Na pewno każdy z administratorów zadawał sobie pytanie, czy potrzebuje innych niż microsoftowe systemów do zarządzania siecią i do ochrony przetwarzanych w nich danych. Wbrew pozorom odpowiedź nie jest prosta, ale następcy Billa Gatesa starają się, by odpowiedź brzmiała "nie". Wysiłki te polegają przede wszystkim na implementacji w systemie operacyjnym jak największej liczby funkcji, paczek i opcji, które mają podnosić bezpieczeństwo i ułatwiać zarządzanie siecią. Przyjrzyjmy się kolejnej części funkcji Microsoft Windows Server 2008 R2 i oceńmy, co nowego lub unowocześnionego otrzymujemy w zakresie ochrony dostępu do sieci.

Warstwy i funkcje

W poprzednim artykule ("(Nie) całkiem nowy 2008", IT w Administracji 2010, nr 4) opisywaliśmy kilkanaście nowych funkcji bezpieczeństwa. Jednak pamiętajmy, że była to tylko jedna z warstw modelu, który zaproponował Microsoft jako swoją strategię obrony pod nazwą Defense in depth. Dla przypomnienia - te warstwy ochrony to: fizyczna, perymetr, sieć wewnętrzna, host, aplikacja, dane. Są to tzw. twarde warstwy ochrony, które dotyczą głównie zabezpieczeń technicznych. Całość powinna być ponadto obudowana przez polityki, procedury i rozwijanie świadomości użytkowników i administratorów. Chodzi tu zarówno o zagrożenia i podatności, jak i metody bezpiecznego korzystania z oprogramowania.

Wcześniej zajęliśmy się głównie warstwą fizyczną i zastosowaniem Bitlockera w dwóch wersjach: Bitlocker Disk Encryption oraz Bitlocker To Go. Pierwszy z nich zapewnia ochronę lokalnych woluminów z danymi oraz systemem operacyjnym, drugi zapewnia zabezpieczenie dysków mobilnych, np. pendrajwów, i dysków magnetycznych USB. Jest to ważna strefa, ale aby zapewnić skuteczną ochronę, powinniśmy stosować zabezpieczenia wielowarstwowe. Przyjrzymy się rozwiązaniu nazwanemu w systemie Microsoft Server 2008 NAP (Network Access Protection).

Ochrona dostępu do sieci jest jednym ze składników serwera Microsoft w wersji 2008. Główną jego funkcją jest weryfikacja klientów sieci przed dostępem do zasobów w zakresie określenia zgodności oraz wykrycia potencjalnych zagrożeń. Ponadto NAP jest w stanie wymagać od klientów sieci dodatkowych metod zabezpieczeń w przypadku, gdy musieliby skorzystać z zasobu szczególnie chronionego. Network Access Protection realizuje trzy główne zadania: weryfikację kondycji (zdrowia) klienta sieci, wymuszanie zgodności z zasadami zdefiniowanymi przez administratora oraz ograniczenie dostępu do zasobów dla klientów niezgodnych.

Kontrola zdrowia

Jednym z wyzwań dla administratora sieci jest zapewnienie, że podłączane hosty nie stanowią zagrożenia dla sieci oraz spełniają minimalne zasady kondycji. To zadanie, szczególnie w większych strukturach, może stanowić dosyć duże obciążenie dla administratora. Dodając do tego trudności z zapewnieniem zgodności dla komputerów mobilnych, które często znajdują się poza kontrolą informatyka, zadanie to nie tylko staje się czasochłonne, ale również złożone w realizacji.

[...]

Autor jest wieloletnim menedżerem Działu Integracji Systemów. Obecnie jest audytorem bezpieczeństwa systemów sieciowych oraz trenerem kadr IT w sektorze administracji publicznej. Specjalizuje się w zabezpieczeniach systemów i aplikacji oraz projektowaniu wielopoziomowych rozwiązań bezpieczeństwa.