Windows Server 2008 { Network Access Protection }

Szentgyörgyi TiborTibor@halasztelek.hu

Oktató, rendszergazdaNetacademia Oktatóközpont

Miről is lesz szó?

NAP bemutatásaKomponensekFelhasználási területekDEMO:

DHCP kényszerítésVPN kényszerítés

NAP bevezetése

Network Access ProtectionNEM VPN karanténNEM véd a felhasználói támadások ellenNEM ISA ServerNEM feltétlen kell hozzá speciális hardverNEM kell hozzá külön licenc

Garantálja, hogy csak egészséges kliensek tartózkodhatnak a hálózatunkban

Network Access Protection

Egészségi állapot ellenőrzése (Policy Validation)A hálózati elérés korlátozása (Network Restriction)Egészségi állapot helyreállítása (Remediation)Egészségi állapot fenntartása (Ongoing Compliance)

Hozzáférés a hálózathozX

DHCP

Remediation Server

NPS

Szeretnék IP-címet.

Parancsolj!

HealthRegistration

Authority

Kaphatnék eü kiskönyvet? Nézd: egészséges vagyok, itt a SoH-om Kliens ok?

Nem.Frissítésre van szüksége

Nincs eü kiskönyved! Először gyógyulj meg!Kellene

frissítés

Parancsolj!

Yes. Eü kiskönyv kiadása

Parancsolj, az eü kiskönyved

Client

KaranténZóna

HatárZóna

VédettHálózat

KomponensekSystem health agents (SHA) System health validators (SHV) Enforcement Servers

DHCP, VPN, IPSec, 802.1x

NPS ServerRADIUS kiszolgáló

System health servers SCCM,

Remediation ServersWSUS, Antivirus Server

DEMO: NAP komponensek

Felhasználási területek

Kényszerítés Egészséges kliens Beteg kliens

DHCP Teljes IP cím, teljes hozzáférés Korlátozott útvonalak

VPN Teljes hozzáférés Korlátozott VLAN

802.1X Teljes hozzáférés Korlátozott VLAN

IPsecMinden megbízható

állomással kommunikálhat

Egészséges gépek nem állnak vele szóba

TS Gateway Teljes hozzáférés Nincs hozzáférés

IPSec

Beteg kliensek azonnal izolálva lesznek – a tanúsítványukat visszavonja a NAP ügynökHitelesítést ÉS titkosítást is tartalmazBármilyen hardverrel működik Beépített Windows szolgáltatásokat használ kliens és kiszolgáló oldalon is

Csak ADCS alapon, tanúsítványokkal

Könnyen beilleszthető a meglévő környezetünkbeEgyütt használható a többi NAP kényszerítésselA Windows Server 2008-as DHCP kioszt IP címeket a nem NAP-kompatibilis gépeknek isGyors, egyszerű beüzemelés

DHCP

A „beteg” gépek karanténba kerülnekNem kapnak alapértelmezett átjárótA patikákat statikus route-tábla bejegyzések alapján érik el

Gyógyulás után teljes értékű IP-címet kapnak

DHCP

DEMODHCP kényszerítés

NPS beállításokDHCP beállításokCsoportházirendKliens beállítások

DEMO

VPN kényszerítés

TS Gateway + NAP

NAP bevezetése

Kliens oldalon Vista vagy XP SP3Válasszunk NAP kényszerítést Első lépésben csak riportoljunk

Riport eszköz készülHasználjuk a beépített SHV-ketKésőbb kipróbálhatjuk a külső SHV-kat is

http://www.microsoft.com/nap

Step-by-Step Guide: Demonstrate NAP DHCP Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&DisplayLang=enStep-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&DisplayLang=en.Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab http://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&DisplayLang=en.

http://www.microsoft.com/hun/technet/

További információk

Köszönöm a figyelmet!

{ Kezdés 11:15-kor }