Примечание редактора: после подготовки данного материала стало известно, что выпуск технологии NAP, первоначально приуроченный к выходу Windows Server 2003 R2, откладывается до момента появления Longhorn Server. Благодаря отсрочке, Microsoft будет иметь возможность переработать продукт в расчете на взаимодействие с технологией Cisco System, обеспечивающей безопасность и исправность систем, основанной на использовании переключателей и известной под названием Network Admissions Control (NAC), что означает «управление сетевым доступом».
Раскрыв свои планы относительно промежуточных версий Windows Server, которые будут выпускаться вслед за каждой основной версией Windows Server с интервалом в два года, компания Microsoft начала разработку деталей, касающихся первой промежуточной версии Windows Server, в настоящее время известной под названием Windows 2003 Release 2 (R2). Одним из наиболее интересных элементов системы безопасности очередного крупного обновления для Windows 2003 станет технология Network Access Protection (NAP), закрывающая сетевой доступ клиентским системам, которые не соответствуют требованиям принятой в конкретной компании политики безопасной эксплуатации компьютеров.
Общие сведения
Технология NAP призвана решить весьма актуальную проблему многих организаций. В настоящее время для доступа удаленных клиентских систем, например ноутбуков, которые могут в течение длительного времени находиться в отсоединенном от сети состоянии, предусмотрена процедура аутентификации, которая ограничивается подтверждением личности пользователя. При этом не отслеживается соответствие систем требованиям корпоративной политики безопасного пользования компьютерами. Таким образом, доступ к внутренней сети могут получать машины с устаревшей конфигурацией системы защиты либо потенциально скомпрометированные системы, которые могут содержать вирусы и опасные программы.
Схема карантина требует от пользователя, подтверждающего свою легитимность в отношении домена, сделать нечто большее, чем просто удостоверить свою личность. Аутентификационные требования зависят от конкретной корпоративной политики: это может быть требование обновления клиентской операционной системы путем установки определенных пакетов обновлений или программ коррекции, либо необходимая степень дополнения файлов определений для антивирусного программного обеспечения, установленного в клиентской системе, либо наличие определенных средств управления системой безопасности. Клиенту, не отвечающему установленным требованиям, программа карантина не позволяет подключиться к внутренней сети. Такой клиент изолируется до тех пор, пока не будут выполнены необходимые обновления. Полнофункциональный вариант карантинной технологии предусматривает автоматическую реализацию обновлений клиентской системы, подвергшейся изоляции.
Карантинные функции, реализованные в Windows 2003
В пакет Windows 2003, хотя и не обладающий полным набором интегрированных карантинных функций, тем не менее включены базовые элементы технологии NAP в лице «необкатанной» технологии под названием Network Access Quarantine Control. Технология предусматривает помещение клиентов, не отвечающих требованиям корпоративной политики безопасного пользования компьютерами, в карантин, ограничивающий их доступ к частной сети. Функция автоматизации в данном варианте технологии не реализована. Это означает необходимость самостоятельного выполнения таких действий, как составление сценариев оценки соответствия клиента требованиям политики доступа к сети, установка недостающих обновлений на проблемных клиентских системах и предоставление клиентам удаленного доступа к частной сети.
Если такая работа представляется слишком объемной, так только потому, что так оно и есть. Именно по этой причине так мало организаций развернули у себя технологию Network Access Quarantine Control. Несколько упростить схему организации карантина может недавно выпущенный Microsoft серверный продукт Internet Security and Acceleration (ISA) Server 2004. Однако появления полнофункционального варианта карантинной технологии NAP следует ожидать не ранее выхода R2.
Каким образом в R2 реализован повышенный уровень безопасности?
Реализованный в R2 вариант технологии NAP будет выполнять три основные функции. Это, во-первых, оценка соответствия клиентских систем требованиям корпоративной политики безопасности. Во-вторых, помещение проблемных клиентов в изолированную область сети с ограничением их прав гостевым доступом. И в-третьих, предоставление администратору простых инструментов графического интерфейса, которые помогут ему обеспечить соответствие клиентских систем установленным требованиям.
Как это обычно бывает у Microsoft, NAP не является обособленным продуктом. Компания работает с десятками партнеров, которые намерены расширить данную технологию в расчете на ее взаимодействие со своими продуктами. В частности, BindView, Citrix и HP планируют разработку продуктов, способных взаимодействовать с NAP и интегрируемых с R2 в той же степени, что и собственные продукты Microsoft (например, Systems Management Server-SMS). Таким образом, технология NAP будет способна работать с различными вариантами виртуальных частных сетей и антивирусными программами от независимых производителей.
Поль Тюрро — редактор новостей в Windows 2000 Magazine. Готовит еженедельные выпуски Windows 2000 Magazine UPDATE (http://www.win2000mag.net/email), а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com