*
Microsoft Windows Server 2008 R2

Vynútenie zabezpečenia a zásad

Ochrana siete je jedným z najväčších problémov v dnešnom svete IT. Správcovia sietí musia vytvoriť a vynucovať zásady zabezpečenia, ktoré budú zaisťovať dostatočnú ochranu a zároveň budú dostatočne flexibilné, aby bolo možné zaistiť plnenie požiadaviek na pripojenie stále rastúceho počtu interných a externých používateľov, typov zariadení, systémových konfigurácií a typov sieťového pripojenia. Okrem množstva rôznych vylepšení služby Active Directory, ktoré výrazne zefektívňujú správu identít a prístupu, zahŕňa Windows Server 2008 množstvo ďalších vylepšení zásad a zabezpečenia.

Sieťové zásady a prístup

Služba Sieťové zásady a prístup v systéme Windows Server 2008 poskytuje celý rad metód, ktoré majú používateľom pomôcť zaistiť zabezpečené miestne a vzdialené pripojenie k sieti, prepojiť sieťové segmenty a umožniť správcom siete centrálne spravovať zásady stavu klientov a prístup k sieti. Pomocou služieb prístupu k sieti je možné bezpečnejšie nasadzovať servery VPN (virtual private network), servery pre telefonické pripojenie, smerovače a bezdrôtový prístup chránený pomocou štandardu 802.1X. Je taktiež možné nasadiť servery RADIUS a proxy servery a pomocou balíka CMAK (Connection Manager Administration Kit) vytvárať profily vzdialeného prístupu umožňujúce klientskym počítačom bezpečne sa pripájať k sieti.

Služba Sieťové zásady a prístup v systéme Windows Server 2008 zaisťuje nasledujúce riešenia pripojenia k sieti:

  • Architektúra NAP (Network Access Protection). Network Access Protection (NAP) je nová technológia pre vytváranie a vynucovanie zásad stavu klientov a pre nápravu. Táto technológia je súčasťou operačného systému Windows Vista Business, Windows Vista Enterprise a Windows Vista Ultimate a taktiež operačného systému Windows Server 2008. Vďaka architektúre NAP môžu správcovia vytvárať a automaticky vynucovať zásady stavu, ktoré môžu zahŕňať požiadavky na softvér, požiadavky na aktualizáciu zabezpečenia, požadované konfigurácie počítača a ďalšie nastavenia. Ďalšie informácie o architektúre NAP sú uvedené ďalej v texte.
  • Vysoko zabezpečený káblový a bezdrôtový prístup. V prípade nasadenia bezdrôtových prístupových bodov 802.1X ponúka vysoko zabezpečený bezdrôtový prístup používateľom možnosť jednoducho nasaditeľnej metódy overovania s vysokou úrovňou zabezpečenia a s využitím hesiel. V prípade nasadenia overovacích prepínačov 802.1X je možné aj pri klasickom káblovom pripojení lepšie zabezpečiť sieť tak, že používatelia intranetu musia byť najprv overení a až potom sa môžu pripojiť k sieti alebo získať adresu IP zo servera DHCP (Dynamic Host Configuration Protocol).
  • Riešenia pre vzdialený prístup. Vďaka riešeniam pre vzdialený prístup je možné používateľom zaistiť prístup k sieti organizácie pomocou pripojenia VPN alebo štandardného telefonického pripojenia. Je taktiež možné k sieti pomocou riešenia VPN pripojiť firemné pobočky, nasadiť v sieti plne vybavené softvérové smerovače a zdieľať v celom intranete pripojenie k Internetu.
  • Centrálna správa sieťových zásad pomocou servera RADIUS a proxy servera. Namiesto konfigurácie zásad pre prístup k sieti na každom serveri pre prístup k sieti, ako sú napríklad bezdrôtové prístupové body, overovacie prepínače 802.1X, servery VPN a servery telefonického pripojenia, je možné v jednom umiestnení vytvoriť zásady, ktoré špecifikujú všetky aspekty požiadaviek pripojenia k sieti, vrátane informácií o tom, ktorí používatelia majú povolené sa pripojiť, kedy sa môžu pripojiť a akú úroveň zabezpečenia musia použiť, aby sa mohli k sieti pripojiť.

Architektúra NAP (Network Access Protection)

Klientske zariadenia sú stále častejšie vystavené riziku napadnutia škodlivým softvérom, ako sú napríklad vírusy a červy. Tieto programy môžu získať prístup k nechránenému alebo nesprávne nakonfigurovanému hostiteľskému systému a potom tento systém používať ako prostredníka v šírení do ďalších zariadení v podnikovej sieti. Správcovia sietí majú novú platformu na zmiernenie tejto hrozby, a to v podobe architektúry NAP (Network Access Protection) spoločnosti Microsoft. Ide o nový balík súčastí operačného systému Windows Server 2008 a Windows Vista, ktorý ponúka platformu umožňujúcu zaistiť, aby klientske počítače v privátnej sieti spĺňali správcom definované požiadavky na stav systému.

Architektúra NAP vynucuje požiadavky na stav monitorovaním a zisťovaním stavu klientskych počítačov, ktoré sa pokúšajú pripojiť k sieti alebo v nej komunikovať. Klientske počítače, ktoré nie sú v súlade so zásadami stavu, môžu mať až do času, kedy bude ich konfigurácia aktualizovaná a zodpovedať zásadám, iba obmedzený prístup k sieti. V závislosti od toho, ako je architektúra NAP nasadená, je možné nezodpovedajúcich klientov uviesť do režimu karantény alebo automaticky aktualizovať. Používatelia tak môžu rýchlo znovu získať úplný prístup k sieti bez toho, aby museli ručne aktualizovať alebo znovu konfigurovať svoje počítače.

Vďaka architektúre NAP môžu správcovia vykonávať nasledujúce úkony:

  • Zaistiť priebežne zodpovedajúci stav stolových počítačov v sieti LAN, ktoré sú nakonfigurované na prideľovanie adries IP zo servera DHCP, pripájajú sa cez overovacie zariadenie 802.1X alebo ktoré majú pre komunikáciu nastavené zásady NAP IPsec
  • Vynucovať plnenie požiadaviek na stav prenosných počítačov cestujúcich používateľov opätovne sa pripájajúcich k sieti spoločnosti
  • Overiť súlad so stavom a zásadami nespravovaných domácich počítačov, ktoré sa pripájajú k sieti spoločnosti prostredníctvom serverov VPN, na ktorých beží služba RRAS (Routing and Remote Access)
  • Určiť stav a obmedziť prístup prenosných počítačov, ktoré si do organizácie prinesú partneri a ďalší hostia

Architektúra NAP je navrhnutá s ohľadom na flexibilitu a dokáže pracovať so softvérom akéhokoľvek výrobcu, ktorý obsahuje agenta SHA (System Health Agent) a overovacie moduly SHV (System Health Validators). Architektúra NAP taktiež obsahuje súbor rozhraní API, pomocou ktorých môžu vývojári a dodávatelia vytvárať vlastné súčasti pre overovanie sieťových zásad, stálu zhodu so zásadami stavu počítača a izoláciu siete. Medzi príklady riešení od iných výrobcov, ktoré fungujú s platformou Network Access Protection, patria antivírusové riešenia, správa opráv, VPN a sieťové vybavenie.

Brána Windows Firewall s pokročilým zabezpečením

Začínajúc systémom Windows Vista a Windows Server 2008 bola konfigurácia brány Windows Firewall a protokolu IPsec zlúčená do jediného nástroja – modulu snap-in Brána Windows Firewall s pokročilým zabezpečením. Brána Windows Firewall s pokročilým zabezpečením konsoliduje a vylepšuje dve funkcie, ktoré boli v predchádzajúcich verziách systému Windows spravované samostatne:

  • Filtrovanie všetkej prichádzajúcej a odchádzajúcej dátovej prevádzky prostredníctvom protokolu IP verzie 4 (IPv4) a IP verzie 6 (IPv6). Vo východiskovom nastavení je všetka prichádzajúca prevádzka blokovaná, ak nejde o odpoveď na predchádzajúcu odchádzajúcu požiadavku z počítača (vyžiadaná prevádzka) alebo ak nie je špecificky povolená pravidlom vytvoreným za účelom povolenia tohto prenosu. Vo východiskovom nastavení je všetka odchádzajúca prevádzka povolená okrem pravidiel pre posilnenie zabezpečenia služieb, ktoré zabraňujú tomu, aby štandardné služby komunikovali neočakávaným spôsobom. Je možné povoliť prevádzku na základe čísel portov, adries IPv4 alebo IPv6, cesty a názvu aplikácie, názvu služby, ktorá beží v počítači, alebo na základe iných kritérií.
  • Ochrana odosielaných a prijímaných dát pomocou protokolu IPsec za účelom overenia integrity sieťovej prevádzky, overenia identity počítačov alebo používateľov prijímajúcich či odosielajúcich dáta a voliteľne taktiež pre zaistenie dôvernosti dát šifrovaním.

V predchádzajúcich verziách systému Windows bolo pre implementáciu izolácie servera alebo domény niekedy nutné vytvoriť veľký počet pravidiel IPsec, aby bol požadovaný prenos v sieti chránený a aby bol zároveň povolený požadovaný sieťový prenos, ktorý nie je možné zabezpečiť pomocou protokolu IPsec. Takto zložitú konfiguráciu Windows Server 2008 zjednodušuje vďaka novému východiskovému správaniu. Výsledkom je lepšie zabezpečené prostredie, v ktorom je možné jednoduchšie riešiť prípadné ťažkosti.