Визначення критеріїв відповідності вимогам безпеки та публікація налаштувань NAC

Після встановлення у своєму оточенні підтримки LANDesk 802.1X NAC ви можете виконувати наступні завдання керування відповідністю вимогам безпеки.

ПРИМІТКА:Додаткові сервери, необхідні для LANDesk 802.1X NACДля функції керування мережним доступом ви вже повинні мати встановлений та налаштований на консолі сервер виправлення (або доданий). Для функції 802.1X NAC потрібний сервер 802.1X Radius. Для отримання додаткової інформації див. розділ Налаштування та конфігурація сервера виправлення та Налаштування сервера 802.1X Radius або проксі-сервера.

У цьому розділі ви вивчите таке:

Інші завдання керування відповідністю вимогам безпеки

Визначення критеріїв відповідності вимогам безпеки в утиліті виправлень та перевірки відповідності

Критерії відповідності вимогам безпеки визначаються на основі таких факторів:

  • Дані забезпечення безпеки угрупі відповідності(Compliance group) в утиліті виправлень та перевірки відповідності.
  • Налаштування часу автоматичного приміщення в карантин, які задаються на сторінціпідтримки LANDesk 802.1Xпри конфігурації агента.

Передплата даних безпеки

Не маючи ліцензії Security Suite , ви не зможете отримати доступ до послуг безпеки та не зможете визначити ступінь відповідності існуючої безпеки цим визначенням.

Отримання визначень типів вимог безпеки

Для завантаження різних визначень типів безпеки, а саме визначень уразливостей, шпигунських програм, антивірусів та проблем системної безпеки, використовуйте утиліту виправлень та перевірки відповідності. ДляДодаткові відомості про використання функцій завантаження утиліти виправлень та перевірки відповідності див. у розділі Завантаження оновлень даних безпеки.

Використання групи відповідності (Compliance) для визначення політики відповідності вимогам безпеки

Як було зазначено раніше, ці групи відповідності визначають основи політики відповідності вимогам безпеки. Ви можете мати мінімальні відповідності вимогам безпеки, засновані лише на кількох визначеннях уразливостей та загроз для систем, або створити складну, обмежену політику, засновану на безлічі визначень безпеки. Також ви можете в будь-який час змінювати політику відповідності вимогам безпеки, додаючи або видаляючи з неї визначення, зазначені у групі відповідності (Compliance).

ПРИМІТКА:Права, необхіднідля виправлення та перевірки відповідностіТільки адміністратор або користувач з правом на виправлення та перевірку відповідності може додавати або видаляти визначення групи відповідності (Compliance).

Наступні типи даних безпеки можуть бути додані до групи відповідності для визначення політики відповідності вимогам безпеки:

  • Визначення антивірусу
  • Визначення користувача
  • Визначення оновлень драйверів
  • Визначення оновлень програмного забезпечення LANDesk
  • Визначення загроз безпеки (включаючи визначення брандмауера)
  • Визначення оновлень програмного забезпечення
  • Визначення шпигунських програм
  • Вразливості (визначення вразливостей додатків та ОС)

ПРИМІТКА: Ви не можете додавати визначення заблокованих програм до групи відповідності для встановлення політиквідповідності вимогам безпеки.

Для додавання визначень безпеки до групи відповідності

  1. В утилітіВиправлення та перевірка відповідності(Patch and Compliance) у розкривному списку для даних безпеки виберітьТип(Type), який потрібно додати в політику відповідності вимогам безпеки, а потім перемістіть визначення до групиВідповідність(Compliance).

відповідності

  • Або клацніть кожне визначення правою кнопкою миші або виберіть групу визначень і клацнітьДодати до групи "Відповідність"(Add to compliance group).
  • Перед публікацією даних NAC на серверах перевірки стану та виправлення переконайтеся у завантаженні всіх необхідних та пов'язаних із цими даними виправлень. Ви можете клацнути визначення правою кнопкою миші, вибрати групу визначень або саму групуВідповідність(Compliance), а потім клацнутиЗавантаження пов'язаних виправлень(Download associated patches) для отримання необхідних виправлень та виправлення задіяних пристроїв .

    • Публікація налаштувань NAC

    критеріїв

    Інформація про діалог вікна "Публікація налаштувань NAC" (Publish NAC settings)

    Використання сторінок виправлення

    Файли HTML знаходяться у наступній папці на головному сервері:

    Сторінки HTML - це шаблони, які необхідно змінити для приведення у відповідність до вимог вашої політики безпеки. Інформацію про налаштування сторінок HTML див. у розділі Налаштування сторінок виправлення.

    У наступних розділах описується призначення кожної із сторінок HTML.

    Сторінка нормального стану (Healthy status)

    Ця сторінка HTML використовується для інформування корпоративного кінцевого користувача на підключеному домережі пристрої, що пристрій було перевірено і знаходиться в нормальному стані відповідно до облікових даних політики безпеки, що використовуються, і йому надано повний доступ до корпоративної мережі.

    Ім'я HTML-сторінки: Healthy.html

    Сторінка нормального робочого стану відображається лише під час переходу пристрою з небезпечного до нормального стану. Вона не відображається щоразу під час перебування у нормальному стані.

    Сторінка стану відвідувача (First time visitor)

    Ця сторінка HTML використовується для інформування відвідувача корпоративної мережі про те, що в мережі виконується перевірка відповідності або забезпечується безпека мережного доступу і відвідувачу надається тільки доступ для виходу в Інтернет або комп'ютер буде просканований на визначення вразливостей або інших ризиків безпеки з подальшим виправленням для вирішення доступу до корпоративної мережі. Посилання, що знаходяться на цій HTML-сторінці, призначені лише для виходу в Інтернет або для отримання та встановлення програмного забезпечення, необхідного для сканування та виправлення комп'ютера для надання повного доступу до корпоративної мережі.

    Ім'я сторінки: Visitor.html

    На цій сторінці знаходяться посилання, які забезпечують користувачеві вихід в Інтернет або завантажують необхідне програмне забезпечення виправлення для перевірки комп'ютера, його виправлення, повторного сканування та надання повного доступу до мережі.

    Сторінка небезпечного стану працівника (Unhealthy employee)

    Ця сторінка HTML використовується для інформування кінцевого користувача підключеного пристрою про те, що цей комп'ютер був просканований і не відповідає одному або декільком вимогам політики безпеки, татому розглядається як небезпечний із подальшою забороною доступу до мережі. Мережевий адміністратор може змінити цю HTML-сторінку, щоб на ній відображалися вразливості та інші порушення безпеки, виявлені на пристрої, а також інструкції щодо їх виправлення. Після виправлення пристрою кінцевий користувач може знову увійти до мережі для запиту доступу.

    Ім'я сторінки: FailedEmployee.html

    Сторінка небезпечного стану відвідувача (Unhealthy visitor)

    Ця сторінка HTML використовується для інформування відвідувача корпоративної мережі про те, що комп'ютер був просканований і не відповідає одному або декільком вимогам політики безпеки, і тому для нього заборонено доступ до корпоративної мережі. Подібно до сторінки небезпечного стану для співробітника, мережний адміністратор може змінити цю HTML-сторінку, щоб на ній відображалися вразливості та інші порушення безпеки, виявлені на пристрої, а також інструкції для їх виправлення. Після виправлення пристрою відвідувач повинен клацнути піктограму сканування безпеки на робочому столі для запиту мережного доступу.

    Ім'я сторінки: FailedVisitor.html

    Налаштування сторінок виправлення

    Як уже згадувалося раніше HTML-сторінки виправлення є шаблонами, які можуть бути змінені вручну для приведення у відповідність до вимог вашої безпеки та політик.

    Додавання розділів DIV для динамічного відображення визначень, що не пройшли перевірку

    Це особливо корисно для корпоративних кінцевих користувачів, а також для відвідувачів вашої мережі, якщо ви налаштуєте сторінки виявлених порушень, щоб усі вони могли побачити проблеми безпеки, які існують на їх комп'ютерах, а також конкретні дії, які необхіднозробити усунення проблем, щоб після повторного сканування, пристрої виявилися безпечними і можна було дозволити доступом до мережі.

    Ці сторінки створені для динамічного відображення даних після виявлення вразливостей, які не можуть бути виправлені сканером утиліти виправлень. Іншими словами, якщо на пристрої кінцевого користувача після сканування будуть виявлені вразливості або інші проблеми безпеки (такі як загрози для системної конфігурації, шпигунські програми тощо), і завдання виправлення завершилося невдало (або пристрій небезпечний), на сторінці HTML можна відобразити конкретні визначення безпеки разом із присвоєними ним ідентифікаторами та іншою додатковою інформацією, яка запропонує кінцевому користувачеві дії щодо усунення проблеми на додаток до додавання системним адміністратором розділу DIV для даного визначення порушення безпеки (див. далі приклад розділу DIV). Якщо виправлення виявиться невдалим для визначення безпеки, і це визначення не має відповідного розділу DIV у файлі HTML, у браузері користувача пристрою не буде відображено жодної інформації, що стосується цього визначення.

    Для налаштування HTML-сторінки

    Приклад запису DIV у файлі HTML, що завершився з помилкою (небезпечний стан)

    Далі наведено приклад тексту, який може відображатися у браузері, якщо пристрій не пройде перевірку відповідності вимогам безпеки та буде визначений як небезпечний. Цей приклад містить текст шаблону, який був взятий з файлів перевірки, що завершилися з помилкою, і представляє визначення, які не вдалося виправити.

    Автооновлення Windows (ST000003):

    Крок 1: Клацніть "Пуск"

    Крок 2: Клацніть "Панель управління"

    Дія 3: Відкрийте Центр оновлення.

    Крок 4: Натисніть "Автоматично"

    Крок 5: Натисніть кнопку OK.

    Антивірусне програмне забезпечення відсутнє (AV-100):Натисніть тут для встановлення клієнта антивірусу Symantec

    Далі наведено дійсний код HTML:

    Крок 1: Клацніть "Пуск"

    Крок 2: Клацніть "Панель управління"

    Дія 3: Відкрийте Центр оновлення.

    Крок 4: Натисніть "Автоматично"

    Крок 5: Клацніть OK

    Антивірусне програмне забезпечення відсутнє (AV-100):Клацніть тут для встановлення клієнта антивірусу Symantec

    Пошук та вставка ідентифікаторів визначень

    Визначення безпеки ідентифікується наступним кодом у файлі HTML:

    Де "ttip" – це дійсний ідентифікатор визначення безпеки. Ідентифікатор визначення можна знайти на сторінці властивостей "Служба виправлення та перевірки відповідності" (Patch and Compliance). Введіть ідентифікатор так, як він відображається у властивостях визначення.

    Якщо виправлення конкретного визначення порушення безпеки завершиться помилкою, дані розділу DIV будуть динамічно оновлені в браузері користувача даними про те, як усунути проблему (на додаток до введеної вами інформації).