A solução NAP do Windows Server 2008R2 para NAC (segurança de terminal) é valiosa o suficiente para valer a pena?

Navegue suas respostas
3

Estou aprendendo sobre os recursos NAP do Windows Server 2008 R2. Eu entendo o que é o controle de acesso à rede (NAC) e qual o papel que o NAP desempenha nisso, mas gostaria de saber quais limitações e problemas ele tem, que as pessoas gostariam que soubessem antes de implementá-lo.

Em segundo lugar, gostaria de saber se alguém teve sucesso em um ambiente de médio porte (rede corporativa de várias cidades com cerca de 15 servidores, 200 desktops) com a maioria (99%) do Windows XP SP3 e mais recente Clientes Windows (Vista e Win7). Funcionou com o seu anti-vírus? (Eu estou supondo que a NAP funciona bem com os produtos antivírus de grande nome, mas estamos usando o Trend micro.). Vamos supor que os servidores sejam todos do Windows Server 2008 R2. Nossas VPNs são coisas do Cisco e possuem seus próprios recursos de NAC.

A NAP realmente beneficiou sua organização, e foi sensato implantá-la ou ainda outra na longa lista de coisas que o Windows Server 2008 R2 faz, mas que, se você migrar seus servidores para ela, provavelmente não vai querer usar.

De que maneiras a solução NAP integrada pode ser a melhor, e de que maneira, nenhuma solução (o status quo pré-NAP) ou uma solução de segurança ou NAC de terceiros podem ser consideradas melhor ajuste?

Encontrei um artigo em que um painel de especialistas em segurança em 2007 diz que o NAC talvez seja " não vale a pena ". As coisas estão melhores agora em 2010 com o Win Server 2008 R2?

    
por Warren P 10.12.2010 / 02:31

2 respostas

1

Com toda a honestidade, não acho que o problema valha a pena agora, por causa de algumas grandes estipulações.

Primeiro, o DirectAccess é um dos recursos do NAP. O DirectAccess, no entanto, só funcionará em uma rede interna protegida por IPSec, usando IPv6 e somente com clientes 2008 R2 e Windows 7.

Assim, os sistemas operacionais mais antigos estão fora, o que é, infelizmente, já que a maioria das empresas ainda não adotou o Windows 7 com força total.

O segundo motivo, este é mais pessoal, é que esse é realmente o primeiro round da Microsoft (talvez o segundo) em tecnologia como essa, e a Microsoft normalmente não apregoa os fatores de usabilidade e instalabilidade até sua terceira iteração.

Meu conselho? Fique longe disso agora. Dê um tempo para se desenvolver como produto e tecnologia.

    
por 20.01.2011 / 18:41
1

Desafie-se com isso, já que esse recurso (junto com o DirectAccess) só ficará mais robusto e confiável com o tempo.

Quando você pensa em NAP, não pense em tudo ou nada. Pergunte a si mesmo "que cenário você quer proteger". Wi-Fi, VPN ou todas as conexões de rede. O fim de tudo é o 802.1x em todas as portas swtich para que seus computadores sejam colocados em quarentena durante a inicialização pela rede, mas isso geralmente é uma tarefa enorme com todos os tipos de pitfals (compatibilidade de switch, implementações de SO, etc.).

Então, digamos que você tenha um sistema robusto de patching / WSUS e seu NAP suportado por AV, você poderia testá-lo para usuários de VPN ... o scnerio de "maior risco" de seus computadores confiáveis em sua rede de quem sabe onde. Talvez você só queira se preocupar com eles no início e colocá-los em quarentena na conexão inicial, caso eles não sejam atualizados. Se a sua solução VPN fosse pura Microsoft, não seria uma grande quantidade de trabalho testar e implantar isso apenas para VPN, já que você já teria 95% da solução (IAS, RRAS, WSUS, etc.).

Nós comprovamos que há 2-3 anos, quando o Server 2008 foi lançado para alguns milhares de laptops, mas o orçamento não estava lá para suportar os testes e o treinamento necessários para obtê-lo. em produção. Trabalhou no laboratório embora.

    
por 22.02.2011 / 07:26

Tags

Novos testes de verificação de hardware do servidor IT Considerações para uma mudança de nome de empresa