Установка сервера IPsec Server и изоляции домена с помощью групповой политики Windows Server 2008 Group Policy (часть 1)

Опубликовано: 03.11.2017

Защита сетевого доступа (Network Access Protection) является новой технологией, включенной в Windows Server 2008, которая обеспечивает контроль над тем, каким машинам разрешено подключение к другим машинам в вашей сети. Защита сетевого доступа (или NAP) позволяет вам устанавливать политики здоровья системы, которым машина должна соответствовать, прежде чем ей будет разрешен доступ к сети. Если машины отвечают требованиям политики сетевого доступа, то им разрешается доступ к сети. Если нет, то машине может быть отказано в подключении к любой другой машине в сети, или можно настроить политики, которые будут позволять подключение к серверу исправления, позволяющему машине исправить все несоответствия и попытаться подключиться к сети снова, когда процесс исправления был успешно осуществлен.

Существует множество способов внедрения политики NAP. Самым простым способом будет использование NAP DHCP внедрения. К сожалению, это будет и наименее безопасный способ, поскольку пользователь может вручную настроить IP адрес на машине и обойти NAP DHCP политику. Самым безопасным способом внедрения NAP политики является IPsec. При использовании IPsec NAP внедрения, когда машина соответствует политике NAP, ей выдается сертификат здоровья, позволяющий создавать безопасное IPsec подключение к другим машинам, работающим в «виртуальной» сети NAP. К сожалению, внедрение NAP с помощью IPsec является самой сложной конфигурацией.

NAP сама по себе является крайне сложной технологией с сотнями «подвижных частей». Если вы неправильно настроите любую из этих подвижных частей, установка даст сбой и потребуется достаточно много времени и усилий на то, чтобы понять, что не так. Используя внедрение политики NAP с помощью IPsec, вы обнаружите, что здесь еще больше «подвижных частей» и что диагностика и исправление проблем еще более сложное. Здесь также наблюдается сильная зависимость от групповых политик, что, опять же, добавляет сложности решению, так как часто нужно исправлять проблемы с групповой политикой при работе с установкой NAP.

rss