Network Access Protection (NAP):
la soluzione di policy enforcement in
Windows Server 2008 R2
PierGiorgio Malusardi
IT Pro Evangelist
Microsoft Italia
http://blogs.technet.com/pgmalusardi
Agenda



Network Access Protection: panoramica

Non




è una soluzione di sicurezza
serve per evitare attacchi
blocca utenti malevoli
È


una tecnologia di policy enforcement
un sistema di controllo degli accessi alla rete basato sullo
stato dei computer
Aiuta a mantenere i computer conformi alle policy
Riduce le possibilità di attacco
Network Access Protection: panoramica
È il motore di policy che consente di fornire accessi sicuri alla rete
Usando NAP server (NPS) un amministratore IT può impostare policy di accesso alla rete basate su identità in
AD, periodo della giornata, locazione, ecc…
Consente decisioni sugli accessi basate sullo stato di Windows Security
Center
Con NAP è possibile valutare, forzare e rimediare le impostazioni del Security Center per rete, host e accesso
da remoto.
Consente l’uso di System Center e Forefront Client Security per definire la
conformità e controllare gli accessi
Usando le estensioni a NAP fornite da SCCM o FCS, un amministratore IT può forzare la conformità alle policy
di patch e di sicurezza con elevati livelli di granularità per rete, host e accesso da remoto.
Abilita i report sulla conformità per gli accessi alla rete
Con NAP un amministratore IT può valutare il livello di conformità alle policy aziendali senza impattare
l’accesso o la produttività.
Network Access Protection: panoramica

Infrastruttura:
Windows Server 2008
 Windows Server 2008 R2


Client
Windows XP SP2
 Windows Vista
 Windows 7

Network Access Protection: panoramica




Funzioni
Verifica delle condizioni
Rimedi
Autorizzazione e autenticazione di rete
Contabilità
Architettura di NAP: introduzione
VPN
Internet
Active Directory
Rete
sicura
Policy Server
NPS
DHCP
HRA
Device 802.1x
Rete di confine
Rete ristretta
Client NAP
Server dei
rimedi
Architettura di NAP: introduzione
Remote Desktop Gateway
Remediation
Server
Aggiornamenti
Policy Server
VPN
Unified Access Gateway
Query su
richieste
di sistema
DHCP
Client NAP
NPS
HRA
Device 802.1x
Messaggi RADIUS
Architettura di NAP: componenti client
Srv
Srv
rimedi_A Rimedi_B
SHA_1
SHA_2
1. Enforcement Client
SHA_3
2. System Health Agent
API SHA
NAP Agent
3. NAP Agent
Client NAP
API NAP EC
EC_1
VPN
EC_2
DHCP
EC_3
IPSec
4. API SHA
5. API EC
NAP srv_A NAP srv_BNAP srv_C
VPN
DHCP
HRA
Architettura di NAP: componenti server
Policy
srv_A
Policy
srv_B
SHV_1
SHV_2
1. Network Policy Server
SHV_3
2. NAP Administration Server
API SHV
NAP Administration Srv
NPS
3. System Health Validator
NPS
4. API SHV
Messaggi RADIUS
ES_1
VPN
ES_2
DHCP
Client NAP
ES_3
IPSec
5. NAP Server
NAP Srv
Architettura di NAP: visione d’insieme
Srv
Srv
rimedi_A Rimedi_B
SHA_1
SHA_2
SHA_3
Policy
srv_B
SHV_1
SHV_2
SHV_3
API SHA
API SHV
NAP Agent
NAP Administration Srv
Client NAP
API NAP EC
EC_1
Componenti
forniti da
terze parti
Policy
srv_A
EC_2
DHCP
NPS
NPS
EC_3
IPSec
Messaggi RADIUS
ES_1
ES_2
DHCP
ES_3
IPSec
NAP Srv
Architettura di NAP: comunicazione c/s
Srv
Srv
rimedi_A Rimedi_B
SHA_1
SHA_2
SHA_3
Policy
srv_A
Policy
srv_B
SHV_1
SHV_2
SHV_3
API SHA
API SHV
NAP Agent
NAP Administration Srv
API NAP EC
Client NAP
NPS
NPS
EC_1
Messaggi RADIUS
ES_1
NAP Srv
Architettura di NAP: comunicazione c/s
Srv
Srv
rimedi_A Rimedi_B
SHA_1
SHA_2
SHA_3
Policy
srv_A
Policy
srv_B
SHV_1
SHV_2
SHV_3
API SHA
API SHV
NAP Agent
NAP Administration Srv
API NAP EC
Client NAP
NPS
NPS
EC_1
Messaggi RADIUS
ES_1
NAP Srv
Tecnologie integrate con NAP
Windows Security Center
 System Center Configuration Manager
 Forefront Client Security
 3ze Parti…

Policy di Network Access Protection

Connection Request Policy (CRP): “Proxy”



Network Policy (NP): “Authorize”



Valutate in ordine
Usata la prima che corrisponde alle
condizioni del client
Valutate in ordine
Usata la prima che corrisponde alle
condizioni del client
Health Policies (HP) “Evaluate and Enforce”


Verificate tutte
Applicata solo quella che corrisponde
Health
Connection
Request Policy
Authentication
Network Policy
Authorization
Policy NAP: concetti generali




Policy NAP: dalle più specifiche alle più generiche
Tutte le Health Policies sono valutate e scritte in
log
Forzatura degli accessi per rete e host sono
basati sulle regole di accesso e indipendenti dalle
policy NAP
Le impostazioni per la rete delle policy NAP
(Quarantena, “in salute” e differita) impattano il
client e non la tecnologia di forzatura
Policy NAP: condizioni
Connection Request Policy
Tipo di NAS
 Giorno e ora
 Nome utente
 NAS/ES
 Criteri VPN
 Stato di salute del PC
 Client
 Tipo di porta

Network Policy
Tipo di NAS
 Giorno e ora
 Gruppo di sicurezza
 Scope DHCP
 Policy di salute
 Capacità NAP
 Sistema operativo
 Metodi di autenticazione
 NAS/ES
 Stato di salute del PC
 Client

Policy NAP: impostazioni
Connection Request Policy




Metodo di autenticazione
Proxy di accounting e
autenticazione
Modifica di attributi
Iniezione di attributi
Network Policy




Risposte: Access Accept/Reject
Iniezione di attributi
Forzatura NAP
Impostazioni RRAS
Policy NAP: scenari
È il motore di policy che consente di fornire accessi sicuri alla rete
Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD
Consente decisioni sugli accessi basate sullo stato di Windows Security
Center
Scenario: Vietare l’accesso ad internet ai client senza antivirus
Consente l’uso di System Center e Forefront Client Security per definire la
conformità e controllare gli accessi
Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle
policy di patch per accessi DA
Abilita i report sulla conformità per gli accessi alla rete
Scenario: Pubblicazione di HRA su internet per registrare la conformità alle
policy senza forzare IPsec
Policy NAP: scenari
Scenario: Accesso wireless sicuro con autenticazione degli utenti su AD
CRP – per ora giorno e locazione dell’utente
NP – per IP del NAS, richiede PEAP-MSCHAPv2 e nessuna valutazione dello stato di salute
Scenario: Vietare l’accesso ad internet ai client senza antivirus
CRP – per ora, giorno e locazione dell’utente
NP – per segmento IP del NAS, richiede PEAP-TLS e una policy di NAP che richiede il real time scan dell’AV
Forzatura – Assegnazione alla VLAN 802.1x, VLAN ristretta senza accesso a Internet
Scenario: Richiesta di bitlocker (FCSv2) e registrazione della conformità alle policy di patch per accessi DA
CRP – per ora, giorno e locazione dell’utente
NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le health policy richiedono SHV di FCS e SCCM
Forzatura – Accesso pieno via DirectAccess richiede certificati di salute
Scenario: Pubblicazione di HRA su internet per registrare la conformità alle policy senza forzare IPsec
CRP – a per ora, giorno e locazione dell’utente
NP – per tipo di HRA del NAS, le health policy richiedono WSHV con tutte le opzioni
Network Access Protection: scenari
Scenario: Richiesta di bitlocker (FCSv2) e registrazione della
conformità alle policy di patch per accessi DA
CRP – per ora, giorno e locazione dell’utente
NP – per tipo di HRA del NAS gruppo di appartenenza del PC, le
health policy richiedono SHV di FCS e SCCM
Forzatura – Accesso pieno via DirectAccess richiede certificati di
salute
Scenario: Pubblicazione di HRA su internet per registrare la
conformità alle policy senza forzare IPsec
CRP – a per ora, giorno e locazione dell’utente
NP – per tipo di HRA del NAS, le health policy richiedono WSHV con
tutte le opzioni
Valore di NAP per le tecnologie di accesso

Policy di accesso granulari basate su:
Identità
 Conformità
 Ecc.


Infrastruttura unificata di policy per diverse
tecnologie di controllo degli accessi
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.