Recurso de IO: Segurança e Rede - Racionalizado para Dinâmico
Nesta página
.gif){kind=icon}
Introdução
Requisito: Gerenciamento e atenuação integrados de ameaças na borda entre clientes e servidor
Requisito: Monitoramento em nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores
Requisito: Solução de quarentena para computadores infectados ou sem patch
Introdução
Segurança e Rede é o terceiro recurso de Otimização de Infra-estrutura Central. A tabela a seguir descreve os desafios de alto nível, as soluções aplicáveis e os benefícios de se passar para o nível Dinâmico em Segurança e Rede.
Desafios |
Soluções |
Benefícios |
|---|---|---|
Desafios comerciais Segurança de firewall empresarial ausente para desktops ou servidores Ausências de diretivas de segurança de extranet empresarial Desafios de TI O gerenciamento de eventos do servidor é reativo, carecendo de uma visão global da empresa Não há monitoração de eventos de segurança em tempo real para desktops ou servidores |
Projetos Implementar uma solução integrada de gerenciamento e atenuação de ameaças na borda entre clientes e servidor Implementar monitoramento em nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores Implementar solução de quarentena para computadores infectados ou sem patch |
Benefícios comerciais Atingir um nível de segurança proativa, com diretivas e controle rígidos, desde o desktop até o firewall e a extranet Tratar a fundo da conformidade a regulamentos Melhorar a produtividade do usuário com um ambiente estável e seguro Cuidar de problemas de segurança de forma rápida e proativa Espelhar a representação comercial através de diretiva de segurança Benefícios de TI Monitoração e relatório extensivos da infra-estrutura de servidores, com recursos semelhantes para desktops O menor custo de controle e visibilidade sobre cada PC ajuda a TI a resolver os problemas de forma proativa, antes que eles afetem os usuários |
O nível Dinâmico no Modelo de Otimização de Infra-estrutura aborda os principais requisitos de componentes de rede e segurança, entre eles:
Gerenciamento e atenuação integrados de ameaças na borda entre clientes e servidor
Monitoramento de nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores
Solução de quarentena para computadores infectados ou sem patch
Requisito: Gerenciamento e atenuação integrados de ameaças na borda entre clientes e servidor
Público-alvo
Você deve ler esta seção se não tiver uma solução integrada de gerenciamento e atenuação de ameaças na borda entre clientes e servidor.
Visão geral
As organizações vêm enfrentando uma enxurrada de ataques cada vez mais direcionados e sofisticados em suas redes. Para proteger os recursos da rede e fornecer acesso contínuo para atividades legítimas, é necessário dispor de uma solução sofisticada e multifuncional de gateway para a borda entre clientes e servidor. Para corresponder ao requisito do Modelo de Otimização de Infra-estrutura Central para acesso remoto seguro, torna-se necessário proteger os ambientes de TI contra ameaças da Internet.
Fase 1: Avaliação
A fase Avaliação deve determinar as necessidades de segurança adequadas para a borda entre clientes e servidor e identificar os processos que estão em funcionamento no momento. Os requisitos de segurança podem variar drasticamente de empresa para empresa ou de instituição para instituição, dependendo, por exemplo, do porte, setor ou campo, ou de leis e regulamentos regionais. Reunir uma lista formal dos riscos e requisitos da sua organização é algo que irá permitir que você avalie tecnologias de segurança e veja como o uso dessas tecnologias pode afetar a organização de forma mais eficaz.
Fase 2: Identificação
Durante a fase Identificação, você examinará as tecnologias de segurança e acesso remoto e os procedimentos atualmente vigentes e determinará os requisitos de segurança da organização. Durante essa fase, você reunirá diretivas de segurança existentes no momento, implícitas ou aplicadas, além de componentes tecnológicos já em uso à sua disposição. Você também reunirá quaisquer requisitos externos baseados em leis e regulamentos de sua região ou setor. Recomenda-se que sua organização considere simultaneamente os modelos de ameaças à borda entre clientes e servidor e as tecnologias correspondentes, ao planejar o requisito de nível Dinâmico para uma Solução de quarentena para computadores infectados ou sem patch.
Fase 3: Avaliação e planejamento
A meta da sua organização durante a fase Avaliação e planejamento deve ser determinar uma estratégia para a segurança da borda entre clientes e servidor e avaliar as tecnologias disponíveis para reduzir ameaças vindas da Internet. Ao avaliar suas tecnologias, você deve levar em conta a otimização da segurança para o acesso aos recursos de arquivo e filiais da empresa, bem como definir como seus aplicativos da Web e LOB são acessados. Sua organização pode usar ferramentas que forneçam maior segurança de VPNs (redes virtuais privadas) e firewalls para aplicativos da Web e recursos de rede, bem como controle de acesso mais rígido e autorização aprimorada para acesso a recursos da rede e aplicativos LOB.
Internet Security and Acceleration (ISA) Server 2006
O Microsoft Internet Security and Acceleration (ISA) Server 2006 é um gateway de segurança que ajuda a proteger seus aplicativos e recursos de ameaças vindas da Internet. O ISA Server pode ajudar sua empresa a proteger o acesso a aplicativos e dados. Ele também ajuda a proteger a infra-estrutura de aplicativos, pois protege os serviços, dados e aplicativos LOB em todas as camadas da rede, com inspeção do estado de pacotes, filtragem na camada do aplicativo e ferramentas abrangentes de publicação. Usando o ISA Server, você pode otimizar sua rede através de um firewall unificado e arquitetura VPN (rede virtual privada). O ISA Server protege seu ambiente de TI e reduz riscos e gastos com segurança, enquanto trabalha para eliminar os efeitos que softwares e invasores mal-intencionados causam sobre sua organização.
Intelligent Application Gateway (IAG) 2007
O Microsoft Intelligent Application Gateway (IAG) 2007 com Application Optimizers fornece rede privada virtual (VPN) com protocolo SSL (Secure Socket Layer), um firewall de aplicativo da Web e gerenciamento de segurança de ponto de extremidade que permitem controle de acesso, autorização e inspeção de conteúdo para uma ampla variedade de aplicativos LOB. Juntas, essas tecnologias fornecem aos profissionais móveis e remotos acesso seguro, fácil e flexível a partir de um ampla rede de dispositivos e locais, incluindo quiosques, computadores e dispositivos móveis. O IAG também permite aos administradores de TI aplicarem a conformidade com o aplicativo e as orientações de utilização de informações por meio de uma política de acesso remoto personalizada com base em dispositivo, usuário, aplicativo ou outros critérios comerciais. Os principais benefícios incluem:
Uma combinação exclusiva de acesso com base em VPN SSL, integrado à proteção de aplicativo e gerenciamento de segurança de ponto de extremidade.
Um poderoso firewall de aplicativo da Web que ajuda a afastar o tráfego mal-intencionado e manter as informações confidenciais.
Menor complexidade de gerenciamento de acesso seguro e proteção de ativos comerciais com base em uma plataforma abrangente e fácil de usar.
Interoperabilidade com a principal infra-estrutura de aplicativos Microsoft, sistemas empresariais de terceiros e ferramentas internas personalizadas.
Fase 4: Implantação
Soluções de segurança para borda entre clientes e servidor avaliadas e aprovadas são implementadas na fase Implantação. É importante realizar testes de utilização prática e simulações para todos os mecanismos de controle adicionais introduzidos no ambiente.
Mais informações
Para obter mais informações sobre servidores e implementações de produtos, visite o ISA Server TechCenter no Microsoft TechNet, em https://www.microsoft.com/technet/isa/default.mspx.
Ponto de verificação de tópico
|
Requisitos |
|---|---|
Ameaças à segurança de borda dos servidores foram avaliadas, assim como soluções para atenuação das ameaças. |
|
|
Soluções tecnológicas foram implementadas para proteger contra ameaças baseadas na Internet na borda entre cliente e servidor. |
.gif)
Requisito: Monitoramento de nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores
Público-alvo
Você deve ler esta seção se não tiver um monitoramento em nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores.
Visão geral
No Guia de Recursos do Implementador de Otimização de Infra-estrutura Central: Padronizado para Racionalizado, abordamos a introdução da prática recomendada gerenciamento do nível de serviço para vários dos requisitos no nível Racionalizado. Os processos introduzidos para gerenciamento do nível de serviço descreveram como os serviços são definidos e medidos por meio de SLAs (contratos de nível de serviço). O monitoramento em nível de serviço habilitado por modelo leva esses conceitos ao nível Dinâmico, exigindo um meio de expressar os modelos de serviço no nível do sistema e de relatar níveis reais de serviço — em vários componentes — em comparação com os SLAs definidos. Os recentes avanços nos padrões tecnológicos e setoriais, como o novo SML (Service Modeling Language), permitem que as organizações implementem um verdadeiro gerenciamento e monitoramento de serviço habilitados por modelo.
Fase 1: Avaliação
Como parte do requisito do nível Racionalizado para Gerenciamento de Processo baseado em ITIL/COBIT, sua organização implementou processos de gerenciamento de nível de serviço e, com isso, definiu um catálogo de serviços. O catálogo de serviços lista todos os serviços que estão sendo fornecidos no momento, resume as características do serviço, descreve os usuários do serviço e detalha os responsáveis pela manutenção contínua. A fase Avaliação irá assegurar que o catálogo de serviços esteja completo e em dia.
Fase 2: Identificação
A fase Identificação irá nomear quais serviços dentro do catálogo de serviços fazem parte do modelo e irá atribuir prioridades a cada um. A lista de serviços nomeados será usada na fase Avaliação e planejamento quando forem consideradas as opções de tecnologia e for iniciado o plano de implementação. Esse requisito concentra-se em um subconjunto de serviços de TI, incluindo serviços de desktop ou cliente, serviços de aplicativo e infra-estrutura de servidor.
Fase 3: Avaliação e planejamento
O objetivo da fase Avaliação e planejamento é identificar as tecnologias necessárias para oferecer o monitoramento em nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores. Isso implica que a tecnologia escolhida deve oferecer tanto a capacidade de definir serviços sistematicamente a partir do catálogo de serviços da organização como também monitorar a disponibilidade e os eventos de serviços definidos.
System Center Operations Manager 2007
O Operations Manager 2007 oferece um método de monitoramento voltado a serviços que permite monitorar de ponta a ponta os serviços de tecnologia da informação, dimensionar o monitoramento em grandes ambientes e organizações e usar o conhecimento sobre aplicativos e sistemas operacionais da Microsoft para resolver problemas operacionais. O Operations Manager 2007 é a solução recomendada para este requisito do Modelo de Otimização de Infra-estrutura Central e oferece a funcionalidade de criar e monitorar modelos de serviço de ponta a ponta.
Monitoramento de serviços de desktop
O monitoramento de serviços de desktop no Operations Manager 2007 utiliza dois mecanismos para monitorar o uso do desktop: Coleta de dados do AEM (Monitoramento de Exceções sem Agente) e do CEIP (Programa de Aperfeiçoamento da Experiência do Usuário).
AEM (Monitoramento de Exceções sem Agente)
O AEM permite que você monitore panes nos sistemas operacionais e erros nos aplicativos. Os clientes que relatarem erros serão configurados com a Diretiva de Grupo para redirecionarem os relatórios de erro a um servidor de gerenciamento do Operations Manager 2007, em vez de diretamente à Microsoft. Ao passar os relatórios de erro para um servidor de gerenciamento, o Operations Manager 2007 torna-se capaz de fornecer exibições e relatórios detalhados que agregam dados de erro em toda a organização. As exibições e relatórios informam sobre as falhas e oferecem soluções, conforme disponíveis, para ajudar a resolver os problemas.
Você pode determinar a freqüência com que um sistema operacional ou aplicativo apresenta um erro e o número de computadores e usuários afetados. Com esse conhecimento, você pode direcionar seus esforços para onde eles sejam mais necessários para a organização.
Quando os relatórios de erro são sincronizados anonimamente com a Microsoft, segundo a Declaração de Privacidade do serviço de relatório de erros da Microsoft, são fornecidas as soluções disponíveis para os respectivos erros. Você também pode usar o AEM para fornecer soluções para problemas vivenciados com os aplicativos desenvolvidos internamente.
CEIP (Programa de Aperfeiçoamento da Experiência do Usuário)
Quando você escolhe participar do CEIP, deve configurar os clientes com a Diretiva de Grupo para redirecionar os relatórios do CEIP para um servidor de gerenciamento do Operations Manager 2007, em vez de diretamente à Microsoft. Os servidores de gerenciamento estão configurados para encaminhar esses relatórios à Microsoft.
Os relatórios CEIP encaminhados à Microsoft a partir da sua organização são combinados aos relatórios CEIP de outras organizações e de clientes individuais para ajudar a Microsoft a resolver problemas e melhorar os produtos e recursos Microsoft que os clientes mais usam. Para obter mais informações sobre o CEIP, visite https://go.microsoft.com/fwlink/?linkid=75040.
Pacotes de Gerenciamento para aplicativos e sistemas operacionais de estação de trabalho baseada no Windows
A seguir são listados os Pacotes de Gerenciamento para aplicativos e sistemas operacionais de estação de trabalho baseada em Windows que acompanham o Operations Manager 2007:
Windows Vista®
Windows XP
Windows 2000
Microsoft Information Worker
Distributed Application Service Monitoring
Um serviço de aplicativos distribuídos que integra o Operations Manager 2007 monitora a integridade de um aplicativo distribuído que você definir. Ele cria os monitores, as regras, as exibições e os relatórios necessários para monitorar seu aplicativo distribuído e os componentes individuais nele contidos. Ao criar um aplicativo distribuído no Operations Manager 2007, você deve primeiro criar o serviço que define em alto nível o objeto de monitoramento do aplicativo distribuído. Em seguida, você deve definir os componentes individuais que são parte do aplicativo distribuído a ser monitorado.
Monitoramento de infra-estrutura
O Operations Manager 2007 continua a oferecer um monitoramento abrangente do status da infra-estrutura de servidor, tendo adicionado novos recursos ao Operations Manager 2005 para monitorar dispositivos habilitados para SNMP, como roteadores, servidores de impressão e computadores que não operem em Windows, mesmo se o dispositivo ou sistema operacional não tiver um Pacote de Gerenciamento. Para monitorar esses dispositivos ou outros sistemas operacionais, você pode criar monitores e regras que utilizem SNMP. Os monitores e regras baseados em SNMP podem coletar dados de eventos e interceptações SNMP, bem como gerar alertas ou alterar o estado de integridade do objeto monitorado.
Fase 4: Implantação
A fase Implantação implementa os planos derivados dos esforços nas três fases anteriores. Se sua organização tiver optado pelo System Center Operations Manager 2007 como a tecnologia para definição e monitoramento dos serviços de TI, será possível encontrar orientações detalhadas para a implantação na biblioteca de documentos online do System Center Operations Manager 2007 no Microsoft TechNet (podem estar em inglês).
Mais informações
Para obter mais informações sobre o fornecimento de acesso e serviços a usuários, visite o Microsoft TechNet e pesquise “monitoramento de serviços” e “Operations Manager”.
Ponto de verificação de tópico
|
Requisitos |
|---|---|
|
|
|
|
|
Uma solução automatizada foi implementada para definir e monitorar níveis de serviço. |
Se você concluiu as etapas listadas acima, sua organização atendeu ao requisito mínimo de monitoramento em nível de serviço habilitado por modelo de infra-estrutura de desktops, aplicativos e servidores.
Vá para a próxima pergunta da auto-avaliação.
Requisito: Solução de quarentena para computadores infectados ou sem patch
Público-alvo
Você deve ler esta seção se não tiver uma solução de quarentena para computadores infectados ou sem patch.
Visão geral
No atual ambiente de constante preocupação com a segurança, é bastante complexo falar sobre um método extensivo de proteger a rede e os dados confidenciais. Não basta mais confiar em defesas de perímetro e conjuntos de aplicativos antivírus para proteger os equipamentos e as ferramentas da rede e as informações confidenciais. As organizações e os profissionais de segurança agora entendem que os riscos internos à rede, sejam intencionais ou acidentais, têm o potencial de ser ainda mais perigosos do que as ameaças externas. Para passar ao nível Dinâmico, você precisa ter um mecanismo para isolar computadores não gerenciados da rede da empresa.
A ampla disponibilidade da Internet levou a mudanças significativas no modo de trabalho de várias organizações. Para manter a vantagem competitiva, as organizações exigem cada vez mais que os funcionários se conectem às redes corporativas a partir de locais remotos, como residências, filiais, hotéis, cibercafés ou do escritório dos clientes.
Fase 1: Avaliação
A fase Avaliação inicia o projeto de solução de quarentena fazendo um outro inventário das configurações de segurança do cliente rastreadas nos seus processos de gerenciamento de configuração. No nível Dinâmico, pode-se pressupor que os requisitos do nível Padronizado com relação às práticas recomendadas para o gerenciamento de patches e controles antivírus estejam em operação, assim como o gerenciamento de configuração, como parte dos requisitos do nível Racionalizado. A fase Avaliação examina os itens de configuração dos clientes e assegura que estejam em dia.
Fase 2: Identificação
Na fase Identificação, iremos determinar quais configurações devem ser controladas e adicionadas aos requisitos mínimos para avaliar se um computador cliente é uma ameaça quando conectado aos recursos da rede. Geralmente, os requisitos mínimos determinam que todas as atualizações de software e programas antivírus exigidos estejam instalados e em dia. Durante a fase Identificação, você também deve considerar o gerenciamento de patches, a verificação da configuração e as práticas de atualização de antivírus e qual a maneira mais fácil de fazer esses itens atenderem aos requisitos da solução de quarentena a ser implementada.
Fase 3: Avaliação e planejamento
Na fase Avaliação e planejamento, determinamos as tecnologias disponíveis para habilitar a funcionalidade desejada e realizar a detecção de não-conformidade da configuração e as rotinas de bloqueio definidas na fase Identificação. O nível Dinâmico requer que, pelo menos, as conexões remotas aos recursos da rede sejam controladas por meio de uma solução de quarentena. Essas conexões remotas são geralmente implementadas com tecnologias de VPN (rede virtual privada). Esta seção faz referência principalmente ao Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft, no Microsoft TechNet. Também iremos apresentar a plataforma Proteção de Acesso à Rede incluída no Windows Vista e Windows Server 2008 para serviços de quarentena no site.
Redes virtuais privadas (VPNs)
As conexões de VPNs permitem que funcionários e parceiros se conectem a uma rede local (LAN) corporativa através de uma rede pública de maneira segura. O acesso remoto que utiliza tecnologias VPN é um ativador fundamental de várias novas oportunidades comerciais, como administração remota e aplicativos de alta segurança.
Embora a VPN ofereça acesso seguro ao criptografar os dados através do túnel VPN, ela não impede a invasão de programas mal-intencionados, como vírus ou worms iniciados a partir do computador de acesso remoto. Os ataques de vírus ou worms podem ser o resultado da conexão de computadores infectados à rede local. A quarentena da VPN com os recursos do Network Access Quarantine Control no Windows Server 2003 fornece um mecanismo para resolver esses problemas. A quarentena da VPN assegura que os computadores que se conectam à rede usando protocolos VPN estejam sujeitos a verificações pré e pós-conexão e sejam isolados até que o computador atenda à diretiva de segurança especificada.
A solução de quarentena VPN coloca todos os computadores que atendem à diretiva especificada para o acesso remoto em uma rede de quarentena e verifica se todos esses computadores estão de acordo com a diretiva de segurança da organização. O servidor VPN de acesso remoto suspende as restrições de quarentena e permite o acesso a recursos da rede corporativa somente quando o computador de acesso remoto passa por todas as verificações de conexão.
A quarentena da VPN trabalha retardando a conectividade total a uma rede privada, enquanto examina e valida a configuração do computador de acesso remoto de acordo com os padrões organizacionais. Se o computador que se conecta não estiver de acordo com as diretivas da organização, o processo de quarentena pode instalar service packs, atualizações de segurança e definições de vírus antes de permitir que o computador se conecte a outros recursos da rede.
Requisitos da quarentena de VPN
A implementação da quarentena de VPN requer os seguintes componentes:
Clientes de acesso remoto compatíveis com quarentena
Servidor de acesso remoto compatível com quarentena
Servidor RADIUS (Remote Authentication Dial-In User Service) compatível com quarentena (opcional)
Recursos de quarentena
Banco de dados de contas
Diretiva de acesso remoto com quarentena
Processo de conexão de VPN com quarentena
A figura a seguir mostra um método de quarentena da VPN que utiliza servidores de recursos localizados em uma sub-rede de quarentena.
.gif)
Figura 9. O processo de quarentena da VPN
A quarentena da VPN implementa um processo modificado quando o usuário tenta se conectar à rede remota. O processo consiste nas seguintes etapas:
O computador realiza um teste pré-conexão de validação da diretiva de integridade para garantir que obedece a certos requisitos de integridade definidos para computadores. Entre esses, podem estar incluídos hotfixes, atualizações de segurança e assinaturas de vírus. O script pré-conexão armazena os resultados desse teste localmente. A organização também pode realizar testes de segurança pós-conexão, se desejar.
Depois que o teste pré-conexão tiver sido realizado com êxito, o computador se conecta ao servidor de acesso remoto usando VPN.
O servidor de acesso remoto autentica as credenciais do usuário com o servidor RADIUS comparando-as ao nome de usuário e senha armazenados no serviço de diretório do Active Directory®. O RADIUS é um componente opcional neste processo.
Se o Active Directory autenticar o usuário, o servidor de acesso remoto colocará o cliente em quarentena, usando a diretiva de acesso remoto com quarentena da VPN. O acesso ao computador cliente de acesso remoto é limitado aos recursos de quarentena especificados pela diretiva de acesso remoto. A quarentena pode ser aplicada de duas maneiras possíveis no computador cliente de acesso remoto: usando-se um tempo limite específico para que o computador cliente não permaneça em quarentena indefinidamente ou usando-se um filtro de IP que restrinja o tráfego de IP somente aos recursos de rede especificados.
O script pós-conexão notifica o servidor de acesso remoto de que o cliente está em conformidade com os requisitos especificados. Se a conexão não atender aos requisitos do tempo limite especificado, o script irá notificar o usuário e cortar a conexão.
O servidor de acesso remoto remove o computador cliente do modo de quarentena através da remoção do filtro de IP e concede o acesso apropriado aos recursos da rede, conforme especificado pela diretiva de acesso remoto.
Proteção de acesso à rede
O NAC (Proteção de Acesso à Rede) é uma plataforma de imposição de diretivas integrada aos sistemas operacionais Windows Vista e Windows Server 2008 que permite que você proteja melhor os componentes de hardware e software da rede mediante a conformidade obrigatória com os requisitos de integridade do sistema.
Requisitos de integridade do computador
Você enfrenta o desafio de garantir que os computadores que se conectam à sua rede e se comunicam através dela estejam em conformidade com os requisitos de integridade do sistema. Por exemplo, os computadores que obedecem aos requisitos têm o software de segurança correto instalado (como um antivírus), atualizações de sistema operacional em dia e a configuração correta (como firewalls baseados em host habilitados). Este desafio torna-se mais complicado devido à natureza portátil dos laptops, que podem trafegar por vários pontos de acesso à Internet e outras redes privadas, e ao uso de conexões de acesso remoto realizadas em computadores domésticos. Se um dos computadores conectados não estiver em conformidade, ele poderá expor a rede a ataques de programas mal-intencionados, como vírus e worms no nível da rede. Para fornecer proteção contra computadores que não atendam aos padrões de conformidade, é preciso fazer o seguinte:
Configurar centralizadamente uma série de diretivas que especifiquem os requisitos de integridade do sistema.
Verificar a integridade do sistema antes de permitir acesso ilimitado à rede privada ou aos recursos da rede privada.
Para os computadores que não estiverem em conformidade com as diretivas, limitar o acesso a uma rede restrita que contenha recursos para fazer o computador não-conforme voltar a um estado de conformidade.
A plataforma NAP fornece componentes e infra-estrutura que ajudam você a validar e exigir conformidade com as diretivas de integridade do sistema para acesso à rede e comunicação via rede.
Validação da diretiva de integridade
Quando um usuário tenta se conectar à sua rede, a plataforma NAP valida o estado de integridade do computador em questão de acordo com as diretivas de integridade que você definiu. Você pode então escolher o que fazer se o computador não estiver em conformidade. Em um ambiente somente de monitoração, todos os computadores autorizados recebem acesso à rede, mesmo que alguns não obedeçam às diretivas de integridade, mas o estado da conformidade de cada computador é registrado. Em um ambiente com acesso restrito, os computadores que obedecerem às diretivas de integridade receberão acesso ilimitado à rede, porém os que não obedecerem às diretivas de integridade ou que não sejam compatíveis com a plataforma NAP terão o acesso limitado a uma rede restrita. Em ambos os ambientes, os computadores compatíveis com a plataforma NAP podem entrar automaticamente em conformidade, e você pode definir exceções ao processo de validação. A plataforma de Proteção de Acesso à Rede também inclui ferramentas de migração para tornar mais fácil para você definir exceções que melhor correspondam às necessidades da sua rede.
Conformidade com a diretiva de integridade
Você pode ajudar a garantir a conformidade com as diretivas de integridade, optando por atualizar automaticamente os computadores não-conformes com os requisitos ausentes por meio de um software de gerenciamento, como o Microsoft Systems Management Server. Em um ambiente somente de monitoração, os computadores têm acesso à rede até mesmo antes de serem atualizados com o software ou com as alterações de configuração exigidas. Em um ambiente de acesso restrito, os computadores que não obedecerem às diretivas de integridade terão acesso limitado até que as atualizações do software e da configuração tenham sido concluídas. Novamente, em ambos os ambientes, os computadores compatíveis com a plataforma NAP podem entrar automaticamente em conformidade, e você pode definir exceções à diretiva.
Acesso limitado à rede
Você pode proteger equipamentos e ferramentas limitando o acesso dos computadores que não obedecem aos requisitos das diretivas de integridade. Você pode definir o nível de acesso que os computadores não-conformes terão. Os limites do acesso à rede podem se basear em um período de tempo específico, quer o acesso à rede seja limitado a uma rede restrita, a um único recurso ou a nenhum recurso interno. Se você não configurar recursos de atualização da integridade, o acesso limitado irá durar enquanto durar a conexão. Se você configurar recursos de atualização da integridade, o acesso limitado irá durar somente até que o computador entre em conformidade. Você pode usar tanto o monitoramento quanto a conformidade com as diretivas de integridade nas suas redes e configurar exceções para ambos.
Fase 4: Implantação
O nível Dinâmico requer somente que uma solução de quarentena VPN seja implementada para os usuários de acesso remoto. As soluções de plataforma NAP são recomendadas se sua organização estiver usando a infra-estrutura do Windows Server 2008. O guia Network Access Quarantine Control in Windows Server 2003 fornece instruções adicionais para planejamento e implantação de soluções de quarentena.
Para implantar o Network Access Quarantine Control, as etapas básicas (na ordem) são as seguintes:
Criar recursos de quarentena.
Criar um script ou programa que valide a configuração do cliente.
Instalar RQS.exe em servidores de acesso remoto.
Criar um novo perfil CM (Gerenciador de Conexões) para quarentena com o Kit de Administração do Gerenciador de Conexões do Windows Server 2003 (CMAK).
Distribuir o perfil CM para instalação em computadores clientes de acesso remoto.
Configurar uma diretiva de acesso remoto com quarentena.
Criando recursos de quarentena
Para permitir que seus clientes de acesso remoto acessem recursos do servidor de nomes, servidor Web ou servidor de arquivos enquanto estiverem em modo de quarentena, você precisa designar os servidores e recursos que estão disponíveis aos clientes de acesso remoto.
Criando um script ou programa que valide a configuração do cliente
O script ou programa de quarentena criado por você pode ser um arquivo executável (*.exe) ou um simples arquivo de comando (*.cmd ou *.bat). No script, execute a série de testes para garantir que o cliente de acesso remoto obedece às diretivas da rede.
Instalando RQS.exe em servidores de acesso remoto
Os componentes do serviço Agente de Quarentena de Acesso Remoto (Rqs.exe) ouvem mensagens de clientes de acesso remoto compatíveis com quarentena, o que indica que seus scripts foram executados com êxito.
Criando um novo perfil CM para quarentena no Windows Server 2003 CMAK
Um perfil CM para quarentena é apenas um perfil CM normal de acesso remoto para acesso discado ou por VPN, com os seguintes acréscimos:
Você precisa adicionar uma ação pós-conexão para executar o script ou programa que você criou para verificar a conformidade com as diretivas da rede e incluir o script ou programa dentro do perfil. Isso é feito por meio da página Ações Personalizadas do assistente do CMAK.
Você precisa adicionar o componente de notificação ao perfil. Isso é feito por meio da página Arquivos Adicionais do assistente do CMAK.
Para obter mais informações sobre como usar ações personalizadas no CMAK, consulte o tópico intitulado "Incorporating custom actions", na Ajuda e suporte do Windows Server 2003.
Distribuindo o perfil CM para instalação em computadores clientes de acesso remoto
Depois que o perfil CM para quarentena tiver sido criado, ele precisará ser distribuído e instalado em todos os computadores clientes de acesso remoto. O próprio perfil é um arquivo executável destinado ao cliente de acesso remoto para instalar o perfil e configurar a conexão de rede com quarentena.
Configurar uma diretiva de acesso remoto com quarentena
Se o serviço de Roteamento e Acesso Remoto estiver configurado com o provedor de autenticação do Windows, configure a diretiva de acesso remoto com quarentena no servidor de acesso remoto usando o snap-in Roteamento e Acesso Remoto. Se o serviço de Roteamento e Acesso Remoto estiver configurado com o provedor de autenticação RADIUS, configure a diretiva de acesso remoto com quarentena no servidor IAS (Serviço de Autenticação da Internet) usando o snap-in Serviço de Autenticação da Internet.
Resumo
A quarentena de VPN que usa o Network Access Quarantine Control fornece uma forma gerenciada de impedir o acesso total à intranet até que a configuração do computador cliente de acesso remoto tenha sido verificada e considerada em conformidade com as diretivas da rede. O Network Access Quarantine Control utiliza um perfil CM que contém um script de quarentena incorporado e um componente notificador, um componente de escuta executado em um servidor de acesso remoto Windows Server 2003 e uma diretiva de acesso remoto com quarentena. Para implantar o Network Access Quarantine Control, você precisa designar e configurar recursos de quarentena, criar um script de quarentena, instalar o componente de escuta nos servidores de acesso remoto, criar e distribuir o perfil CM de quarentena e configurar uma diretiva de acesso remoto com quarentena.
Mais informações
Para obter mais informações sobre o fornecimento de acesso e serviços a usuários, visite o Microsoft TechNet e pesquise “Quarentena VPN” e “NAP”.
Ponto de verificação de tópico
|
Requisitos |
|---|---|
|
Tecnologias foram avaliadas para permitir a quarentena na rede de usuários remotos e no local. |
|
Uma solução de quarentena na VPN foi implementada para usuários remotos. |
Se você concluiu as etapas listadas acima, sua organização atendeu ao requisito mínimo da solução integrada de quarentena para computadores infectados ou sem patch do Modelo de Otimização de Infra-estrutura.
Vá para a próxima pergunta da auto-avaliação.