La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.

Presentazioni simili


Presentazione sul tema: "Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia."— Transcript della presentazione:

1 Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia

2 Agenda

3 Network Access Protection: panoramica Non è una soluzione di sicurezza serve per evitare attacchi blocca utenti malevoli È una tecnologia di policy enforcement un sistema di controllo degli accessi alla rete basato sullo stato dei computer Aiuta a mantenere i computer conformi alle policy Riduce le possibilità di attacco

4 Network Access Protection: panoramica È il motore di policy che consente di fornire accessi sicuri alla rete Usando NAP server (NPS) un amministratore IT può impostare policy di accesso alla rete basate su identità in AD, periodo della giornata, locazione, ecc… Consente decisioni sugli accessi basate sullo stato di Windows Security Center Con NAP è possibile valutare, forzare e rimediare le impostazioni del Security Center per rete, host e accesso da remoto. Consente luso di System Center e Forefront Client Security per definire la conformità e controllare gli accessi Usando le estensioni a NAP fornite da SCCM o FCS, un amministratore IT può forzare la conformità alle policy di patch e di sicurezza con elevati livelli di granularità per rete, host e accesso da remoto. Abilita i report sulla conformità per gli accessi alla rete Con NAP un amministratore IT può valutare il livello di conformità alle policy aziendali senza impattare laccesso o la produttività.

5 Network Access Protection: panoramica Infrastruttura: Windows Server 2008 Windows Server 2008 R2 Client Windows XP SP2 Windows Vista Windows 7

6 Network Access Protection: panoramica Funzioni Verifica delle condizioni Rimedi Autorizzazione e autenticazione di rete Contabilità

7 Rete di confine Rete ristretta Rete sicura Architettura di NAP: introduzione Active Directory NPS Policy Server DHCP HRA Device 802.1x Server dei rimedi Client NAP Internet VPN

8 Architettura di NAP: introduzione NPS Policy Server DHCP HRA Device 802.1x Remediation Server Client NAP VPN Unified Access Gateway PEAP su PPP DHCP HTTPS PEAP su EAPOL Aggiornamenti Query su richieste di sistema Remote Desktop Gateway Messaggi RADIUS RDP su HTTPS

9 Architettura di NAP: componenti client SHA_1 SHA_2 SHA_3 API SHA NAP Agent API NAP EC EC_1 VPN EC_1 VPN EC_2 DHCP EC_2 DHCP EC_3 IPSec EC_3 IPSec NAP srv_A VPN NAP srv_B DHCP NAP srv_C HRA Srv rimedi_A Srv Rimedi_B 1.Enforcement Client 2.System Health Agent 3.NAP Agent 4.API SHA 5.API EC Client NAP

10 Architettura di NAP: componenti client SHA_1 SHA_2 SHA_3 API SHA NAP Agent API NAP EC EC_1 VPN EC_1 VPN EC_2 DHCP EC_2 DHCP EC_3 IPSec EC_3 IPSec NAP srv_A VPN NAP srv_B DHCP NAP srv_C HRA Srv rimedi_A Srv Rimedi_B 1.Enforcement Client Impongono le condizioni di accesso alla rete Hanno dei corrispondenti server NAP 2.System Health Agent Eseguono le verifiche di compatibilità con le health policy Ogni SHA ha una controparte in esecuzione sul server NPS: System Health Validator Possono avere un corrispondente server dei rimedi 3.NAP Agent Mantiene lo stato di salute corrente del computer come lista di Statement of Health (SoH) Abilità il dialogo tra SHA e EC 4.API SHA Forniscono funzioni per: - Registrare nuovi SHA presso NAP Agent - Richiedere e ricevere SoH dagli SHA - Passare SoH Respond (SoHR) agli SHA 5.API EC Forniscono funzioni per: - Registrare nuovi EC presso il NAP Agent - Richiedere SoH al NAP Agent - Passare SoHR al NAP Agent Client NAP

11 Architettura di NAP: componenti server SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS ES_1 VPN ES_1 VPN ES_2 DHCP ES_2 DHCP ES_3 IPSec ES_3 IPSec Policy srv_A Policy srv_B Client NAP NPSNAP Srv 1.Network Policy Server 2.NAP Administration Server 3.System Health Validator 4.API SHV 5.NAP Server Messaggi RADIUS

12 Architettura di NAP: componenti server SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS ES_1 VPN ES_1 VPN ES_2 DHCP ES_2 DHCP ES_3 IPSec ES_3 IPSec Policy srv_A Policy srv_B Client NAP NPSNAP Srv 1.Network Policy Server Riceve i messaggi RADIUS dai server NAP Estrae dai messaggi RADIUS gli SoH e li passa al NAP Administration Server 2.NAP Administration Server Smista gli SoH ricevuti dallNPS e li passa ai corretti SHV Assembla gli SoHR ricevuti dagli SHV e li passa allNPS 3.System Health Validator Uno per ogni tipo di controllo di conformità eseguito sul client Possono avere un corrispondente Policy Server a cui chiedere la conformità alle policy (non è obbligatorio) Verificano gli SoH ricevuti e costruiscono gli SoHR 4.API SHV Forniscono funzioni per: - Registrare nuovi SHAV presso NAP Admin - Passare gli SoH agli SHV - Passare gli SoH Respond (SoHR) al NAP Admin 5.NAP Server Hanno un corrispondente sul client nei NAP EC Determinano laccesso alla rete protetta o di quarantena Possono convivere con il server NPS Messaggi RADIUS

13 Architettura di NAP: visione dinsieme SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS ES_1 ES_2 DHCP ES_2 DHCP ES_3 IPSec ES_3 IPSec Policy srv_A Policy srv_B NPSNAP Srv Messaggi RADIUS SHA_1 SHA_2 SHA_3 API SHA NAP Agent API NAP EC EC_1 EC_2 DHCP EC_2 DHCP EC_3 IPSec EC_3 IPSec Srv rimedi_A Srv Rimedi_B Client NAP Componenti forniti da terze parti

14 Architettura di NAP: comunicazione c/s SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS ES_1 Policy srv_A Policy srv_B NPSNAP Srv Messaggi RADIUS SHA_1 SHA_2 SHA_3 API SHA NAP Agent API NAP EC EC_1 Srv rimedi_A Srv Rimedi_B Client NAP

15 Architettura di NAP: comunicazione c/s SHV_1 SHV_2 SHV_3 API SHV NAP Administration Srv NPS ES_1 Policy srv_A Policy srv_B NPSNAP Srv Messaggi RADIUS SHA_1 SHA_2 SHA_3 API SHA NAP Agent API NAP EC EC_1 Srv rimedi_A Srv Rimedi_B Client NAP

16 Tecnologie integrate con NAP Windows Security Center System Center Configuration Manager Forefront Client Security 3 ze Parti…

17 Policy di Network Access Protection Connection Request Policy (CRP): Proxy Valutate in ordine Usata la prima che corrisponde alle condizioni del client Network Policy (NP): Authorize Valutate in ordine Usata la prima che corrisponde alle condizioni del client Health Policies (HP) Evaluate and Enforce Verificate tutte Applicata solo quella che corrisponde Connection Request Policy Network Policy HealthAuthenticationAuthorization

18 Policy NAP: concetti generali Policy NAP: dalle più specifiche alle più generiche Tutte le Health Policies sono valutate e scritte in log Forzatura degli accessi per rete e host sono basati sulle regole di accesso e indipendenti dalle policy NAP Le impostazioni per la rete delle policy NAP (Quarantena, in salute e differita) impattano il client e non la tecnologia di forzatura

19 Policy NAP: condizioni Connection Request Policy Tipo di NAS Giorno e ora Nome utente NAS/ES Criteri VPN Stato di salute del PC Client Tipo di porta Network Policy Tipo di NAS Giorno e ora Gruppo di sicurezza Scope DHCP Policy di salute Capacità NAP Sistema operativo Metodi di autenticazione NAS/ES Stato di salute del PC Client

20 Policy NAP: impostazioni Connection Request Policy Metodo di autenticazione Proxy di accounting e autenticazione Modifica di attributi Iniezione di attributi Network Policy Risposte: Access Accept/Reject Iniezione di attributi Forzatura NAP Impostazioni RRAS

21 Policy NAP: scenari È il motore di policy che consente di fornire accessi sicuri alla rete Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD Consente decisioni sugli accessi basate sullo stato di Windows Security Center Scenario: Vietare laccesso ad internet ai client senza antivirus Consente luso di System Center e Forefront Client Security per definire la conformità e controllare gli accessi Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA Abilita i report sulla conformità per gli accessi alla rete Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec

22 Policy NAP: scenari Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD CRP – per ora giorno e locazione dellutente NP – per IP del NAS, richiede PEAP-MSCHAPv2 e nessuna valutazione dello stato di salute Scenario: Vietare laccesso ad internet ai client senza antivirus CRP – per ora, giorno e locazione dellutente NP – per segmento IP del NAS, richiede PEAP-TLS e una policy di NAP che richiede il real time scan dellAV Forzatura – Assegnazione alla VLAN 802.1x, VLAN ristretta senza accesso a Internet Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA CRP – per ora, giorno e locazione dellutente NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM Forzatura – Accesso pieno via DirectAccess richiede certificati di salute Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec CRP – a per ora, giorno e locazione dellutente NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni

23 Network Access Protection: scenari Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA CRP – per ora, giorno e locazione dellutente NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM Forzatura – Accesso pieno via DirectAccess richiede certificati di salute Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec CRP – a per ora, giorno e locazione dellutente NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni

24 Valore di NAP per le tecnologie di accesso Policy di accesso granulari basate su: Identità Conformità Ecc. Infrastruttura unificata di policy per diverse tecnologie di controllo degli accessi

25 © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia."

Presentazioni simili


Annunci Google