Местна политика за сигурност

БЛОГЪТ ПРЕМЕСТЕН ​​- http://gpo-planet.com

Местна политика за сигурност. Част 7: Политики за кабелна мрежа

Сървърните операционни системи на Microsoft, започвайки с Windows Server 2008, представиха компонента Wired Network Policies (IEEE 802.3), който осигурява автоматично конфигуриране за разполагане на услуги за кабелен достъп с IEEE 802.1X удостоверяване за мрежови клиенти Ethernet 802.3. За да приложат настройките за сигурност за кабелни мрежи с помощта на групови правила, операционните системи използват услугата Wired AutoConfig (Wired AutoConfig - DOT3SVC). Текущата услуга е отговорна за IEEE 802.1X удостоверяване при свързване към Ethernet мрежи с помощта на съвместими 802.1X комутатори и също така управлява профила, използван за конфигуриране на мрежов клиент за удостоверен достъп. Също така си струва да се отбележи, че ако използвате тези правила, тогава е желателно да попречите на потребителите във вашия домейн да променят режима на стартиране на тази услуга.

Конфигуриране на правила за кабелна мрежа

Можете да зададете настройките на правилата за кабелна мрежа директно от модулаGroup Policy Management Editor. За да конфигурирате тези настройки, изпълнете следните стъпки:

  1. Отворете модулаРедактор за управление на групови правила и изберете възелПравила за кабелна мрежа (IEEE 802.3) в дървото на конзолата, щракнете с десния бутон върху него и изберетеСъздаване на нова политика за кабелна мрежа за Windows Vista и по-нови версии от контекстното меню, както е показано на следната илюстрация:
    сигурност
    Фиг. 1. Създайте политика за кабелна мрежа
  2. В отворения диалогов прозорец„Нова политика заСвойства на кабелна мрежа", в раздела"Общи" можете да зададете използването на услугата Wired AutoConfig за конфигуриране на LAN адаптери за свързване към кабелна мрежа. В допълнение към настройките на правилата, които се прилагат за Windows Vista и по-нови операционни системи, има някои настройки на правилата, които ще се прилагат само за операционните системи Windows 7 и Windows Server 2008 R2. В този раздел можете да направите следното:
  3. Име на политиката. В това текстово поле можете да дадете име на вашата политика за кабелна мрежа. Можете да видите името на правилото в панела с подробности на възела"Правила за кабелна мрежа (IEEE 802.3)" наРедактора за управление на групови правила ;
  4. Описание. Това текстово поле е за попълване на подробно описание на целта на политиката за кабелна мрежа;
  5. Използвайте услугата Windows Wired Network AutoConfig за клиенти. Тази опция прави действителната конфигурация и свързва клиенти към кабелна 802.3 мрежа. Ако деактивирате тази опция, операционната система Windows няма да контролира кабелната мрежова връзка и настройките на правилата няма да влязат в сила;
  6. Предотвратете използването на споделени потребителски идентификационни данни за мрежово удостоверяване. Тази настройка определя дали потребителят трябва да бъде предотвратен от съхраняване на споделени потребителски идентификационни данни за мрежово удостоверяване. Можете да промените тази настройка локално с командатаnetsh lan set allowexplicitcreds ;
  7. Активиране на периода на блокиране. Тази настройка определя дали да попречи на компютъра да се свързва автоматично към кабелна мрежа за посочения от вас брой минути. По подразбиране е 20 минути.Периодът на блокиране може да се регулира от 1 до 60 минути.

Следващата илюстрация показва разделаОбщи на политика за кабелна мрежа:

политика

Фиг. 2. Раздел Общи на диалоговия прозорец за настройки на правилата за кабелна мрежа

Методът по подразбиране еMicrosoft: Защитен EAP (PEAP) ;

  • Режим на удостоверяване. Този падащ списък се използва за извършване на мрежово удостоверяване. Следните четири опции са налични за избор:
  • Удостоверяване на потребител или компютър. Ако тази опция е избрана, идентификационните данни за сигурност ще се използват въз основа на текущото състояние на компютъра. Дори ако никой потребител не е влязъл, удостоверяването ще се извърши с помощта на идентификационните данни на компютъра. Когато потребител влезе, ще се използват идентификационните данни на влезлия потребител. Microsoft препоръчва използването на тази настройка за режим на удостоверяване в повечето случаи.
  • Само компютър. В този случай се удостоверяват само идентификационните данни на компютъра;
  • Удостоверяване на потребителя. Избирането на тази опция налага удостоверяване на потребителя само при свързване към ново 802.1X устройство. Във всички останали случаи удостоверяването се извършва само за компютъра;
  • Удостоверяване на гост. Тази настройка ви позволява да се свързвате към мрежата въз основа на акаунт на гост.
  • Максимален брой неуспешни удостоверявания. Тази настройка ви позволява да посочите максималния брой грешки при удостоверяване. Стойността по подразбиране е 1;
  • Кеширане на потребителски данни запоследващи връзки към тази мрежа. Когато тази настройка е активирана, потребителските идентификационни данни ще се съхраняват в системния регистър и няма да се изискват идентификационни данни, когато потребителят излезе и след това влезе.

    • Следната илюстрация показва разделаЗащита на този диалогов прозорец:

    сигурност

    Фиг. 3. Раздел Защита на диалоговия прозорец за настройки на правилата за кабелна мрежа

    Свойства на режимите на удостоверяване

    Както бе споменато в предишния раздел, и за двата метода за удостоверяване има допълнителни настройки, които се извикват чрез щракване върху бутона“Свойства”. В този раздел ще разгледаме всички възможни настройки за методите за удостоверяване.

    „Microsoft: Secure EAP (PEAP)“ настройки на метода за удостоверяване

    EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) е разширяема инфраструктура за удостоверяване, която определя формата на пакета. Налични са следните опции за конфигуриране на този метод за удостоверяване:

    Диалоговият прозорец със свойства на Secure EAP е показан на следната илюстрация:

    местна

    Фиг. 5. Диалогов прозорец със свойства на Secure EAP

    Налични са следните опции за конфигуриране на този метод за удостоверяване:

    местна

    политика

    Фиг. 7. Вижте сертификат от списъка с доверени главни сертифициращи органи

    Разширени опции за сигурност на кабелната политика

    Може да сте забелязали, че в раздела"Защита" на диалоговия прозорец за настройки на правилата за кабелна мрежа има допълнителни опции за защита, предназначени да променят поведението на мрежови клиенти, които изпращат заявки за802.1X удостоверен достъп. Разширените настройки на политиката за кабел могат да бъдат разделени на две групи - настройки на IEEE 802.1X и настройки за единично влизане. Нека разгледаме всяка от тези групи:

    В групата настройки IEEE 802.1X можете да укажете характеристиките на заявките за кабелна мрежа с 802.1X удостоверяване. Следните опции са налични за редактиране:

    • Прилагане на разширени настройки за 802.1X. Тази опция ви позволява да активирате следните четири настройки;
    • Макс. EAPOL съобщения. EAPOL е EAP протокол, който се използва преди компютърът да има време да се удостовери и само след успешно „влизане“ целият друг трафик ще може да премине през порта на комутатора, към който е свързан този компютър. Този параметър контролира максималния брой изпратени съобщения EAPOL-Start;
    • Период на забавяне (сек). Тази настройка контролира забавянето в секунди, преди да бъде направена следващата заявка за удостоверяване 802.1X след получаване на известие за неуспешно удостоверяване;
    • Начален период. Този параметър контролира времето за изчакване преди повторно изпращане на последователни съобщения EAPOL-Start;
    • Период на проверка (сек). Този параметър указва броя секунди между повторното предаване на последователни първоначални EAPOL съобщения след иницииране на 802.1X проверка за преминаващ достъп;
    • EAPOL-Начално съобщение. С този параметър можете да укажете следните характеристики на предаване на първоначалните EAPOL съобщения:
    • Не предавайте. Ако тази опция е избрана, съобщенията EAPOL няма да се предават;
    • Предадено. Ако тази опция е избрана, клиентът ще трябва ръчно да изпрати първоначалните EAPOL съобщения;
    • IEEE 802.1X предаване. Ако тази опция е избрана (по подразбиране), EAPOL съобщенията ще се изпращат автоматично, чакайки 802.1X удостоверяването да започне.

    Когато използвате единично влизане, удостоверяването трябва да се извърши въз основа на конфигурацията за защита на мрежата по време на процеса на влизане на потребителя в операционната система. Налични са следните опции за пълно конфигуриране на SSO профили:

    • Активирайте единично влизане за мрежа. Активирането на тази опция активира настройките за единично влизане;
    • Активиране непосредствено преди потребителско влизане. Ако отметнете тази опция, тогава 802.1X удостоверяване ще бъде извършено преди потребителят да завърши влизането;
    • Активиране веднага след влизане на потребителя. Ако отметнете тази опция, тогава 802.1X удостоверяване ще бъде извършено, след като потребителят влезе;
    • Макс. забавяне на връзката. Този параметър определя максималното време, за което трябва да бъде завършена автентификацията и, съответно, колко време ще чака потребителят, преди да се появи прозорецът за влизане на потребителя;
    • Разрешете показването на допълнителни диалогови прозорци за единично влизане. Тази настройка отговаря за показването на диалоговия прозорец за влизане на потребителя;
    • Тази мрежа използва различни VLAN за удостоверяване на идентификационни данни на машина и потребител. Ако зададете тази настройка, при стартиране всички компютри ще бъдат поставени в една и съща виртуална мрежа и след успешно влизане на потребителя, в зависимост от разрешенията, ще бъдат прехвърлени към различнивиртуални мрежи. Има смисъл да активирате тази опция само ако имате няколко VLAN във вашето предприятие.

    Диалоговият прозорец с разширени настройки за защита на правилата за кабелна мрежа е показан на следната илюстрация:

    местна

    Фиг. Фигура 8. Диалогов прозорец за разширена защита на правилата за кабелна връзка

    Заключение