搜索
SCCM2012加固企业安全冯亮系统工程师盛大网络电子邮箱:jr_fly@126.com议程网络访问保护(NAP)的一些相关基本概念SCCM2012+NAP的规划、配置及注意事项SCCM2012+Forefront2012部署及使用网络访问保护的必要性恶意软件对企业安全的影响对抗恶意软件的常规技术手段•杀毒软件•反垃圾邮件软件•反间谍软件•WindowsUpdate•基于主机的状态防火墙IT管理员的新挑战确定系统是否健康•是否已安装了杀毒软件并且病毒库及引擎为最新?•是否安装重要补丁?•是否开启防火墙?强制系统符合健康要求•不符合计算机拒绝进入正常网络•允许不符合计算机修正其状态NAP的特性与使用场景健康状况验证健康策略符合性受限访问典型的NAP使用场景:•验证移动的便携式计算机健康状况•验证台式机的健康状况•验证来宾携带的计算机的健康状况•验证不受管理的家用计算机监控状况NAP的商业收益及其他通过集中配置和管理用于连接或通信的系统要求,降低了TCO通过自动化的系统健康或者配置更新,降低了TCO降低了被恶意软件感染的机会利用现有的系统健康和配置要求基础架构NAP的可扩展性NAP的局限性NAP拓扑结构与NAP有关的一些基本概念NAP健康策略服务器(NPS)健康要求服务器NAP强制点/NAP强制服务器NAP客户端/NAP强制客户端系统健康代理(SHA)/系统健康验证程序(SHV)•SoH•SSoH•SoHR•SSoHR强制方法受IPsec保护的通信(Ipsec强制)IEEE802.1x身份验证网络连接(802.1x强制)远程访问VPN连接(VPN强制)DHCP地址配置(DHCP强制)DHCP强制的工作机制1.NAP客户端给DHCP服务器发送一个包含SSoH的DHCP请求信息。2.DHCP服务器把NAP客户端的SSoH发送给NAP健康策略服务器。3.NAP健康策略服务器评估NAP客户端的SSoH,决定NAP客户端是否符合健康要求,并把结果发送给DHCP服务器。如果NAP客户端不符合健康要求,结果中包含对DHCP服务器的受限访问配置和一份包含NAP客户端健康更新指令的SSoHR。4.如果健康状况符合健康要求,DHCP服务器为NAP客户端分配一个能够不受限制访问的IPv4地址,并完成DHCP消息的交换。5.如果健康状况不符合健康要求,DHCP服务器为NAP客户端分配一个有限制地访问受限网络的IPv4地址,并完成DHCP消息交换,把SSoHR发送给客户端。NAP客户端只可以给受限网络上的更新服务器发送通信。6.NAP客户端向更新服务器发送更新请求。7.更新服务器根据健康要求策略为NAP客户端提供所需的更新以使其符合要求。NAP客户端更新它的SSoH。8.NAP客户端给DHCP服务器发送一个包含更新后的SSoH的DHCP请求。9.DHCP服务器把NAP客户端更新过的SSoH发送给NAP健康策略服务器10.假设所有要求的更新都已经完成,NAP健康策略服务器确定NAP客户端是符合要求的,则指示DHCP服务器为NAP客户端分配一个可以对Intranet进行不受限访问的IPv4地址。11.DHCP服务器为NAP客户端分配地址,完成DHCP消息交换。部署DHCP强制配置DHCP服务器配置NAP健康策略服务器配置更新服务器配置NAP客户端ForefrontEndpointProtection2012支持SCCM2012改进的实时警报及报表基于角色的安全管理以用户为中心的报表更简单的迁移(从FEP2010/SCCM2007)支持FEP2010客户端代理下载地址:=b64c2029-0f56-4606-ba0c-ea92e03541f5&displaylang=zh-cnFEP2012安装及配置获取更多TechNet资源•访问TechNet的官方网站•TechNet中文网络广播•TechNet视频中心•加入到中文在线论坛•成为TechNet的订户如需提出问题,请在此区域输入文字,并单击“问题和解答”右上方的“提问”按钮即可。