среда, 11 июня 2008 г.

Послевстречие: NAP, 10.06.2008 #2 - ответ на вопрос

У меня во время презентации остался один неотвеченый вопрос, на который я желал дать ответ. Я сказал, что проверка состояния DHCP NAP "клиента принуждения" (Enforcement Client - EC) привязана к времени аренды. Мне законно возразили, что в предшествующих презентациях на эту тему, как только мы меняли состояние здоровья, тут же на NPS сервер отправлялся наш SSoH (System State of Health) и сервер реагировал ограничением клиента в сетевом доступе. Это действительно так, но и я оказался прав. Если вдруг кому интересно, как такое может быть - читайте дальше.

Давайте разберемся, о чем я говорю. Как было сказано в презентации, реакция System Health Agent на выключение, например, встроенного сетевого экрана будет немедленной. Он сформирует новый SoH, передаст его NAP агенту, тот уведомит Enforcement Client и на этом песня полного доступа будет спета. НО! Это если смотреть со стороны клиента. А если посмотреть со стороны сервера, то требования к здоровью клиента могут меняться со временем. Например, вышли новые обновления. По идее, при этом нам нужно применить политику к клиенту и ограничить его или заставить его обновиться. Однако, в DHCP Enforcement мы не можем (это by design) сделать это со стороны сервера. Остается ждать либо пока изменится состояние клиента (пользователь выключит файрволл) или истечет срок аренды, после чего NAP агент также инициирует проверку.

Вот такой вот ответ =)

5 комментариев:

Clevelus комментирует...

Ну в общем и это обходится. Самый простой способ, но неправильный, это поставить например в задачи каждый час останавливать фарьевол. Он тут же сам поднимется и вся цепочка отработает, в том числе и по DHCP. Но тут много недостатков: например у пользователя каждый час будет сообщение, что фарьевол врубился снова ...

ЗЫ: думаю майкрософт в следующей версии это доработает. И совместимость с System Center Configuration Manager 2007 ... и видимо совместимость с новым ISA сервером будет ...

KomatoZo комментирует...

Да, workaround придумать можно. И в будущем будет лучше, но, как я говорил на встрече, это скорее способ для демонстрации технологии или для репортинга, нежели для реального ограничения. =)

Анонимный комментирует...

ДоброгоВремениСуток! В связи с NAP есть вопрос! Одним из показателей здоровья можно выставить актуальность антивирусных баз. В то же время различные антивирусные продукты используют разное время обновления, и не думаю что NAP-сервер знает их периодичность. Вопрос: каким образом принимается решение о состоянии здоровья по этому показателю?
Кстати имею предположение, что вывод делается на основе сигналов Security Center клиента. Тогда как же он определяет актуальность баз? К примеру Symantec Endpoint Protection может прожить около недели без апдейтов, и SC молчит, а Каспер через 5-6 часов начинает выкидывать сообщения, что он безнадежно устарел...
С уважением, Олег Крылов =)

KomatoZo комментирует...

Привет, Олег.
Дело в том, что каждый производитель, интегрирующий свой продукт в NAP, должен создать не только System Health Agent, который роверяет здоровье на клиенте, но и System Health Validator, который проверяет Statement of Health и сверяет его с показателями,которые либо зашиты в него самого, либо предоставляются ему Health Requirements Server'ом. Поэтому собственно NPS даже не знает ни о каком Касперском или Symantec, он просто сопоставляет данные предоставленные SHA с шаблоном, который получает от SHV, тем самым определяя здоров ли клиент.
Ответил? =)

Анонимный комментирует...

Без вопросов :D
Спасибо!
С уважением, Олег Крылов.