После установки в своем окружении поддержки LANDesk 802.1X NAC вы можете выполнять следующие задачи управления соответствием требованиям безопасности.
ПРИМЕЧАНИЕ:
Дополнительные серверы, необходимые для LANDesk 802.1X
NAC
Для функции управления сетевым доступом вы уже должны иметь
установленный и сконфигурированный на консоли сервер исправления
(или добавленный). Для функции 802.1X NAC необходим сервер 802.1X
Radius. Для получения дополнительной информации см. соответственно
разделы Настройка и
конфигурация сервера исправления и Настройка
сервера 802.1X Radius или прокси-сервера.
В этой главе вы изучите следующее:
Чтобы узнать о выполнении сканирования соответствия требованиям безопасности, а также о других задачах управления NAC, таких как обновление правил и политик соответствия требованиям безопасности на серверах проверки состояния и исправления, обновление ресурсов на серверах исправления, добавление неуправляемых устройств в утилите обнаружения неуправляемых устройств, просмотр задействованных устройств и конфигурация ведения журналов см. раздел Управление обеспечением безопасности для соответствия нормативам 802.1X NAC.
Критерии соответствия требованиям безопасности определяются на основе следующих факторов:
См. далее соответствующие процедуры для каждой из этих задач. См. разделы Использование группы соответствия (Compliance) для определения политики соответствия требованиям безопасности и Публикация настроек NAC.
У вас должна быть подписка на данные LANDesk Security Suite для того, чтобы иметь возможность получать различные типы данных обеспечения безопасности, такие как определения уязвимостей приложений и операционных систем (и необходимые исправления), определения шпионских программ, определения блокированных приложений, определения вирусов, определения проблем безопасности системных конфигураций и т.д.
Не имея лицензии Security Suite, вы не сможете получить доступ к услугам обеспечения безопасности и не сможете определить степень соответствия существующей безопасности этим определениям.
Для загрузки различных определений типов обеспечения безопасности, а именно определений уязвимостей, шпионских программ, антивирусов и проблем системной безопасности, используйте утилиту исправлений и проверки соответствия. Для получения дополнительной информации об использовании функций загрузки утилиты исправлений и проверки соответствия см. раздел Загрузка обновлений данных безопасности.
Как уже было сказано ранее, данные группы соответствия определяют основы политики соответствия требованиям безопасности. Вы можете иметь минимальные соответствия требованиям безопасности, основанные лишь на нескольких определениях уязвимостей и угрозах для систем, или создать сложную, ограниченную политику, основанную на множестве определений безопасности. Также вы можете в любое время изменять политику соответствия требованиям безопасности, добавляя или удаляя из нее определения, указанные в группе соответствия (Compliance).
ПРИМЕЧАНИЕ: Права,
необходимые для исправления и проверки
соответствия
Только администратор или пользователь с правом на исправления и
проверку соответствия может добавлять или удалять определения из
группы соответствия (Compliance).
Следующие типы данных обеспечения безопасности могут быть добавлены в группу соответствия для определения политики соответствия требованиям безопасности:
ПРИМЕЧАНИЕ: Вы не можете добавлять определения блокированных программ в группу соответствия для установки политик соответствия требованиям безопасности.
Во время публикации настроек NAC на серверы проверки состояния и исправления отправляется информация, необходимая для выполнения процесса проверки и исправления для обеспечения требуемого соответствия безопасности.
Для публикации настроек NAC с консоли вы должны иметь хотя бы один сервер исправления и установленную учетную запись пользователя.
ПРИМЕЧАНИЕ:
Первоначальная публикация должна содержать все
настройки
Во время самой первой публикации настроек NAC на серверах проверки
состояния и исправления необходимо добавить все настройки
NAC, включая данные NAC и файлы инфраструктуры (см. далее
информацию об этих файлах). Последующие публикации могут содержать
только данные NAC или правила соответствия. Обычно файлы
инфраструктуры должны быть опубликованы на серверах исправления
только один раз.
Этот диалог используется для публикации настроек NAC на серверах проверки состояния и для публикации настроек исправления (ресурсов) на серверах исправлений в вашей сети.
Страницы исправления NAC являются файлами HTML, которые публикуются на серверах исправления с консоли утилиты публикации настроек NAC. Эти страницы исправления являются частью набора файлов инфраструктуры исправления. Обычно эти файлы должны быть опубликованы на серверах исправления только один раз.
Файлы HTML находятся в следующей папке на главном сервере:
ManagementSuite\Install\TrustedAccess\RemediationServer
Страницы HTML - это шаблоны, которые необходимо изменить для приведения в соответствие с требованиями вашей политики безопасности. Для получения информации о настройке страниц HTML см. раздел Настройка страниц исправления.
В следующих разделах описывается назначение каждой из страниц HTML.
Эта страница HTML используется для информирования корпоративного конечного пользователя на подключенном к сети устройстве, что устройство было проверено и находится в нормальном состоянии в соответствии с используемыми учетными данными политики безопасности и ему предоставлен полный доступ к корпоративной сети.
Имя HTML-страницы: Healthy.html
Страница нормального рабочего состояния отображается только при переходе устройства из опасного в нормальное состояние. Она не отображается каждый раз во время нахождения в нормальном состоянии.
URL-адрес этой страницы на сервере исправления должен быть введен в поле URL-адрес рабочего состояния (Healthy URL) во время конфигурации сервера исправления.
Эта страница HTML используется для информирования посетителя корпоративной сети о том, что в сети выполняется проверка соответствия или обеспечивается безопасность сетевого доступа и посетителю предоставляется только доступ для выхода в Интернет или данный компьютер будет просканирован на определение уязвимостей или других рисков безопасности с последующим необходимым исправлением для разрешения доступа к корпоративной сети. Ссылки, находящиеся на этой HTML-странице, предназначены только для выхода в Интернет или для получения и установки программного обеспечения, необходимого для сканирования и исправления компьютера для предоставления полного ему доступа к корпоративной сети.
Имя страницы: Visitor.html
На этой странице находятся ссылки, которые обеспечивают пользователю выход в Интернет или загружают необходимое программное обеспечение исправления для проверки компьютера, его исправления, повторного сканирования и предоставления полного доступа к сети.
URL-адрес этой страницы на сервере исправления должен быть введен в поле URL-адрес для посетителя (First time visitor's URL) во время конфигурации сервера исправления.
Эта страница HTML используется для информирования конечного пользователя подключенного устройства о том, что данный компьютер был просканирован и не соответствует одному или нескольким требованиям политики безопасности, и поэтому рассматривается как опасный с последующим запрещением доступа к сети. Сетевой администратор может изменить эту HTML-страницу, чтобы на ней отображались уязвимости и другие нарушения безопасности, обнаруженные на устройстве, а также инструкции для их исправления. После исправления устройства конечный пользователь может снова войти в сеть для запроса доступа.
Имя страницы: FailedEmployee.html
URL-адрес этой страницы на сервере исправления должен быть введен в поле Опасность пользователя при подключении к URL-адресу (Employee's failed to connect URL) во время конфигурации сервера исправления.
Эта страница HTML используется для информирования посетителя корпоративной сети о том, что данный компьютер был просканирован и не соответствует одному или нескольким требованиям политики безопасности, и поэтому для него запрещен доступ к корпоративной сети. Подобно странице опасного состояния для сотрудника, сетевой администратор может изменить эту HTML-страницу, чтобы на ней отображались уязвимости и другие нарушения безопасности, обнаруженные на устройстве, а также инструкции для их исправления. После исправления устройства посетитель должен щелкнуть на рабочем столе значок сканирования безопасности для запроса сетевого доступа.
Имя страницы: FailedVisitor.html
URL-адрес этой страницы на сервере исправления должен быть введен в поле Опасность посетителя при подключении к URL-адресу (Visitor's failed to connect URL) во время конфигурации сервера исправления.
Как уже упоминалось ранее HTML-страницы исправления представляют собой шаблоны, которые могут быть изменены вручную для приведения в соответствие с требованиями вашей безопасности и политик.
Для изменения HTML-файлов можно воспользоваться HTML-редактором. Вы можете изменить существующий текст для добавления полезной информации о своей корпоративной сети и вставить разделы HTML DIV для определений безопасности, которые входят в политику соответствия требованиям безопасности (например, определения, содержащиеся в группе Соответствие (Compliance) в утилите исправлений и проверки соответствия).
Не забудьте о том, что если вы измените файл HTML на главном сервере уже после его публикации на серверах исправления, вы должны будете еще раз опубликовать его на серверах исправления перед тем, как использовать на подключенных к сети устройствах (выберите Страницы HTML (HTML pages) в группе Инфраструктура (Infrastructure) в диалоге Публикация настроек NAC (Publish NAC settings)).
Это в особенности полезно для корпоративных конечных пользователей, а также для посетителей вашей сети, если вы настроите страницы обнаруженных нарушений, чтобы все они могли увидеть проблемы безопасности, которые существуют на их компьютерах, а также конкретные действия, которые необходимо предпринять для устранения проблем, чтобы после повторного сканирования, устройства оказались безопасны и им можно было разрешить доступ к сети.
Эти страницы созданы для динамического отображения данных после обнаружения уязвимостей, которые не могут быть исправлены сканером утилиты исправлений. Иными словами, если на устройстве конечного пользователя после сканирования будут обнаружены уязвимости или другие проблемы безопасности (такие как угрозы для системной конфигурации, шпионские программы и пр.), и задание исправление завершилось неудачно (или устройство представляет опасность), на странице HTML можно отобразить конкретные определения безопасности вместе с присвоенными им идентификаторами и другой дополнительной информацией, которая предложит конечному пользователю действия по устранению проблемы в дополнение к добавлению системным администратором раздела DIV для данного определения нарушения безопасности (см. далее пример раздела DIV). Если исправление окажется неудачным для определения безопасности, и это определение не имеет соответствующего раздела DIV в файле HTML, в браузере пользователя устройства не будет отображено никакой информации, относящейся к этому определению.
Далее представлен пример текста, который может отображаться в браузере, если устройство не пройдет проверку соответствия требованиям безопасности и будет определено как опасное. Этот пример содержит тексте шаблона, который был взят из завершившихся с ошибкой файлов проверки, и представляет определения, которые не удалось исправить.
Автообновление Windows (ST000003):
Действие 1: Щелкните "Пуск"
Действие 2: Щелкните "Панель управления"
Действие 3: Откройте "Центр обновления..."
Действие 4: Щелкните "Автоматически"
Действие 5: Щелкните OK.
Антивирусное программное обеспечение отсутствует (AV-100): Щелкните здесь для установки клиента антивируса Symantec
Далее представлен действительный код HTML:
<div style="display:block;clear:both;"> </div>
<div id="ttip">
<p>
<ul>
<li>Действие 1: Щелкните "Пуск"</li>
<li>Действие 2: Щелкните "Панель управления"</li>
<li>Действие 3: Откройте "Центр обновления..."</li>
<li>Действие 4: Щелкните "Автоматически"</li>
<li>Действие 5: Щелкните OK</li>
</ul>
</p>
</div>
<div id="ttip">
<p>
<strong>Антивирусное программное обеспечение отсутствует (AV-100):</strong> <a href="symantec.exe"><strong>Щелкните здесь</strong></a> для установки клиента антивируса Symantec
</p>
</div>
Определение безопасности идентифицируется следующим кодом в файле HTML:
<div id="ttip">
Где "ttip" - это действительный идентификатор определения безопасности. Идентификатор определения можно найти на странице свойств "Служба исправлений и проверки соответствия" (Patch and Compliance). Вводите идентификатор так же, как он отображается в свойствах определения.
Если исправление конкретного определения нарушения безопасности завершится с ошибкой, данные раздела DIV будут динамически обновлены в браузере пользователя данными о том, как устранить проблему (в дополнение к введенной вами информации).