Giới thiệu về Network Access Protection (Phần 1)

Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời.
Nội dung trích xuất từ tài liệu:
Giới thiệu về Network Access Protection (Phần 1)Giới thiệu về Network Access Protection (Phần 1)Nguồn:quantrimang.comMột khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó làviệc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạngcủa một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì đểngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đãbị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời.Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truycập mạng trong Longhorn Server và cách thức mà nó làm việc.Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là cóquá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh củatổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ cácvị trí khác nhau bên ngoài văn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôiđã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôivẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng.Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từxa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụngmáy tính bị nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hànhphiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngạiđối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hạiđến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tindo máy tính của họ bị nhiễm Trojan.Vài năm trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hànhWindows Server 2003 R2, trong đó có một tính năng mới là Network AccessProtection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năngbảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2.Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sauthời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng bảo mậtchính trong Longhorn Server. Mặc dù phiên bản Network Access Protection củaLonghorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viếtnày chủ yếu cung cấp cho các bạn một chút giới thiệu về Network AccessProtection và cách làm việc của nó trước khi Longhorn Server được phát hành.Trước khi bắt đầuTrước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tínhnăng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảmmáy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chứcbạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu mộtngười xâm phạm có một máy tính đáp ứng được các chính sách bảo mật củacông ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truycập của người này. Việc ngăn chặn truy nhập của người này là công việc củacác kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn ngườidùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm.Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tínhnăng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng)có trong Windows Server 2003. Chức năng có trong Windows Server 2003 nàycung cấp kiểm soát chính sách bảo vệ giới hạn cho các máy tính từ xa nhưnghoàn toàn thua kém so với NAP.Nền tảng cơ bản về NAPNAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầukhi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịchvụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ cóchính sách mạng sẽ kiểm tra tính hợp lệ về “sức khỏe” hay độ an toàn của hệthống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tínhtừ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậynhững gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiếtlập.Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặccách ly. Nếu một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào vớimột thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyênmạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sáchbảo mật của công ty hay không.Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việctạo chuyển tiếp đối với môi trường NAP. Nếu bạn có một số người dùng từ xacần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thểkhông muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đóthì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đóbạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này chophép đánh giá được ảnh hưởng của các chính sách truy cập mạng mà khôngphải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã đượckiểm tra tốt thì bạn có ...