиенты собираются использовать
внутренние ресурсы, чтобы привести себя в соответствие с установленными
политиками безопасности, потребуется наличие доступных ресурсов, которые
они смогут использовать для установки необходимых обновлений и иного
программного обеспечения, требуемого для обеспечения безопасности. Как уже
было сказано в предыдущем разделе, эти ресурсы обычно включают сервер
имен, файловые серверы, а в некоторых случаях также веб-серверы. Для
назначения этих ресурсов карантина используется два подхода, включающие
назначение существующих серверов, расположенных во внутренней сети, и
помещение необходимых ресурсов в собственную отдельную подсеть.
Первый подход, заключающийся в назначении отдельных серверов, может
сократить затраты, связанные с добавлением таких серверов для доставки
обновлений, поскольку будут использоваться имеющиеся серверы. Однако такой
подход требует создания сложных фильтров пакетов, поскольку каждому
ресурсу потребуется собственный набор фильтров в атрибуте
MS-Quarantine-IPFilter политики удаленного доступа при карантине.
Помещение всех ресурсов карантина в одну подсеть, предназначенную для
служб карантина, может потребовать добавления в сетевую среду большего
количества серверов, но требует наличия только одного фильтра входящих и
исходящих пакетов для всех ресурсов карантина.
2. Создание сценариев проверки
Сценарии карантина выполняют набор тестов, которые проверяют
соответствие удаленных компьютеров политикам безопасности. После
завершения этих тестов сценарию потребуется либо запустить клиентский
компонент RQC.exe (в случае успешного выполнения), либо перенаправить
клиентский компьютер на соответствующие ресурсы для приведения его в
соответствие с установленными политиками. Разумеется, сценарий также может
принудительно установить время ожидания и сообщение об ошибке, если
сетевые политики предписывают использовать подобный подход. Эти сценарии
могут быть простыми пакетными файлами командной строки, или сложными
исполняемыми файлами.
Некоторые примеры сценариев доступны для просмотра и загрузки на
странице образцов сценариев карантина VPN центра загрузки
корпорации Майкрософт
(эта ссылка может указывать на содержимое полностью или частично на
английском языке).
3. Установка RQS.exe на серверах удаленного доступа
Процесс установки службы агента карантина удаленного доступа (Rqs.exe)
на компьютер с Microsoft Windows Server 2003 отличается для серверов с
установленным пакетом обновления 1 (SP1). Для краткости в этом
разделе описывается только установка на Windows Server 2003 с пакетом
обновления 1, поскольку предполагается, что на всех компьютерах
установлены все последние пакеты обновления и обновления безопасности.
Установка Rqs.exe на сервер с Windows Server 2003 с пакетом
обновления 1
1. |
Нажмите кнопку Пуск и выберите пункт Панель
управления. |
2. |
Щелкните значок Установка и удаление программ. |
3. |
Щелкните раздел Установка компонентов Windows. |
4. |
Выберите раздел Компоненты и щелкните пункт Сетевые
службы. |
5. |
Щелкните пункт Состав. |
6. |
Выберите раздел Компоненты сетевых служб, щелкните пункт
Служба карантина удаленного доступа и нажмите кнопку
ОК. |
По окончании этой процедуры служба карантина будет установлена, но не
запущена. Администратору потребуется запустить ее вручную после того, как
решение будет полностью настроено, а система подготовлена для
установки.
Дополнительное действие в процессе установки включает изменение строк
версии сценария таким образом, чтобы они соответствовали строке версии,
настроенной для Rqc.exe в сценарии карантина. Службу Rqs.exe можно
настроить таким образом, чтобы она принимала несколько строк версии
сценария, которые, в свою очередь, записываются в реестр сервера
удаленного доступа в параметре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\AllowedSet,
который расположен там, где необходимо применить эти параметры, с типом
значения — REG_MULTI_SZ. Как правило, параметру
RASQuarantineConfigPassed присваивается значение Allowed
Set, но можно добавить дополнительные строковые значения.
4. Создание профилей диспетчера подключений для карантина
Профиль диспетчера подключений для карантина фактически представляет
собой обычный профиль удаленного доступа диспетчера подключений с
перечисленными ниже дополнениями.
• |
Выполняемое после подключения действие, которое запускает
сценарий, созданный для проверки соответствия сетевой политике и
самого сценария. Это делается на странице «Действия пользователя»
мастера CMAK. |
• |
Также необходимо добавить в профиль компонент уведомления на
странице Дополнительные файлы мастера
CMAK. |
5. Распространение профилей диспетчера подключений
Вновь созданные профили диспетчера подключений необходимо
распространить и установить на все компьютеры клиентов удаленного доступа.
Профиль представляет собой исполняемый файл, который необходимо запустить
на каждом компьютере клиента удаленного доступа, чтобы установить профиль
и настроить карантинное подключение к сети.
Распространение этих профилей можно осуществлять вручную, например, в
виде вложений электронной почты, отправляемых пользователям вместе с
инструкциями. Распространение можно автоматизировать, используя такие
средства, как распространение программного обеспечения SMS 2003. Имеется
ряд методов, которые можно использовать, но наилучший подход для каждой
среды свой.
6. Настройка политики удаленного доступа при карантине
Процедуры настройки политики удаленного доступа при карантине
различаются в зависимости от того, настроены они или нет на использование
сервера проверки подлинности в Интернете или другого поставщика услуг
проверки подлинности.
• |
Если политика настроена на использование сервера RADIUS проверки
подлинности в Интернете, следует использовать оснастку «Служба
проверки подлинности в Интернете». |
• |
Если политика настроена на использование поставщика проверки
подлинности Windows, следует использовать оснастку «Маршрутизация и
удаленный доступ». |
При создании политики необходимо сначала создать политику удаленного
доступа в нормальном режиме. Затем на вкладке Дополнительно свойств
профиля политики удаленного доступа необходимо добавить атрибуты
MS-Quarantine-Session-Timeout и MS-Quarantine-IPFilter.
При использовании RADIUS политику удаленного доступа при карантине
необходимо будет реплицировать на другие серверы RADIUS путем копирования
конфигурации или создания политики на каждом сервере вручную.
Использование проверки подлинности 802.1X для защиты от неуправляемых
клиентов беспроводных сетей
Как уже было сказано в предыдущих разделах, имеются следующие
рекомендуемые корпорацией Майкрософт параметры для защиты беспроводной
сети компании среднего размера, перечисленные в порядке убывания
безопасности:
• |
WPA2/AES и EAP-TLS; |
• |
WPA2/AES и PEAP-MS-CHAP v2; |
• |
WPA/TKIP и EAP-TLS; |
• |
WPA/TKIP и PEAP-MS-CHAP v2. |
Хотя EAP-TLS и PEAP-MS-CHAP v2 позволяют сделать стандарт WEP более
безопасным, использование WEP в рамках любого решения рекомендуется только
в процессе перехода на более безопасные стандарты WPA или WPA2.
Процессы внедрения EAP-TLS и PEAP-MS-CHAP v2 имеют много общего. Оба
процесса требуют использования серверов RADIUS службы проверки подлинности
в Интернете корпорации Майкрософт в качестве части решения, и оба они
требуют использования сертификатов в некотором виде, но EAP-TLS требует
наличия сертификатов как на компьютере клиента, так и на сервере, в то
время как PEAP-MS-CHAP v2 требует наличия сертификатов только на серверах
проверки подлинности. Поэтому при реализации EAP-TLS настоятельно
рекомендуется создание инфраструктуры сертификатов, поскольку стоимость
приобретения сертификатов у сторонних поставщиков для всех клиентов может
быть слишком высока.
Проверка подлинности в беспроводной сети с использованием EAP-TLS и
PEAP-MS-CHAP v2
Процессы внедрения EAP-TLS и PEAP-MS-CHAP v2 включают ряд деталей,
выходящих за рамки данного документа. Однако имеется несколько
превосходных ресурсов, помогающих при разработке и реализации решений для
защиты беспроводных сетей. Некоторые из них перечислены ниже.
Использование SMS-сервера для обнаружения и устранения уязвимостей
неуправляемых компьютеров
Как уже было сказано в разделе «Разработка», процесс обнаружения
SMS-сервера весьма полезен для поиска новых компьютеров, подключившихся к
сети, если они могут находиться под управлением SMS-сервера. Также был
упомянут тот факт, что SMS-сервер испытывает трудности с обнаружением
некоторых неуправляемых компьютеров в процессе поиска и что для заполнения
этого пробела необходимо использовать другой механизм.
Можно назвать несколько причин, по которым SMS-сервер может не
обнаруживать компьютеры, подключенные к сети. Эти причины перечислены
ниже.
• |
Компьютер подключен к сети, но не работает во время обнаружения и
не имеет учетной записи компьютера в домене. |
• |
Компьютер подключен к подсети, в которой используется брандмауэр
или иное сетевое устройство, препятствующее взаимодействию между
сервером SMS и этой подсетью. |
• |
Компьютер подключен к доступной подсети, но использует
операционную систему, которую SMS не может
обнаружить. |
Чтобы решить эти проблемы необходимо специальное решение, сочетающее
полезность SMS со сценариями, которые преобразуют исключения к виду,
доступному для SMS. Настраиваемые сценарии можно использовать для проверки
сети через постоянные промежутки времени, используя процесс планировщика,
что позволяет обнаруживать устройства, появляющиеся лишь в течение
коротких периодов времени. Подобные сценарии также можно запускать с
рабочих станций или серверов, расположенных за пределами изолированных
подсетей, что позволяет обнаруживать неуправляемые компьютеры,
подключающиеся к этим ненаблюдаемым сегментам сети. Эти сценарии не
используют процессы обнаружения на основе инструментария управления
Windows (WMI) и поэтому не зависят от того, какие операционные системы
используются на неуправляемых клиентах.
Дополнительные сведения об использовании SMS-сервера для обнаружения
устройств в сети см. в документе «Управление
исправлениями с помощью сервера Systems Management Server 2003» (эта ссылка может указывать на содержимое полностью или частично на
английском языке) или на домашней станице Microsoft Systems Management Server (эта ссылка может указывать на
содержимое полностью или частично на английском языке), где имеются
дополнительные ссылки, включая ссылки на ресурсы по созданию сценариев
SMS.
Аннотация
Этот документ показывает возможность использования комплексного подхода
к решению проблем, связанных с неуправляемыми компьютерами. Изоляция сети
на основе IPsec использовалась для предотвращения получения неуправляемыми
компьютерами доступа к надежным сетевым ресурсам и принудительного
установления соответствия заданным политикам путем отказа в обслуживании
не соответствующим требованиям политик компьютерам. Службы карантина VPN
можно использовать для принудительного приведения в соответствие с
требованиями политик мобильных компьютеров, использующих решения на основе
удаленного доступа, но редко подключающихся к локальной сети. Для защиты
от незаконно подключаемых устройств в беспроводных сетях можно
использовать стандарты IEEE 802.1X, WPA и WPA2. Наконец, SMS-сервер и
сценарии обнаружения можно использовать для содействия обнаружению
неуправляемых компьютеров, а также для поддержания управляемых компьютеров
в актуальном состоянии со всеми установленными исправлениями и
обновлениями безопасности.
Хотя эти технические решения и позволяют решить множество проблем,
связанных с неуправляемыми и незаконно подключаемыми устройствами, эти
решения станут еще лучше при создании четких политик безопасности и
установлении строгих процедур управления изменениями. Результатом
сочетания всех предложенных решений, политик и процессов является
управляемая инфраструктура компании среднего размера, позволяющая снизить
административные затраты и сократить уровень риска для безопасности до
приемлемого уровня.
Приложение A: Защита доступа к сети.
Защита доступа к сети (NAP) — новая функция, входящая в следующее
поколение ОС Windows (Microsoft Windows Server Longhorn и Windows Vista™).
Она предоставляет возможность принудительного приведения в соответствие с
политиками состояния компьютеров. Используя NAP, администраторы могут
устанавливать пороговые значения проверки состояния компьютеров через
API-интерфейс, ограничивающие доступ к сети для тех компьютеров, которые
не соответствуют требованиям в момент подключения к сети.
Гибкость NAP позволяет администраторам настраивать собственные решения
согласно требованиям своей среды, просто записывая в журнал состояние
компьютеров, подключающихся к сети, автоматически устанавливая обновления
программного обеспечения или ограничивая возможность подключения
компьютеров, не соответствующих требованиям. Кроме того, NAP обладает
достаточной гибкостью для интеграции с приложениями сторонних
производителей и индивидуальными программными решениями, обеспечивая таким
образом комплексность реализации политик поддержания работоспособности
компьютеров. Технология NAP также является комплексной; входящие в нее
компоненты принудительного использования позволят администраторам
принудительно устанавливать соответствие с политиками работоспособности
через DHCP, VPN и беспроводные сети стандарта 802.1X. Кроме того, эта
технология также совместима с IPsec.
Дополнительные сведения о NAP см. на домашней странице Network
Access Protection (эта ссылка
может указывать на содержимое полностью или частично на английском
языке).