Возвращаясь к сессии безопасности Запуска Windows Server 2008, надо отметить, что в рамках одной сессии невозможно рассказать про все новые возможности Windows Server 2008 с точки зрения безопасности (например про изменения стека TCP/IP, проверку целостности кода, DEP, ASLR ... ).

Даже при рассказе про технологию Network Access Protection, которой была посвящена большая часть выступления, пришлоть пожертвовать многими деталями. В этой заметке я постараюсь компенсировать этот пробел:

Для начала порекомендую прочитать про общее описание и архитектуру NAP. Необходимо представлять, что основное предназначение NAP - контролировать выполнение политик, полноценным решением безопасности данная технология является только при использовании совместно с одним из четырех существующих enforcement-механизмов - IPsec.

Для демонстрации я постарался выбрать наиболее простое решение, которое каждый может проверить в собственной лабораторной сети без большого изменения инфраструктуры: enforcement с помощью DHCP. Для этого в демонстрации использовался контроллер домена Windows Server 2003, существующий клиент Windows XP SP3 и серверы NPS/DHCP на платформе WS2008. В результате при несоответствии компьютера заданной политике (наличию включенного межсетевого экрана) ему выдавался адрес с доступом только к карантинной сети и статически прописывалась таблица маршрутизации для доступа к remediation серверу (контроллеру в данном случае).

Воспользовавшись следующими простыми пошаговыми руководствами вы можете самостоятельно попробовать развернуть NAP в лабораторной сети и получить ответы на практике:

P.S. Кстати, если кто была на этой сессии и вспомнит - на левой половине сцены стояли несколько сетевых устройств, начиная с мощного ProCurve и заканчивая простейшим D-Link. Ввиду того, что Василий уже просил завершать мою презентацию ;-), я не успел рассказать про то, что любое из этих устройств может использоваться в вашей сети для 802.1X Enforcement. Полный список протестированного сетевого оборудования есть в блоге команды NAP.