Giới thiệu về Network Access Protection

Tham khảo tài liệu giới thiệu về network access protection, công nghệ thông tin, quản trị mạng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Giới thiệu về Network Access ProtectionSimpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 1) Nguồn:quantrimang.com Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truy cập mạng trong Longhorn Server và cách thức mà nó làm việc. Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là có quá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh của tổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ các vị trí khác nhau bên ngoài văn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôi đã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôi vẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng. Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từ xa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụng máy tính bị nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hành phiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngại đối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hại đến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tin do máy tính của họ bị nhiễm Trojan. Vài năm trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hành Windows Server 2003 R2, trong đó có một tính năng mới là Network Access Protection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năng bảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2. Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sau thời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng bảo mật chính trong Longhorn Server. Mặc dù phiên bản Network Access Protection của Longhorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server 2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viết này chủ yếu cung cấp cho các bạn một chút giới thiệu về Network Access Protection và cách làm việc của nó trước khi Longhorn Server được phát hành. Trước khi bắt đầu Trước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tínhSimpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com năng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảm máy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chức bạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu một người xâm phạm có một máy tính đáp ứng được các chính sách bảo mật của công ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truy cập của người này. Việc ngăn chặn truy nhập của người này là công việc của các kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn người dùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm. Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tính năng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng) có trong Windows Server 2003. Chức năng có trong Windows Server 2003 này cung cấp kiểm soát chính sách bảo vệ giới hạn cho các máy tính từ xa nhưng hoàn toàn thua kém so với NAP. Nền tảng cơ bản về NAP NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầu khi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịch vụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ có chính sách mạng sẽ kiểm tra tính hợp lệ về “sức khỏe” hay độ an toàn của hệ thống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tính từ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậy những gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiết lập. Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặc cách ly. Nếu một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào với một thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyên mạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sách bảo mật của công ty hay không. Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việc tạo chuyển tiếp đối với môi trường NAP. Nếu bạn có một số người dùng từ xa cần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thể không muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đó thì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đó bạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này cho phép đánh giá được ảnh hưởng của các chính sách truy cập mạng mà không phải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã được kiểm tra tốt thì bạn có thể chuyển chính sách sang chế độ cách ly. Như đã dự tính, chế độ cách ly làm việc bằng cách định vị các máy tính từ xaSimpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com không tuân thủ đúng chính sách bảo mật của công ty và sẽ bị cách biệt với tài nguyên của mạng. Nhưng cuối cùng thì quản trị viên cũng phải điều khiển những gì mà máy tính không tuân thủ này có thể truy cập. Thông thường, một quản trị viên sẽ trao cho các máy tính nào quyền vào một đoạn mạng đã được cách ly (vấn đề này sẽ đươc nói sau) và hạn chế việc truy cập tới những tài nguyên quan trọng nào đó hay ngăn chặn việc truy cập đ ...