Управление сетевым доступом (NAC) требует наличия сервера
исправления для устранения проблем уязвимых или инфицированных
устройств. Сервер исправления необходим там, где существует
устройство, состояние которого обнаружено, как опасное и оно
направляется для исправления (устранения проблем) с тем, чтобы оно
отвечало требованиям правил соответствия, которые были
сконфигурированы для безопасного состояния.
Сервер исправлений необходим там, где требуется опубликовать
ресурсы исправлений, такие как клиенты безопасности, используемые
для сканирования уязвимостей и других рисков на устройствах, файлы
исправлений и страницы HTML, отображаемые на устройствах с
информацией и возможных исправлениях или об ограничении сетевого
доступа.
Компьютер, на котором будет установлен сервер исправлений,
должен удовлетворять следующим требованиям
Сервер исправлений может быть любым типом
web-сервера, таким как IIS для Windows или Apache для Linux.
На сервере исправления необходимо создать общий
web-ресурс, который будет использоваться для анонимного доступа с
правами чтения и просмотра для браузера. Для получения подробных
инструкций см. раздел Создание и конфигурация общего
web-ресурса на сервере исправления.
ВАЖНО: Если вы
используете web-сервер Apache для Linux, общий ресурс должен быть
ресурсом Samba.
Определение местоположения
сервера в сети
При выборе местоположения сервера исправления в сети необходимо
следовать следующим правилам.
Сервер исправления может располагаться с любой
стороны от маршрутизатора.
Если он будет находится на клиентской стороне, он
будет более защищен, и вам не придется делать никаких исключений в
правилах маршрутизации, но вам придется вручную открыть все файлы
исправления после каждого их изменения на компьютере.
Если вы поместите сервер с другой стороны от
маршрутизатора, тогда появится риск доступа находящихся в карантине
компьютеров к другим компьютерам в сети, но вы сможете отправлять
на сервер файлы исправлений без необходимости открывать их
вручную.
Сервер исправлений должен быть доступен из
виртуальной сети исправления.
В сети может быть несколько серверов
исправления.
Вы можете просмотреть рисунки расположения компонентов и
выполнения процессов LANDesk 802.1X NAC в разделе обзора
системы.
Создание и конфигурация общего
web-ресурса на сервере исправления
Эта процедура автоматизирована с помощью сценария, который
находится на главном сервере и выполняется на компьютере, который
должен стать сервером исправления.
Общий web-ресурс, созданный на сервере исправления, работает как
область хранения для исполнимых файлов исправлений, используемых
для устранения уязвимостей на инфицированных устройствах. Когда вы
публикуете файлы инфраструктуры или ресурсы исправления (например,
клиент безопасности, файлы исправлений и файлы HTML из главного
сервера), эти файлы копируются на общий web-ресурс.
ВАЖНО: Web-ресурс
должен иметь имя - LDLogon. Этот ресурс может быть создан на
web-сервере в любом месте. Обычно путь выглядит так:
C:\Inetpub\wwwroot\LDLogon. Однако общий ресурс может быть создан с
любым путем, поскольку URL-адрес выполнит перенаправление к папке:
http://servername/LDLogon.
После запуска сценария для создания и конфигурации общего
web-ресурса на консоли нужно будет добавить сервер исправления и
указать путь к общем ресурсу (подробные инструкции см. в разделе
Конфигурация (добавление) сервера исправления на
консоли). Это гарантирует, что главный сервер сможет
публиковать ресурсы исправления в нужном месте сервера
исправления.
Для выполнения сценария конфигурации сервера исправления
На компьютере, который будет сервером исправления,
назначьте диск для папки на главном сервере:
LDMain\Install\TrustedAccess\RemediationServer.
Дважды щелкните сценарий установки
CONFIGURE.REMEDIATION.SERVER.VBS.
Сценарий конфигурации сервера исправления автоматически настроит
сервер для выполнения исправления после выполнения:
Создание общего web-ресурса с именем LDLogon (обычно)
в папке: c:\inetpub\wwwroot\LDLogon.
Разрешение анонимного доступа к общему ресурсу
LDLogon с правами чтения, записи и просмотра.
Добавление типа MIME для файлов .lrd и его настройка
для application/octet-stream (прикладной/октет-поток)
(прикладной/двоичный).
ПРИМЕЧАНИЕ: Также
можно воспользоваться средством Microsoft IIS для конфигурации
разрешений доступа к общему ресурсу LDLogon и типов MIME.
Теперь можно добавить сервер исправления на консоли.
Конфигурация
(добавление) сервера исправления на консоли
После установки сервера исправления необходимо его
сконфигурировать и добавить в список серверов исправлений на
консоли в диалоге Настройка серверов исправления (Configure
remediation servers). После этого сервер исправления будет опознан
в сети и сможет взаимодействовать с другими компонентами решения
NAC.
Для конфигурации и добавления серверов исправления на
консоли
В утилите Управление доступом в сеть (Network
Access Control) щелкните правой кнопкой мыши 802.1X, а затем
щелкните Конфигурация 802.1X (Configure 802.1X).
На странице Серверы исправления (Remediation
servers) щелкните Добавить (Add). Появится диалог Имя
сервера исправления и учетные данные (Remediation server name
and credentials).
Введите имя сервера исправления или его
IP-адрес.
Введите путь к общему web-ресурсу (на web-сервере,
который работает как сервер исправления), в котором нужно будет
публиковать файлы соответствия. Общий web-ресурс должен иметь имя
LDLogon. Файлы соответствия - это определения безопасности, которые
устанавливают требования политики безопасности (например, данные
группы Соответствие (Compliance) в утилите исправлений и
проверки соответствия, а также необходимые файлы исправлений,
используемые для устранения уязвимостей).
Вы можете указать путь UNC или путь назначенного диска. Путь UNC
наиболее надежен, так как назначенный диск может измениться (см.
примечание далее). Затем нажмите кнопку Обзор (Browse) для
перехода к общему ресурсу, где нужно опубликовать файлы
соответствия на сервере исправления.
Важно! Если вы укажете локальный путь или назначенный диск в
поле Расположение для копирования файлов соответствия
(Location to copy compliance files), файлы будут опубликованы на
локальном компьютере или на указанном назначенном диске компьютера,
на котором начато действие публикации. Чтобы гарантировать то, что
файлы соответствия опубликованы в одном месте на каждом сервере
исправления в сети, рекомендуется использовать путь UNC для общего
сетевого ресурса.
Введите действительное имя пользователя и пароль для
доступа к серверу исправления.
Если вы конфигурируете более одного сервера
исправления, можно выбрать сервер из раскрывающегося списка.
Если нужно сконфигурировать сервер исправления в
другой сети для устройств, которые перемещаются между доверенными
сетями, создайте пакет установки (MSI).
Нажмите OK, чтобы добавить этот сервер
исправления в список.
Теперь можно публиковать на сервере файлы инфраструктуры (наряду
с настроенным сервером проверки состояния и учетных данных
пользователя).
Описание
диалога "Имя сервера исправления и учетные данные" (Remediation
server name and credentials)
Этот диалог используется для идентификации сервера исправления и
выбора пути к общему web-ресурсу на сервере исправления для
публикации ресурсов (клиентов безопасности, файлов исправлений и
страниц HTML).
Имя сервера исправления или IP-адрес (Remediation
server name or IP address): Идентифицирует сервер исправления
по его IP-адресу или имени узла.
Расположение для копирования файлов соответствия
(Location to copy compliance files): Определяет полный путь к
общему web-ресурсу, расположенному на сервере исправления, где
выполняется публикация файлов из главного сервера. Общий web-ресурс
должен иметь имя - LDLogon. Путь может быть либо путем UNC, либо
назначенным диском (или локальным путем). Рекомендуется
использовать путь UNC (см. выше важное примечание).
Обзор (Browse): Открывает окно локального
Проводника Windows для перехода по пути общего ресурса -
LDLogon.
Имя пользователя (User name): Определяет
действительное имя пользователя с учетными данными для общего
web-ресурса на сервере исправления.
Подтвердите пароль (Confirm password):
Выполняет проверку пароля пользователя.
ОК: Сохраняет настройки сервера исправления и
добавляет его в список в диалоге конфигурации серверов
исправления.
Выберите резервный сервер исправления (Select
backup remediation server): Если вы конфигурируете более одного
сервера исправления, можно выбрать сервер из раскрывающегося
списка.
Создать пакет MSI сервера исправления для клиентов
роуминга (Generate remediation MSI package for roaming client):
Используйте этот параметр для создания установочного пакета (MSI),
который может использоваться для конфигурации сервера исправления в
другой сети, для портативных устройств, которые перемещаются между
доверенными сетями.
Отмена (Cancel): Закрывает диалог без
сохранения настроек и без добавления сервера в список серверов
исправления.
Следующие действия:
публикация файлов инфраструктуры исправления для серверов
исправления
Следующим действием по настройке и конфигурации и сервера
исправления является публикация из главного сервера ресурсов
инфраструктуры на сервере исправления. Ресурсы инфраструктуры
исправления включают:
Клиент безопасности (утилита сканирования
уязвимостей)
Исправления, связанные уязвимостями, указанными в
группе "Соответствие" (Compliance)
Страницы HTML, содержащие ссылки и позволяющие
конечным пользователям устанавливать доверенные агенты, выполнять
сканирования на соответствие требованиям безопасности и устранять
уязвимости и другие обнаруженные проблемы безопасности.
Перед публикацией ресурсов на серверах исправления вы должны
сначала создать критерий соответствия безопасности в утилите
исправлений и проверки соответствия.