Последнее обновление раздела: май 2008
В производственной среде реализация защиты доступа к сети (NAP) требует взаимодействия и сотрудничества с рядом различных групп по всему предприятию. Например, эти группы могут включать:
- Архитекторов доменной службы
Active Directory, которые назначают лес для публикации ссылок
на состояние работоспособности NAP и расширяют схему при помощи
расширения схем Configuration Manager 2007.
- Администраторов службы домена Active
Directory для расширения схемы и конфигурирования контейнера System
Management с необходимыми разрешениями безопасности. Этих же
администраторов можно привлекать к созданию или идентификации
учетных записей или групп безопасности Windows для использования
при конфигурировании точки средства проверки работоспособности
системы и политик NAP.
- Архитекторов инфраструктуры для
проектирования архитектуры сети и сервера, необходимой для
поддержки защиты доступа к сети, в том числе принятия решения о
выборе технологии принудительной защиты.
- Специалистов по инфраструктуре открытого
ключа (PKI) для предоставления службы сертификатов в случае
применения системы ограничений IPSec с защитой доступа к сети.
- Администраторов Windows Server для создания и
настройки серверов политики сети и поддерживающих служб
Windows.
- Администраторов брандмауэров для внесения
изменений в конфигурацию брандмауэров и сетевых устройств,
необходимых для поддержки защиты доступа к сети.
- Экспертов по безопасности для помощи в
определении критериев выбора обновлений программного обеспечения
для принудительной защиты доступа к сети, даты внедрения этих
обновлений, и решения об ограничениях в отношении несовместимых
компьютеров, не соответствующих политике, до устранения
несоответствия.
- Работающих на постоянной основе
веб-конструкторов для создания всеобъемлющего веб-сайта устранения
неисправностей компьютеров, которые не удалось восстановить в
ограниченной сети.
- Инженеров службы технической поддержки, к
которым могут обращаться пользователи компьютеров с ограниченным
доступом, не позволяющих подключаться к сети, или те, кому не
удалось восстановить свои компьютеры.
- Администраторов распространения программного
обеспечения Configuration Manager для обновления клиентов с
поддерживаемыми версиями Windows XP и до Windows XP с пакетом
обновления 3, с тем, чтобы эти клиенты могли поддерживать защиту
доступа к сети.
- Администраторов обновления программного
обеспечения Configuration Manager для конфигурирования точек
обновления и создания пакетов обновления программного обеспечения
на точках распространения.
- Администраторов Configuration Manager для
конфигурирования точек средства проверки работоспособности системы,
конфигурирования агента клиента защиты доступа к сети и, затем,
конфигурирования и мониторинга политик NAP Configuration
Manager.
- Конечных пользователей, которых необходимо
обучать и извещать о процессах защиты доступа к сети, а также о
том, что делать в случае возникновения проблем.
Поскольку защита доступа к сети включает множество ролей, успех реализации зависит от определения того, кто будет нести ответственность за различные роли, и обеспечения, при необходимости, совместной работы групп. Успешность текущей реализации будет зависеть от распознавания и согласованности с процессами, которые координируют различные функции всех ролей.
Ниже перечислены некоторые последствия отсутствия либо несоблюдения заданных процессов в условиях защиты доступа к сети, реализованной в производственной среде.
- Перегруженность службы технической поддержки
обращениями пользователей по поводу сообщений и ошибок защиты
доступа к сети.
- Падение производительности и несоблюдение
сроков из-за отсутствия у пользователей доступа к необходимым
сетевым ресурсам.
- Падение уровня удовлетворенности
информационными услугами и невыполнение условий соглашений об
уровне обслуживания (SLA).
- Предоставление полного сетевого доступа
несоответствующим компьютерам, что порождает опасность для
корпоративных ресурсов.
Используйте определенную методологию, например, ITIL или Microsoft Operations Framework (http://go.microsoft.com/fwlink/?LinkId=88047), которая поможет реализовать защиту доступа к сети в рамках архитектуры заданных процессов. Обязательно документируйте проектирование, процедуры тестирования, сферы ответственности и процессы настройки политик, мониторинга и устранения неполадок, а затем распространяйте эти сведения, обеспечивая их регулярное обновление и доступность для всех пользователей.
Примечание |
---|
Анализируйте существующие корпоративные политики безопасности и, при необходимости, изменяйте их, включая защиту доступа к сети. Корпоративные политики безопасности зачастую принудительно обеспечивают совместимость политик за счет нисходящих процессов. |
Разделение ролей в Configuration Manager
При определении ролей, необходимых для защиты доступа в Configuration Manager, существует возможность перекрывания обновлений программного обеспечения и защиты доступа к сети. Эти две роли можно сочетать либо разделять, в зависимости от производственной необходимости. Как правило, небольшие организации сочетают обе роли, однако есть и такие, которые предпочитают разделение. Роль защиты доступа к сети в Configuration Manager можно даже сочетать с ролями, внешними по отношению к продукту – например, ролями администраторов безопасности или сервера политик сети.
Разделение ролей в обновлении программного обеспечения или защите доступа к сети в Configuration Manager 2007 поддерживается наличием отдельного узла защиты доступа к сети в консоли Configuration Manager. Для определения разрешений определенным пользователям или группам на выполнение в Configuration Manager задач, связанных с защитой доступа к сети, воспользуйтесь вкладкой Безопасность в свойствах узла Защита доступа к сети. Затем воспользуйтесь вкладкой Безопасность в свойствах узла Обновления программного обеспечения для ограничения администраторам защиты доступа к сети доступа к обновлениям программного обеспечения. Такая конфигурация обеспечит следующие условия.
- Администраторы защиты доступа к сети могут
просматривать статистику этого доступа в узле Защита доступа к
сети.
- Администраторы защиты доступа к сети могут
создавать, просматривать, изменять и удалять политики NAP.
- Администраторы защиты доступа к сети могут
создавать, просматривать, изменять и удалять развертывания
обновлений программного обеспечения, пакеты и шаблоны.
Поскольку узел Политики обладает собственной вкладкой Безопасность, можно детализировать разрешения, выделив группу администраторов защиты доступа к сети, которые могут создавать, просматривать, изменять и удалять политики NAP.
Однако, ввиду возможности конфигурирования обновления программного обеспечения таким образом, чтобы была возможна оценка NAP в Мастере развертывания обновлений программного обеспечения, а также в форме упакованного обновления, администраторам обновления программного обеспечения невозможно закрыть доступ к конфигурированию политик NAP из узла Обновления программного обеспечения.
В случае разделения ролей в Configuration Manager, может понадобиться также конфигурирование безопасности, при котором администраторы защиты доступа к сети будут иметь доступ к узлу Отчеты, что позволит им открывать отчеты с категорией защиты доступа к сети .
Администратору, который занимается только защитой доступа к сети в Configuration Manager 2007, нет надобности в доступе к коллекциям, поскольку политики NAP Configuration Manager автоматически ориентируются на всех клиентов, зарегистрированных на сайте.
Подробнее о правах безопасности для защиты доступа к сети в Configuration Manager см. в разделе Права безопасности для защиты доступа к сети.
См. также
Основные понятия
Рабочий процесс администратора: настройка защиты доступа к сети для Configuration ManagerО ссылках на состояние работоспособности NAP в защите доступа к сети
О точках средства проверки работоспособности системы в защите доступа к сети
О процессе защиты доступа к сети
Другие ресурсы
Контрольный список администратора: настройка защиты доступа к сети для Configuration ManagerПланирование защиты доступа к сети