web-dev-qa-db-ja.com

Windows Server 2008R2 NAP NAC(エンドポイントセキュリティ)のソリューションは、面倒な価値があるほど価値がありますか?

Windows Server 2008R2のNAP機能について学習しています。ネットワークアクセスコントロール(NAC)とは何か、その中でNAP)が果たす役割は理解していますが、私はそれがどのような制限や問題を抱えているのか、人々がそれを展開する前に知っておくといいのか知りたいのです。

次に、ほとんど(99%)のWindowsを備えた中規模(サーバーが約15台、デスクトップが200台ある多都市の企業ネットワーク)環境での展開に成功した人がいるかどうかを知りたいですXP SP3以降のWindowsクライアント(VistaおよびWin7)。アンチウイルスで機能しましたか?(NAPは、有名なアンチウイルス製品でうまく機能すると思います。ただし、Trend microを使用しています。)サーバーがすべてWindows Server 2008 R2であると仮定します。VPNはCiscoのものであり、独自のNAC機能を備えています。

NAPは実際に組織に利益をもたらしました。それを展開するのが賢明でしたか、それともWindows Server 2008 R2が行うことの長いリストの中でさらに別のものでしたが、移動した場合はそれまでのサーバーでは、おそらく使用したくないでしょう。

どのような特定の方法で組み込みのNAPソリューションが最良のソリューションである可能性があり、どのような特定の方法でソリューションがまったくない(NAP以前の現状)またはサードパーティのエンドポイントセキュリティまたはNACソリューションがより適していると見なされますか?

2007年のセキュリティ専門家のパネルがNACは多分 " 価値がない "であると言っている記事を見つけました。 Win Server 2008 R2を使用すると、2010年の状況は改善されましたか?

3
Warren P

正直なところ、いくつかの主要な規定があるため、今のところ問題はそれだけの価値があるとは思いません。

まず、DirectAccessはNAPの目を見張る機能の1つです。ただし、DirectAccessは、IPv6を使用し、2008R2およびWindows7クライアントでのみIPSecで保護された内部ネットワークでのみ機能します。

そのため、古いOSがリリースされていますが、残念ながら、ほとんどの企業はまだWindows7を完全に採用していません。

2番目の理由、これはより個人的なものです。これは、このようなテクノロジでのMicrosoftの最初のラウンド(おそらく2番目)であり、Microsoftは通常、3回目の反復までユーザビリティとインストール可能性の要素を特定しません。

私のアドバイスは?今は近づかないでください。製品や技術として開発する時間を与えてください。

1
JohnThePro

この機能(DirectAccessと共に)は時間の経過とともにより堅牢で信頼性が高くなるだけなので、これを試してみてください。

NAPすべてまたは何も考えないでください。「どのシーンリオを保護しますか」を自問してください。Wi-Fi、VPN、またはすべてのネットワーク接続。すべてがすべてのswtichポートで802.1xであるため、コンピューターはネットワーク全体の起動時に隔離されますが、これは通常、あらゆる種類のピットフォール(スイッチの互換性、OSの展開など)での大規模な作業です。

つまり、堅実なパッチ適用/ WSUSシステムとAVでサポートされているNAPがあり、couldVPNユーザー向けにテストしてみてください...その「リスクが高い」シナリオ信頼できるコンピュータが、どこから来たのかを知っている人からネットワークに侵入します。たぶん、最初はそれらについて心配し、それらが更新されていない場合は、最初の接続時にそれらを隔離したいだけかもしれません。 VPNソリューションが純粋なMicrosoftである場合、ソリューションの95%(IAS、RRAS、WSUSなど)が既に配置されているため、VPNのためだけにこれをテストして展開するのはそれほど多くの作業ではありません。

Server 2008が数千台のラップトップに展開されるようになった2〜3年前に概念実証を行いましたが、本番環境に移行するために必要なテストとトレーニングをサポートするための予算がありませんでした。しかし、ラボで働いていました。

1
Bret Fisher