Protegendo uma rede de clientes não gerenciados

[helldanger1]

Usando SMS para detectar e corrigir sistemas não gerenciados

Conforme estabelecido na seção "Desenvolvimento", o processo de descoberta do SMS é muito útil para localizar computadores recém-conectados à rede quando eles são gerenciáveis por SMS. Também foi mencionado o fato de que o SMS tem dificuldade para descobrir alguns sistemas não gerenciáveis durante o processo de descoberta, o que demanda outro mecanismo para suprir essa falha.

Pode haver alguns motivos pelos quais o SMS pode não descobrir computadores conectados à rede. Esses motivos incluem:

O computador está conectado, mas não está sendo executado no momento da descoberta e não tem uma conta de computador no domínio.

O computador está conectado a uma sub-rede onde um firewall ou outro dispositivo de rede impede a comunicação entre o servidor SMS e essa sub-rede.

O computador está conectado a uma rede acessível, mas está usando um sistema operacional que não pode ser descoberto pelo SMS.


Para lidar com essas eventualidades, é necessária uma solução personalizada que combine a utilidade do SMS com scripts que abordem as exceções de forma que o SMS possa gerenciá-las. Scripts personalizados podem ser usados para verificar a rede em intervalos regulares com um processo agendador, o que significa que eles podem descobrir dispositivos que fiquem ativos por breves períodos de tempo. Tais scripts também podem ser executados de estações de trabalho ou servidores localizados em sub-redes isoladas, o que significa que eles podem detectar quando sistemas não gerenciados se conectam a esses segmentos que não contam com outro tipo de monitoramento. Esses scripts não tentam executar processos de descoberta baseados em WMI e, portanto, não são afetados pelo sistema operacional em uso nos clientes não gerenciados.

Para obter mais informações sobre como usar o SMS para descobrir dispositivos na rede, consulte o acelerador da solução Gerenciamento de patches usando o Systems Management Server 2003 (a página pode estar em inglês) em Microsoft Solution Accelerators ou a home page do Microsoft Systems Management Server (em inglês) em Systems Management Server Home para obter mais links, inclusive links para recursos sobre soluções de script do SMS.

 

[helldanger1]

Resumo

Este documento mostrou que é possível usar uma abordagem abrangente para ajudar a gerenciar as preocupações associadas a sistemas não gerenciados. O isolamento de rede IPsec foi usado para ajudar a impedir que sistemas não gerenciados obtivessem acesso a recursos da rede confiável e para auxiliar no cumprimento da conformidade por meio da negação de serviço a computadores sem conformidade. Os serviços de Quarentena VPN podem ser usados para ajudar a fazer cumprir a conformidade em computadores móveis que usam uma solução de acesso remoto, mas que raramente se conectam à rede local. Os padrões IEEE 802.1X e WPA/WPA2 podem ser usados para ajudar a proteger contra dispositivos não autorizados em LANs sem fio. Finalmente, SMS e scripts de detecção podem ser usados para ajudar na detecção de sistemas não gerenciados, assim como para ajudar a manter os computadores gerenciados atualizados com todos os patches e atualizações de segurança.

Ainda que essas soluções técnicas ajudem a resolver muitos problemas associados a dispositivos não gerenciados, elas são melhoradas quando diretivas de segurança sólidas são criadas e processos rigorosos de gerenciamento de alterações são estabelecidos. Quando todas essas soluções, diretivas e processos são combinados, o resultado é uma infra-estrutura gerenciável de empresa de médio porte que pode reduzir os custos administrativos e reduzir os riscos à segurança a níveis aceitáveis.

 

[helldanger1]

Apêndice A: Proteção de Acesso à Rede

A Proteção de Acesso à Rede (NAP) é um novo recurso que fará parte da nova geração do Windows (Microsoft Windows Server Longhorn e Windows Vista™) e que ajudará a fazer cumprir a conformidade com as diretivas de integridade do computador. Com a NAP, os administradores podem definir limites de diretiva de validação de integridade por meio de uma interface de programação de aplicativo (API) que limite o acesso à rede para computadores que não cumpram os requisitos de integridade quando se conectam à rede.

A flexibilidade da NAP permite aos administradores configurar soluções personalizadas para os requisitos de seu ambiente, seja para simplesmente registrar em log o estado de integridade dos computadores que se conectam à rede, para distribuir automaticamente atualizações de software ou para limitar a conectividade dos sistemas que não cumpram os requisitos de integridade. Além disso, a NAP é suficientemente flexível para permitir a incorporação a aplicativos de terceiros e soluções de programas personalizadas, de forma que o cumprimento das diretivas de integridade dos computadores seja abrangente. A NAP também será abrangente. Seus componentes de aplicação permitirão aos administradores forçar a conformidade com diretivas de integridade via DHCP, VPN e redes sem fio 802.1X. Além disso, ela será compatível com IPsec.

fonte:technet