Определение критериев соответствия требованиям безопасности и публикация настроек NAC

После установки в своем окружении поддержки LANDesk 802.1X NAC вы можете выполнять следующие задачи управления соответствием требованиям безопасности.

ПРИМЕЧАНИЕ: Дополнительные серверы, необходимые для LANDesk 802.1X NAC
Для функции управления сетевым доступом вы уже должны иметь установленный и сконфигурированный на консоли сервер исправления (или добавленный). Для функции 802.1X NAC необходим сервер 802.1X Radius. Для получения дополнительной информации см. соответственно разделы Настройка и конфигурация сервера исправления и Настройка сервера 802.1X Radius или прокси-сервера.

В этой главе вы изучите следующее:

• Определение критериев соответствия требованиям безопасности в утилите исправлений и проверки соответствия
• Использование группы соответствия (Compliance) для определения политики соответствия требованиям безопасности
• Публикация настроек NAC
• Использование страниц исправления
• Настройка страниц исправления

Другие задачи управления соответствием требованиям безопасности

Чтобы узнать о выполнении сканирования соответствия требованиям безопасности, а также о других задачах управления NAC, таких как обновление правил и политик соответствия требованиям безопасности на серверах проверки состояния и исправления, обновление ресурсов на серверах исправления, добавление неуправляемых устройств в утилите обнаружения неуправляемых устройств, просмотр задействованных устройств и конфигурация ведения журналов см. раздел Управление обеспечением безопасности для соответствия нормативам 802.1X NAC.

Определение критериев соответствия требованиям безопасности в утилите исправлений и проверки соответствия

Критерии соответствия требованиям безопасности определяются на основе следующих факторов:

• Данные обеспечения безопасности в группе соответствия (Compliance group) в утилите исправлений и проверки соответствия.
  
• Настройки времени автоматического помещения в карантин, которые задаются на странице поддержки LANDesk 802.1X при конфигурации агента.
  

См. далее соответствующие процедуры для каждой из этих задач. См. разделы Использование группы соответствия (Compliance) для определения политики соответствия требованиям безопасности и Публикация настроек NAC.

Подписка на данные обеспечения безопасности

У вас должна быть подписка на данные LANDesk Security Suite для того, чтобы иметь возможность получать различные типы данных обеспечения безопасности, такие как определения уязвимостей приложений и операционных систем (и необходимые исправления), определения шпионских программ, определения блокированных приложений, определения вирусов, определения проблем безопасности системных конфигураций и т.д.

Не имея лицензии Security Suite, вы не сможете получить доступ к услугам обеспечения безопасности и не сможете определить степень соответствия существующей безопасности этим определениям.

Получение определений типов требований безопасности

Для загрузки различных определений типов обеспечения безопасности, а именно определений уязвимостей, шпионских программ, антивирусов и проблем системной безопасности, используйте утилиту исправлений и проверки соответствия. Для получения дополнительной информации об использовании функций загрузки утилиты исправлений и проверки соответствия см. раздел Загрузка обновлений данных безопасности.

Использование группы соответствия (Compliance) для определения политики соответствия требованиям безопасности

Как уже было сказано ранее, данные группы соответствия определяют основы политики соответствия требованиям безопасности. Вы можете иметь минимальные соответствия требованиям безопасности, основанные лишь на нескольких определениях уязвимостей и угрозах для систем, или создать сложную, ограниченную политику, основанную на множестве определений безопасности. Также вы можете в любое время изменять политику соответствия требованиям безопасности, добавляя или удаляя из нее определения, указанные в группе соответствия (Compliance).

ПРИМЕЧАНИЕ: Права, необходимые для исправления и проверки соответствия
Только администратор или пользователь с правом на исправления и проверку соответствия может добавлять или удалять определения из группы соответствия (Compliance).

Следующие типы данных обеспечения безопасности могут быть добавлены в группу соответствия для определения политики соответствия требованиям безопасности:

• Определения антивируса
• Пользовательские определения
• Определения обновлений драйверов
• Определения обновлений программного обеспечения LANDesk
• Определения угроз безопасности (включая определения брандмауэра)
• Определения обновлений программного обеспечения
• Определения шпионских программ
• Уязвимости (определения уязвимостей приложений и ОС)

ПРИМЕЧАНИЕ: Вы не можете добавлять определения блокированных программ в группу соответствия для установки политик соответствия требованиям безопасности.

Для добавления определений безопасности в группу соответствия

1. В утилите Исправления и проверка соответствия (Patch and Compliance) в раскрывающемся списке для данных безопасности выберите Тип (Type), который нужно добавить в политику соответствия требованиям безопасности, и затем переместите определения в группу Соответствие (Compliance).
   
   
   
   
2. Или щелкните правой кнопкой мыши каждое определение или выберите группу определений и щелкните Добавить в группу "Соответствие" (Add to compliance group).
3. Перед публикацией данных NAC на серверах проверки состояния и исправления убедитесь в загрузке всех необходимых и связанных с этими данными исправлений. Вы можете щелкнуть определение правой кнопкой мыши, выбрать группу определений или саму группу Соответствие (Compliance), а затем щелкнуть Загрузка связанных исправлений (Download associated patches) для получения необходимых исправлений и исправления задействованных устройств.

Публикация настроек NAC

Во время публикации настроек NAC на серверы проверки состояния и исправления отправляется информация, необходимая для выполнения процесса проверки и исправления для обеспечения требуемого соответствия безопасности.

Для публикации настроек NAC с консоли вы должны иметь хотя бы один сервер исправления и установленную учетную запись пользователя.

ПРИМЕЧАНИЕ: Первоначальная публикация должна содержать все настройки
Во время самой первой публикации настроек NAC на серверах проверки состояния и исправления необходимо добавить все настройки NAC, включая данные NAC и файлы инфраструктуры (см. далее информацию об этих файлах). Последующие публикации могут содержать только данные NAC или правила соответствия. Обычно файлы инфраструктуры должны быть опубликованы на серверах исправления только один раз.

Для публикации настроек NAC

1. Вы можете открыть диалог Публикация настроек NAC (Publish NAC settings) и опубликовать настройки из нескольких расположений с помощью утилиты управления доступом к сети. Например, можно щелкнуть правой кнопкой мыши объект Управление сетевым доступом (Network Access Control) или группу Соответствие (Compliance), а затем щелкнуть Публикация (Publish). Также можно использовать кнопку Публикация (Publish) в диалогах Конфигурация NAC (Configure NAC) и Конфигурация сервера исправления (Configure remediation server). Кроме того, можно на панели инструментов установить параметр Публикация настроек NAC (Publish NAC settings).
   
   
   
   
2. Для единовременной публикации всех настроек NAC, включая данные NAC и файлы инфраструктуры на всех серверах проверки состояния и исправления, установите параметр Все (All) и щелкните OK.
3. Если нужно опубликовать только данные NAC (определения безопасности, настройки NAC или правила соответствия и связанные с ними исправления) на серверах проверки состояния и исправления, установите параметр Данные NAC (NAC content) и щелкните OK.
4. Если нужно опубликовать только файлы инфраструктуры (сканер безопасности клиентов, файлы установки доверенных агентов и страницы HTML для серверов исправлений), установите параметр Инфраструктура (Infrastructure) и щелкните OK. (Обычно файлы инфраструктуры публикуются на серверах исправления только один раз.)

Информация о диалоге окне "Публикация настроек NAC" (Publish NAC settings)

Этот диалог используется для публикации настроек NAC на серверах проверки состояния и для публикации настроек исправления (ресурсов) на серверах исправлений в вашей сети.

• Все (All): Публикация данных NAC и файлов инфраструктуры на соответствующих серверах.
• Данные NAC (NAC content): Публикация данных NAC и настроек, установленных в утилите исправлений и проверки соответствия для всех серверов проверки состояния и серверов исправления, которые добавлены в вашу сеть.
  Важно! Для публикации данных NAC в сети необходимо иметь не менее одного сервера проверки состояния.
  
  Данные NAC содержат сведения об уязвимостях и другие типы определений безопасности, которые в настоящий момент находятся в группе Соответствие (Compliance) в утилите исправления и проверки соответствия, а также настройки NAC, такие как настройки проверки рабочего состояния, уровни ведения журналов и т.д., которые устанавливаются в диалоге Конфигурация настроек NAC (Configure NAC settings). Определения безопасности, настройки проверки рабочего состояния и уровни ведения журналов публикуются на серверах проверки состояния, а связанные файлы исправлений - на серверах исправления (на основании данных группы соответствия во врем выполнения публикаций).
  (ПРИМЕЧАНИЕ. Если вы измените данные группы Соответствие (Compliance) или настройки NAC в диалоге Конфигурация NAC (Configure NAC), вы должны повторно опубликовать эти данные на своих серверах.)
  
  
• Инфраструктура: Публикация ресурсов исправления на всех серверах исправления, которые были добавлены в сеть.
• • Файлы установки и поддержки: Файлы установки и поддержки представляют сканер безопасности клиентов и установку доверенных агентов. Сканер безопасности клиентов выполняет сканирование и исправление безопасности на устройствах.
  • Страницы HTML: Представляют собой HTML-страницы шаблонов, которые обслуживаются серверами исправления вместе в установленными доверенными агентами, которые осуществляют доступ к корпоративной сети. Эти страницы представляют для пользователей информацию об ограничении доступа к сети или об исправлении их компьютеров для приведения в соответствие с требованиями политики безопасности и о получении полного доступа к корпоративной сети. Данные страницы HTML представляют собой изменяемые шаблоны. (ПРИМЕЧАНИЕ. Обычно файлы инфраструктуры должны быть опубликованы на серверах исправления только один раз. В отличие от данных NAC (критерии соответствия) эти файлы не нужно публиковать каждый раз после изменения политики соответствия требованиям безопасности.)

Использование страниц исправления

Страницы исправления NAC являются файлами HTML, которые публикуются на серверах исправления с консоли утилиты публикации настроек NAC. Эти страницы исправления являются частью набора файлов инфраструктуры исправления. Обычно эти файлы должны быть опубликованы на серверах исправления только один раз.

Файлы HTML находятся в следующей папке на главном сервере:

ManagementSuite\Install\TrustedAccess\RemediationServer

Страницы HTML - это шаблоны, которые необходимо изменить для приведения в соответствие с требованиями вашей политики безопасности. Для получения информации о настройке страниц HTML см. раздел Настройка страниц исправления.

В следующих разделах описывается назначение каждой из страниц HTML.

Страница нормального состояния (Healthy status)

Эта страница HTML используется для информирования корпоративного конечного пользователя на подключенном к сети устройстве, что устройство было проверено и находится в нормальном состоянии в соответствии с используемыми учетными данными политики безопасности и ему предоставлен полный доступ к корпоративной сети.

Имя HTML-страницы: Healthy.html

Страница нормального рабочего состояния отображается только при переходе устройства из опасного в нормальное состояние. Она не отображается каждый раз во время нахождения в нормальном состоянии.

URL-адрес этой страницы на сервере исправления должен быть введен в поле URL-адрес рабочего состояния (Healthy URL) во время конфигурации сервера исправления.

Страница состояния посетителя (First time visitor)

Эта страница HTML используется для информирования посетителя корпоративной сети о том, что в сети выполняется проверка соответствия или обеспечивается безопасность сетевого доступа и посетителю предоставляется только доступ для выхода в Интернет или данный компьютер будет просканирован на определение уязвимостей или других рисков безопасности с последующим необходимым исправлением для разрешения доступа к корпоративной сети. Ссылки, находящиеся на этой HTML-странице, предназначены только для выхода в Интернет или для получения и установки программного обеспечения, необходимого для сканирования и исправления компьютера для предоставления полного ему доступа к корпоративной сети.

Имя страницы: Visitor.html

На этой странице находятся ссылки, которые обеспечивают пользователю выход в Интернет или загружают необходимое программное обеспечение исправления для проверки компьютера, его исправления, повторного сканирования и предоставления полного доступа к сети.

URL-адрес этой страницы на сервере исправления должен быть введен в поле URL-адрес для посетителя (First time visitor's URL) во время конфигурации сервера исправления.

Страница опасного состояния сотрудника (Unhealthy employee)

Эта страница HTML используется для информирования конечного пользователя подключенного устройства о том, что данный компьютер был просканирован и не соответствует одному или нескольким требованиям политики безопасности, и поэтому рассматривается как опасный с последующим запрещением доступа к сети. Сетевой администратор может изменить эту HTML-страницу, чтобы на ней отображались уязвимости и другие нарушения безопасности, обнаруженные на устройстве, а также инструкции для их исправления. После исправления устройства конечный пользователь может снова войти в сеть для запроса доступа.

Имя страницы: FailedEmployee.html

URL-адрес этой страницы на сервере исправления должен быть введен в поле Опасность пользователя при подключении к URL-адресу (Employee's failed to connect URL) во время конфигурации сервера исправления.

Страница опасного состояния посетителя (Unhealthy visitor)

Эта страница HTML используется для информирования посетителя корпоративной сети о том, что данный компьютер был просканирован и не соответствует одному или нескольким требованиям политики безопасности, и поэтому для него запрещен доступ к корпоративной сети. Подобно странице опасного состояния для сотрудника, сетевой администратор может изменить эту HTML-страницу, чтобы на ней отображались уязвимости и другие нарушения безопасности, обнаруженные на устройстве, а также инструкции для их исправления. После исправления устройства посетитель должен щелкнуть на рабочем столе значок сканирования безопасности для запроса сетевого доступа.

Имя страницы: FailedVisitor.html

URL-адрес этой страницы на сервере исправления должен быть введен в поле Опасность посетителя при подключении к URL-адресу (Visitor's failed to connect URL) во время конфигурации сервера исправления.

Настройка страниц исправления

Как уже упоминалось ранее HTML-страницы исправления представляют собой шаблоны, которые могут быть изменены вручную для приведения в соответствие с требованиями вашей безопасности и политик.

Для изменения HTML-файлов можно воспользоваться HTML-редактором. Вы можете изменить существующий текст для добавления полезной информации о своей корпоративной сети и вставить разделы HTML DIV для определений безопасности, которые входят в политику соответствия требованиям безопасности (например, определения, содержащиеся в группе Соответствие (Compliance) в утилите исправлений и проверки соответствия).

Не забудьте о том, что если вы измените файл HTML на главном сервере уже после его публикации на серверах исправления, вы должны будете еще раз опубликовать его на серверах исправления перед тем, как использовать на подключенных к сети устройствах (выберите Страницы HTML (HTML pages) в группе Инфраструктура (Infrastructure) в диалоге Публикация настроек NAC (Publish NAC settings)).

Добавление разделов DIV для динамического отображения не прошедших проверку определений

Это в особенности полезно для корпоративных конечных пользователей, а также для посетителей вашей сети, если вы настроите страницы обнаруженных нарушений, чтобы все они могли увидеть проблемы безопасности, которые существуют на их компьютерах, а также конкретные действия, которые необходимо предпринять для устранения проблем, чтобы после повторного сканирования, устройства оказались безопасны и им можно было разрешить доступ к сети.

Эти страницы созданы для динамического отображения данных после обнаружения уязвимостей, которые не могут быть исправлены сканером утилиты исправлений. Иными словами, если на устройстве конечного пользователя после сканирования будут обнаружены уязвимости или другие проблемы безопасности (такие как угрозы для системной конфигурации, шпионские программы и пр.), и задание исправление завершилось неудачно (или устройство представляет опасность), на странице HTML можно отобразить конкретные определения безопасности вместе с присвоенными им идентификаторами и другой дополнительной информацией, которая предложит конечному пользователю действия по устранению проблемы в дополнение к добавлению системным администратором раздела DIV для данного определения нарушения безопасности (см. далее пример раздела DIV). Если исправление окажется неудачным для определения безопасности, и это определение не имеет соответствующего раздела DIV в файле HTML, в браузере пользователя устройства не будет отображено никакой информации, относящейся к этому определению.

Для настройки HTML-страницы

1. Откройте файл HTML в HTML-редакторе.
2. Измените любой существующий текст шаблона для указания подробной информации для конечных пользователей (сотрудники и посетители), которая должна отображаться во время их входа в корпоративную сеть.
3. Для завершающихся с ошибкой страниц HTML добавьте в код HTML разделы DIV (используйте примеры разделов DIV в качестве шаблонов) для определений данных безопасности, которые были указаны в группе соответствия (Compliance), установленной в политике соответствия требованиям безопасности.
   Не требуется добавлять разделы DIV для каждого определения безопасности, но только добавленные разделы DIV файлов HTML будут отображаться в случае обнаружения проблем и невозможности их исправления во время сканирования безопасности. См. далее пример записи DIV.
   Вы можете добавить действия, необходимые для устранения проблемы, ссылки на сайты загрузки программного обеспечения или другую информацию, которая может помочь пользователю в разрешении ситуации.
4. Сохраните изменения.
5. Опубликуйте еще раз измененные страницы HTML на своих серверах исправления.

Пример записи DIV в завершившемся с ошибкой файле HTML (опасное состояние)

Далее представлен пример текста, который может отображаться в браузере, если устройство не пройдет проверку соответствия требованиям безопасности и будет определено как опасное. Этот пример содержит тексте шаблона, который был взят из завершившихся с ошибкой файлов проверки, и представляет определения, которые не удалось исправить.

Автообновление Windows (ST000003):

Действие 1: Щелкните "Пуск"

Действие 2: Щелкните "Панель управления"

Действие 3: Откройте "Центр обновления..."

Действие 4: Щелкните "Автоматически"

Действие 5: Щелкните OK.

Антивирусное программное обеспечение отсутствует (AV-100): Щелкните здесь для установки клиента антивируса Symantec

Далее представлен действительный код HTML:

<div style="display:block;clear:both;">&nbsp;</div>

<div id="ttip">

<p>

<ul>

<li>Действие 1: Щелкните "Пуск"</li>

<li>Действие 2: Щелкните "Панель управления"</li>

<li>Действие 3: Откройте "Центр обновления..."</li>

<li>Действие 4: Щелкните "Автоматически"</li>

<li>Действие 5: Щелкните OK</li>

</ul>

</p>

</div>

<div id="ttip">

<p>

<strong>Антивирусное программное обеспечение отсутствует (AV-100):</strong>&nbsp;<a href="symantec.exe"><strong>Щелкните здесь</strong></a> для установки клиента антивируса Symantec

</p>

</div>

Поиск и вставка идентификаторов определений

Определение безопасности идентифицируется следующим кодом в файле HTML:

<div id="ttip">

Где "ttip" - это действительный идентификатор определения безопасности. Идентификатор определения можно найти на странице свойств "Служба исправлений и проверки соответствия" (Patch and Compliance). Вводите идентификатор так же, как он отображается в свойствах определения.

Если исправление конкретного определения нарушения безопасности завершится с ошибкой, данные раздела DIV будут динамически обновлены в браузере пользователя данными о том, как устранить проблему (в дополнение к введенной вами информации).