Tài liệu Giới thiệu bổ sung về Network Access Protection - Phần 1 pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (182.27 KB, 3 trang )
Giới thiệu bổ sung về Network Access Protection
Có thể các bạn đã đọc được rất nhiều tài
liệu hoặc bài viết về Network Access
Protection (NAP). Đó là một tính năng
được thiết kế trong Windows Server 2008
(trước đây có tên mã là Longhorn Server)
và đã có một số bài viết về NAP xuất hiện
ngay từ khi Windows Server 2008 chưa
được phát hành.
Còn giờ đây Windows Server 2008 đã được
phát hành rộng rãi đến các nhà sản xuất, do
vậy tác giả viết bài này muốn nhìn nhận lại
toàn bộ các loạt bài mà ông đã viết về NAP. Mặc dù hầu hết các khái niệm đã được giới
thiệu trong bài viết vẫn hợp lệ nhưng có một số bước có liên quan tới quá trình thực thi
đã có những sự thay đổi đáng kể.
Mục tiêu của việc chúng tôi giới thiệu bài này cũng là ý định update những loạt bài viết
về NAP trước đây của tác giả. Trong phần đầu tiên của loạt bài này, chúng tôi sẽ giới
thiệu cho các bạn về NAP và giải thích về cách làm việc của nó. Từ đây, chúng tôi sẽ
hướng dẫn từng bước cho bạn trong toàn bộ quá trình thực thi.
Network Access Protection là gì?
Network Access Protection hoặc NAP như tên vắn tắt vẫn được gọi của nó, được tạo ra
để giải quyết một số nhược điểm gây thất vọng mà các quản trị viên mạng thường gặp
phải. Như một quản trị viên mạng, chúng tôi bảo đảm rằng bạn có thể tốn rất nhiều thời
gian và sự cố gắng của mình vào việc làm sao cho mạng của mình được an toàn. Tuy
nhiên vấn đề mắc phải ở đây là một số máy tính trong mạng lại nằm bên ngoài sự kiểm
soát trực tiếp của bạn và có nhiều khó khăn hay đôi khi không thể bảo đảm sự an toàn.
Ở đây chúng tôi đang nói về những người dùng từ xa. Quả thực sẽ hoàn toàn rất dễ dàng
đối với việc bảo vệ an toàn cho các máy trạm cư trú ở một trong hai dạng trên, bạn chỉ có
thể tránh được việc bảo mật cho các máy laptop của người dùng miễn là các laptop này là
tài sản của công ty. Mặc dù vậy trong nhiều tổ chức, người dùng lại thích đăng nhập từ
máy tính gia đình của họ bằng một kết nối VPN để họ có thể làm một số việc sau giờ làm
việc mà không cần phải đến văn phòng. Do công ty không sở hữu các máy tính này nên
các nhân viên quản trị không có quyền điều khiển trực tiếp trên các máy tính này.
Trước khi có Network Access Protection, các tổ chức luôn phải chiến đấu để làm sao cho
các máy tính ngoài sự kiểm soát trực tiếp của các nhân viên quản trị kết nối vào mạng. Lý
do của điều này là một họ có thể gặp phải một số máy tính gia đình thực sự “scary”. Rất
khó để có thể tìm ra các máy tính gia đình đã bị tiêm nhiễm virus và spyware hoặc vẫn
đang sử dụng các hệ điều hành không được update một cách kịp thời. Và ngày càng có
nhiều người hỏi về các vấn đề mà họ gặp phải với Windows 98.
Network Access Protection được thiết kế để khắc phục các vấn đề trên. Khi một người
dùng nào đó kết nối vào mạng, máy tính của người dùng có thể được mang ra so sánh với
một chính sách “sức khỏe” mà bạn đã thiết lập Các nội dung bên trong của chính sách
này sẽ khác nhau tùy theo mỗi tổ chức, bạn có thể yêu cầu hệ điều hành của người dùng
phải có đầy đủ các bản vá bảo mật mới nhất và máy tính phải đang chạy phần mềm chông
virus được cập nhật một cách kịp thời,…và nhiều vấn đề tương tự như vậy. Nếu một máy
tính có hội tụ đủ các tiêu chuẩn cần thiết mà bạn đã thiết lập trong chính sách thì máy tính
này hoàn toàn có thể kết nối vào mạng theo cách thông thường. Nếu máy tính này không
hội tụ đủ các yếu tố cần thiết thì bạn có thể chọn để từ chối sự truy cập mạng cho người
dùng, sửa vấn đề lập tức hoặc tiếp tục và cho người dùng sự truy cập nhưng lưu ý về
trạng thái của máy tính của người dùng.
Một số thuật ngữ
Trước khi chúng tôi có thể bắt đầu giới thiệu về cách làm việc của NAP, bạn cần phải
biết được một số thuật ngữ mà Microsoft sử dụng cho NAP.
Thuật ngữ đầu tiên mà bạn cần biết là Enforcement Client, đôi khi được viết tắt là EC.
Một Enforcement Client là một máy khách đang thực hiện kết nối vào mạng của bạn.
Cần phải lưu ý rằng không phải tất cả các máy trạm đều tương thích với Network Access
Protection. Để được xem xét là Enforcement Client, máy trạm phải có thể chạy thành
phần System Health Agent, đây là thành phần mà chúng tôi sẽ giới thiệu cho các bạn
trong các phần tiếp theo. Chỉ Windows Vista và Windows XP SP3 mới có khả năng chạy
System Health Agent và chính vì vậy chỉ có các hệ điều hành máy trạm này tương thích
với Network Access Protection.
Thuật ngữ tiếp theo mà bạn cần biết đến là System Health Agent hoặc SHA. System
Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm và kiểm tra Windows
Security Center. Tác nhân này chịu trách nhiệm cho việc báo cáo các thông tin về trạng
thái sức khỏe của hệ thống đối với máy chủ Enforcement Server nhờ sự kết nối.
Khái niệm tiếp theo mà chúng tôi muốn giới thiệu cho các bạn sẽ là Enforcement
Server
. Enforcement Server là một máy chủ dùng để thi hành các chính sách đã được
định nghĩa bởi NAP.
Một thuật ngữ khác cũng cần phải biết đến đó là System Health Validator hoặc SHV.
System Health Validator sử dụng các thông tin mà nó thu lượm được từ System Health
Agent và so sánh với các thông tin về trạng thái “sức khỏe” như định nghĩa.
Thuật ngữ cuối cùng mà chúng tôi muốn giới thiệu là Remediation Server. Một
remediation server là một máy chủ để tạo khả năng truy cập cho các máy khách không có
đủ các tiêu chuẩn truy cập mạng như đã được thiết lập. Một máy chủ remediation server
(tạm dịch là máy chủ dùng để điều đình lại) sẽ chứa tất cả các cơ chế cần thiết cho việc
tạo một sự đồng thuận của máy khách với các chính sách. Cho ví dụ, máy chủ này có thể
sử dụng các bản vá bảo mật cho máy khác thực thi.
Các hạn chế của NAP
Có một thứ mà chúng tôi muốn đề cập về NAP là nó cung cấp cho bạn một cách nâng cao
sự bảo mật cho các tổ chức, tuy nhiên lại không thay thế được các cơ chế bảo mật khác
mà bạn đang sử dụng. Network Access Protection không thỏa mãn được sự hài lòng trong
trường hợp bảo đảm các máy khách từ xa tuân theo chính sách an ninh mạng. Trong thực
tế, nó sẽ có thể thực hiện một công việc tốt hơn đối với việc thực thi chính sách này theo
thời gian vì nó này được dựa trên các chuẩn mở. Điều này có nghĩa rằng các hãng phần
mềm thứ ba sẽ có thể viết các module chính sách cho riêng bạn, chính sách này sẽ cho
phép bạn tạo các chính sách bảo mật để sử dụng cho phần mềm của các nhóm thứ ba
đang chạy trên enforcement client.
Những gì Network Access Protection không thể thực hiện được là ở chỗ, nó không thể
tránh được các kẻ xâm phạm bừa bãi vào mạng. Network Access Protection chỉ bảo đảm
rằng các máy trạm đang được sử dụng cho việc truy cập từ xa có đủ các tiêu chuẩn.
Chính vì vậy, Network Access Protection sẽ chỉ ngăn được hacker nếu máy tính không
thỏa mãn chính sách an ninh mạng của bạn còn trong trường hợp máy tính của hacker
đồng thuận theo chính sách này thì sẽ rất khó để có thể thiết lập truy cập của hacker là
truy cập bị từ chối.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn rằng Network Access Protection có
thể cung cấp một cách bảo vệ máy trạm trong việc kết nối với mạng thông qua một chính
sách bảo mật mạng. Trong phần tiếp theo của bài này, chúng tôi sẽ tiếp tục giới thiệu cho
các bạn về các thực thi bổ sung một tính năng của Network Access Protection.
