La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.

Presentazioni simili


Presentazione sul tema: "Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia."— Transcript della presentazione:

1 Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2
PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia

2 Agenda Network Access Protection: panoramica Architettura di NAP
Policy di Network Access Protection © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

3 Network Access Protection: panoramica
Non è una soluzione di sicurezza serve per evitare attacchi blocca utenti malevoli È una tecnologia di policy enforcement un sistema di controllo degli accessi alla rete basato sullo stato dei computer Aiuta a mantenere i computer conformi alle policy Riduce le possibilità di attacco

4 Network Access Protection: panoramica
È il motore di policy che consente di fornire accessi sicuri alla rete Usando NAP server (NPS) un amministratore IT può impostare policy di accesso alla rete basate su identità in AD, periodo della giornata, locazione, ecc… Consente decisioni sugli accessi basate sullo stato di Windows Security Center Con NAP è possibile valutare, forzare e rimediare le impostazioni del Security Center per rete, host e accesso da remoto. Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessi Usando le estensioni a NAP fornite da SCCM o FCS, un amministratore IT può forzare la conformità alle policy di patch e di sicurezza con elevati livelli di granularità per rete, host e accesso da remoto. Abilita i report sulla conformità per gli accessi alla rete Con NAP un amministratore IT può valutare il livello di conformità alle policy aziendali senza impattare l’accesso o la produttività.

5 Network Access Protection: panoramica
Infrastruttura: Windows Server 2008 Windows Server 2008 R2 Client Windows XP SP2 Windows Vista Windows 7

6 Network Access Protection: panoramica
Funzioni Verifica delle condizioni Rimedi Autorizzazione e autenticazione di rete Contabilità

7 Architettura di NAP: introduzione
Rete sicura Internet VPN Active Directory Policy Server NPS Device x Rete di confine DHCP HRA Rete ristretta Server dei rimedi Client NAP

8 Architettura di NAP: introduzione
Remote Desktop Gateway RDP su HTTPS Messaggi RADIUS Remediation Server Policy Server VPN Unified Access Gateway PEAP su PPP Query su richieste di sistema Aggiornamenti DHCP DHCP NPS Client NAP PEAP su EAPOL HTTPS HRA Device x

9 Architettura di NAP: componenti client
Srv rimedi_A Srv Rimedi_B Enforcement Client System Health Agent NAP Agent API SHA API EC SHA_1 SHA_2 SHA_3 API SHA NAP Agent Client NAP API NAP EC EC_1 VPN EC_2 DHCP EC_3 IPSec NAP srv_A VPN NAP srv_B DHCP NAP srv_C HRA

10 Architettura di NAP: componenti client
Srv rimedi_A Srv Rimedi_B Enforcement Client Impongono le condizioni di accesso alla rete Hanno dei corrispondenti server NAP System Health Agent Eseguono le verifiche di compatibilità con le health policy Ogni SHA ha una controparte in esecuzione sul server NPS: System Health Validator Possono avere un corrispondente server dei rimedi NAP Agent Mantiene lo stato di salute corrente del computer come lista di Statement of Health (SoH) Abilità il dialogo tra SHA e EC API SHA Forniscono funzioni per: - Registrare nuovi SHA presso NAP Agent - Richiedere e ricevere SoH dagli SHA - Passare SoH Respond (SoHR) agli SHA API EC Forniscono funzioni per: - Registrare nuovi EC presso il NAP Agent - Richiedere SoH al NAP Agent - Passare SoHR al NAP Agent SHA_1 SHA_2 SHA_3 API SHA NAP Agent Client NAP API NAP EC EC_1 VPN EC_2 DHCP EC_3 IPSec NAP srv_A VPN NAP srv_B DHCP NAP srv_C HRA

11 Architettura di NAP: componenti server
Policy srv_A Policy srv_B Network Policy Server NAP Administration Server System Health Validator API SHV NAP Server SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS NPS Messaggi RADIUS NAP Srv ES_1 VPN ES_2 DHCP ES_3 IPSec Client NAP

12 Architettura di NAP: componenti server
Policy srv_A Policy srv_B Network Policy Server Riceve i messaggi RADIUS dai server NAP Estrae dai messaggi RADIUS gli SoH e li passa al NAP Administration Server NAP Administration Server Smista gli SoH ricevuti dall’NPS e li passa ai corretti SHV Assembla gli SoHR ricevuti dagli SHV e li passa all’NPS System Health Validator Uno per ogni tipo di controllo di conformità eseguito sul client Possono avere un corrispondente Policy Server a cui chiedere la conformità alle policy (non è obbligatorio) Verificano gli SoH ricevuti e costruiscono gli SoHR API SHV Forniscono funzioni per: - Registrare nuovi SHAV presso NAP Admin - Passare gli SoH agli SHV - Passare gli SoH Respond (SoHR) al NAP Admin NAP Server Hanno un corrispondente sul client nei NAP EC Determinano l’accesso alla rete protetta o di quarantena Possono convivere con il server NPS SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS NPS Messaggi RADIUS NAP Srv ES_1 VPN ES_2 DHCP ES_3 IPSec Client NAP

13 Architettura di NAP: visione d’insieme
Srv rimedi_A Srv Rimedi_B Policy srv_A Policy srv_B Componenti forniti da terze parti SHA_1 SHA_2 SHA_3 SHV_1 SHV_2 SHV_3 API SHA API SHV NAP Agent NAP Administration Srv NPS Client NAP API NAP EC NPS EC_1 EC_2 DHCP EC_3 IPSec Messaggi RADIUS NAP Srv ES_1 ES_2 DHCP ES_3 IPSec

14 Architettura di NAP: comunicazione c/s
Srv rimedi_A Srv Rimedi_B Policy srv_A Policy srv_B SHA_1 SHA_2 SHA_3 SHV_1 SHV_2 SHV_3 API SHA API SHV NAP Agent NAP Administration Srv NPS Client NAP API NAP EC NPS EC_1 Messaggi RADIUS NAP Srv ES_1

15 Architettura di NAP: comunicazione c/s
Srv rimedi_A Srv Rimedi_B Policy srv_A Policy srv_B SHA_1 SHA_2 SHA_3 SHV_1 SHV_2 SHV_3 API SHA API SHV NAP Agent NAP Administration Srv NPS Client NAP API NAP EC NPS EC_1 Messaggi RADIUS NAP Srv ES_1

16 Tecnologie integrate con NAP
Windows Security Center System Center Configuration Manager Forefront Client Security 3ze Parti…

17 Policy di Network Access Protection
Connection Request Policy (CRP): “Proxy” Valutate in ordine Usata la prima che corrisponde alle condizioni del client Network Policy (NP): “Authorize” Health Policies (HP) “Evaluate and Enforce” Verificate tutte Applicata solo quella che corrisponde Connection Request Policy Network Policy Health Authentication Authorization

18 Policy NAP: concetti generali
Policy NAP: dalle più specifiche alle più generiche Tutte le Health Policies sono valutate e scritte in log Forzatura degli accessi per rete e host sono basati sulle regole di accesso e indipendenti dalle policy NAP Le impostazioni per la rete delle policy NAP (Quarantena, “in salute” e differita) impattano il client e non la tecnologia di forzatura

19 Policy NAP: condizioni
Connection Request Policy Tipo di NAS Giorno e ora Nome utente NAS/ES Criteri VPN Stato di salute del PC Client Tipo di porta Network Policy Tipo di NAS Giorno e ora Gruppo di sicurezza Scope DHCP Policy di salute Capacità NAP Sistema operativo Metodi di autenticazione NAS/ES Stato di salute del PC Client

20 Policy NAP: impostazioni
Connection Request Policy Metodo di autenticazione Proxy di accounting e autenticazione Modifica di attributi Iniezione di attributi Network Policy Risposte: Access Accept/Reject Iniezione di attributi Forzatura NAP Impostazioni RRAS

21 Policy NAP: scenari È il motore di policy che consente di fornire accessi sicuri alla rete Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD Consente decisioni sugli accessi basate sullo stato di Windows Security Center Scenario: Vietare l’accesso ad internet ai client senza antivirus Consente l’uso di System Center e Forefront Client Security per definire la conformità e controllare gli accessi Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA Abilita i report sulla conformità per gli accessi alla rete Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec

22 Policy NAP: scenari Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD CRP – per ora giorno e locazione dell’utente NP – per IP del NAS, richiede PEAP-MSCHAPv2 e nessuna valutazione dello stato di salute Scenario: Vietare l’accesso ad internet ai client senza antivirus CRP – per ora, giorno e locazione dell’utente NP – per segmento IP del NAS, richiede PEAP-TLS e una policy di NAP che richiede il real time scan dell’AV Forzatura – Assegnazione alla VLAN 802.1x, VLAN ristretta senza accesso a Internet Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA CRP – per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM Forzatura – Accesso pieno via DirectAccess richiede certificati di salute Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec CRP – a per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni

23 Network Access Protection: scenari
Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA CRP – per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM Forzatura – Accesso pieno via DirectAccess richiede certificati di salute Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec CRP – a per ora, giorno e locazione dell’utente NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni

24 Valore di NAP per le tecnologie di accesso
Policy di accesso granulari basate su: Identità Conformità Ecc. Infrastruttura unificata di policy per diverse tecnologie di controllo degli accessi

25 3/29/2017 4:45 AM © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia."

Presentazioni simili


Annunci Google