Настройка и конфигурация сервера исправления

Управление сетевым доступом (NAC) требует наличия сервера исправления для устранения проблем уязвимых или инфицированных устройств. Сервер исправления необходим там, где существует устройство, состояние которого обнаружено, как опасное и оно направляется для исправления (устранения проблем) с тем, чтобы оно отвечало требованиям правил соответствия, которые были сконфигурированы для безопасного состояния.

Сервер исправлений необходим там, где требуется опубликовать ресурсы исправлений, такие как клиенты безопасности, используемые для сканирования уязвимостей и других рисков на устройствах, файлы исправлений и страницы HTML, отображаемые на устройствах с информацией и возможных исправлениях или об ограничении сетевого доступа.

В этой главе вы изучите следующее:

Требования для сервера исправления

Компьютер, на котором будет установлен сервер исправлений, должен удовлетворять следующим требованиям

ВАЖНО: Если вы используете web-сервер Apache для Linux, общий ресурс должен быть ресурсом Samba.

Определение местоположения сервера в сети

При выборе местоположения сервера исправления в сети необходимо следовать следующим правилам.

Вы можете просмотреть рисунки расположения компонентов и выполнения процессов LANDesk 802.1X NAC в разделе обзора системы.

Создание и конфигурация общего web-ресурса на сервере исправления

Эта процедура автоматизирована с помощью сценария, который находится на главном сервере и выполняется на компьютере, который должен стать сервером исправления.

Общий web-ресурс, созданный на сервере исправления, работает как область хранения для исполнимых файлов исправлений, используемых для устранения уязвимостей на инфицированных устройствах. Когда вы публикуете файлы инфраструктуры или ресурсы исправления (например, клиент безопасности, файлы исправлений и файлы HTML из главного сервера), эти файлы копируются на общий web-ресурс.

ВАЖНО: Web-ресурс должен иметь имя - LDLogon. Этот ресурс может быть создан на web-сервере в любом месте. Обычно путь выглядит так: C:\Inetpub\wwwroot\LDLogon. Однако общий ресурс может быть создан с любым путем, поскольку URL-адрес выполнит перенаправление к папке: http://servername/LDLogon.

После запуска сценария для создания и конфигурации общего web-ресурса на консоли нужно будет добавить сервер исправления и указать путь к общем ресурсу (подробные инструкции см. в разделе Конфигурация (добавление) сервера исправления на консоли). Это гарантирует, что главный сервер сможет публиковать ресурсы исправления в нужном месте сервера исправления.

Для выполнения сценария конфигурации сервера исправления
  1. На компьютере, который будет сервером исправления, назначьте диск для папки на главном сервере: LDMain\Install\TrustedAccess\RemediationServer.
  2. Дважды щелкните сценарий установки CONFIGURE.REMEDIATION.SERVER.VBS.

Сценарий конфигурации сервера исправления автоматически настроит сервер для выполнения исправления после выполнения:

ПРИМЕЧАНИЕ: Также можно воспользоваться средством Microsoft IIS для конфигурации разрешений доступа к общему ресурсу LDLogon и типов MIME.

Теперь можно добавить сервер исправления на консоли.

Конфигурация (добавление) сервера исправления на консоли

После установки сервера исправления необходимо его сконфигурировать и добавить в список серверов исправлений на консоли в диалоге Настройка серверов исправления (Configure remediation servers). После этого сервер исправления будет опознан в сети и сможет взаимодействовать с другими компонентами решения NAC.

Для конфигурации и добавления серверов исправления на консоли
  1. В утилите Управление доступом в сеть (Network Access Control) щелкните правой кнопкой мыши 802.1X, а затем щелкните Конфигурация 802.1X (Configure 802.1X).
  2. На странице Серверы исправления (Remediation servers) щелкните Добавить (Add). Появится диалог Имя сервера исправления и учетные данные (Remediation server name and credentials).



  3. Введите имя сервера исправления или его IP-адрес.
  4. Введите путь к общему web-ресурсу (на web-сервере, который работает как сервер исправления), в котором нужно будет публиковать файлы соответствия. Общий web-ресурс должен иметь имя LDLogon. Файлы соответствия - это определения безопасности, которые устанавливают требования политики безопасности (например, данные группы Соответствие (Compliance) в утилите исправлений и проверки соответствия, а также необходимые файлы исправлений, используемые для устранения уязвимостей).

    Вы можете указать путь UNC или путь назначенного диска. Путь UNC наиболее надежен, так как назначенный диск может измениться (см. примечание далее). Затем нажмите кнопку Обзор (Browse) для перехода к общему ресурсу, где нужно опубликовать файлы соответствия на сервере исправления.

    Важно! Если вы укажете локальный путь или назначенный диск в поле Расположение для копирования файлов соответствия (Location to copy compliance files), файлы будут опубликованы на локальном компьютере или на указанном назначенном диске компьютера, на котором начато действие публикации. Чтобы гарантировать то, что файлы соответствия опубликованы в одном месте на каждом сервере исправления в сети, рекомендуется использовать путь UNC для общего сетевого ресурса.

  5. Введите действительное имя пользователя и пароль для доступа к серверу исправления.
  6. Если вы конфигурируете более одного сервера исправления, можно выбрать сервер из раскрывающегося списка.
  7. Если нужно сконфигурировать сервер исправления в другой сети для устройств, которые перемещаются между доверенными сетями, создайте пакет установки (MSI).
  8. Нажмите OK, чтобы добавить этот сервер исправления в список.

Теперь можно публиковать на сервере файлы инфраструктуры (наряду с настроенным сервером проверки состояния и учетных данных пользователя).

Описание диалога "Имя сервера исправления и учетные данные" (Remediation server name and credentials)

Этот диалог используется для идентификации сервера исправления и выбора пути к общему web-ресурсу на сервере исправления для публикации ресурсов (клиентов безопасности, файлов исправлений и страниц HTML).

Следующие действия: публикация файлов инфраструктуры исправления для серверов исправления

Следующим действием по настройке и конфигурации и сервера исправления является публикация из главного сервера ресурсов инфраструктуры на сервере исправления. Ресурсы инфраструктуры исправления включают:

Перед публикацией ресурсов на серверах исправления вы должны сначала создать критерий соответствия безопасности в утилите исправлений и проверки соответствия.

Для получения дополнительной информации о выполнении этих задач см. раздел Определение критериев соответствия требованиям безопасности и публикация настроек NAC.