Windows Server 2008 { Network Access Protection }
description
Transcript of Windows Server 2008 { Network Access Protection }
Windows Server 2008 { Network Access Protection }
Szentgyörgyi [email protected]
Oktató, rendszergazdaNetacademia Oktatóközpont
Miről is lesz szó?
NAP bemutatásaKomponensekFelhasználási területekDEMO:
DHCP kényszerítésVPN kényszerítés
NAP bevezetése
Network Access ProtectionNEM VPN karanténNEM véd a felhasználói támadások ellenNEM ISA ServerNEM feltétlen kell hozzá speciális hardverNEM kell hozzá külön licenc
Garantálja, hogy csak egészséges kliensek tartózkodhatnak a hálózatunkban
Network Access Protection
Egészségi állapot ellenőrzése (Policy Validation)A hálózati elérés korlátozása (Network Restriction)Egészségi állapot helyreállítása (Remediation)Egészségi állapot fenntartása (Ongoing Compliance)
Hozzáférés a hálózathozX
DHCP
Remediation Server
NPS
Szeretnék IP-címet.
Parancsolj!
HealthRegistration
Authority
Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om Kliens ok?
Nem.Frissítésre van szüksége
Nincs eü kiskönyved! Először gyógyulj meg!Kellene
frissítés
Parancsolj!
Yes. Eü kiskönyv kiadása
Parancsolj, az eü kiskönyved
Client
KaranténZóna
HatárZóna
VédettHálózat
KomponensekSystem health agents (SHA) System health validators (SHV) Enforcement Servers
DHCP, VPN, IPSec, 802.1x
NPS ServerRADIUS kiszolgáló
System health servers SCCM,
Remediation ServersWSUS, Antivirus Server
DEMO: NAP komponensek
Felhasználási területek
Kényszerítés Egészséges kliens Beteg kliens
DHCP Teljes IP cím, teljes hozzáférés Korlátozott útvonalak
VPN Teljes hozzáférés Korlátozott VLAN
802.1X Teljes hozzáférés Korlátozott VLAN
IPsecMinden megbízható
állomással kommunikálhat
Egészséges gépek nem állnak vele szóba
TS Gateway Teljes hozzáférés Nincs hozzáférés
IPSec
Beteg kliensek azonnal izolálva lesznek – a tanúsítványukat visszavonja a NAP ügynökHitelesítést ÉS titkosítást is tartalmazBármilyen hardverrel működik Beépített Windows szolgáltatásokat használ kliens és kiszolgáló oldalon is
Csak ADCS alapon, tanúsítványokkal
Könnyen beilleszthető a meglévő környezetünkbeEgyütt használható a többi NAP kényszerítésselA Windows Server 2008-as DHCP kioszt IP címeket a nem NAP-kompatibilis gépeknek isGyors, egyszerű beüzemelés
DHCP
A „beteg” gépek karanténba kerülnekNem kapnak alapértelmezett átjárótA patikákat statikus route-tábla bejegyzések alapján érik el
Gyógyulás után teljes értékű IP-címet kapnak
DHCP
DEMODHCP kényszerítés
NPS beállításokDHCP beállításokCsoportházirendKliens beállítások
DEMO
VPN kényszerítés
TS Gateway + NAP
NAP bevezetése
Kliens oldalon Vista vagy XP SP3Válasszunk NAP kényszerítést Első lépésben csak riportoljunk
Riport eszköz készülHasználjuk a beépített SHV-ketKésőbb kipróbálhatjuk a külső SHV-kat is
http://www.microsoft.com/nap
Step-by-Step Guide: Demonstrate NAP DHCP Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&DisplayLang=enStep-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&DisplayLang=en.Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&DisplayLang=en.
http://www.microsoft.com/hun/technet/
További információk
Köszönöm a figyelmet!
{ Kezdés 11:15-kor }