网络访问控制(NAC)
首页 »

网络访问控制(NAC)

网络访问控制(NAC)是一种增强网络安全的方式,对于不满足组织合规性要求的被管设备,将限制其访问网络资源。NAC的隔离设置也能实现此功能,管理员可以通过合规性设置来允许/限制终端访问网络资源。NAC模块的工作流程如下:

Endpoint Central构建版本10.0.595及以上均支持网络访问控制模块

工作流程

该模块的基本工作流程如下图所示

Quarantine settings

  • 管理员创建策略,定义组织中机器的合规性标准。
  • TrustAgent是可执行文件,它根据管理员在隔离策略生成器中定义的策略,检查系统的合规性状态。
  • 不合规系统的网络资源将受到限制,也就是所谓的隔离。
  • 用户可以手动修复不合规问题,并重新检查系统的合规性状态。
  • 默认情况下,每个刷新周期都会自动检查所有系统的合规性状态。
  • 对于部署了合规性策略的未隔离机器,每当IP发生变化时,都将检查其合规性状态(例如,当机器连接/断开网络时)。
  • 当这些系统达到合规性要求,或卸载代理后,隔离将被解除。

安装并运行NAC模块步骤

  1. 下载TrustAgent,入口:EMS Trust Agent V1.0.0
  2. 解压TrustAgent.zip文件到自选目录。
  3. 打开隔离策略生成器(QuarantinePolicyGenerator.exe)。使用此工具需要安装.NET 4.0
  4. 根据组织需求定义策略。策略中可以包含软件检查服务检查自定义检查。关于如何添加这些检查的步骤说明,可在控制台上点击帮助 > 开始使用。
  5. 为终端定义好策略后,点击“生成”,并将新策略保存为quarantine.json文件,以便TrustAgent识别。
  6. 当弹出更新Zip的对话框时, 点击“是”,自动更新Zip,否则您需要手动添加quarantine.json文件到TrustAgent_x86.zip和TrustAgent_x64.zip中。

    7. Quarantine settings

  7. 在DC服务器存储库中添加一个文件名为TADeployer.exe的脚本。
  8. 使用此脚本创建一个新的脚本配置,并将TrustAgent_x86.zipTrustAgent_x64.zip都添加为依赖文件。
  9. 启用日志记录并部署此配置。
  10. 不合规(基于quarantine.json)的机器将受到网络通信限制。
  11. 通信限制设置方法:点击“隔离设置”,选择允许/限制访问Internet/Intranet。
  12. 部署的备注部分将显示机器是否已被隔离。
  13. 点击“加载现有策略”,可以修改已有的策略,并根据需要保存后使用。
  14. 要了解被管终端的隔离状态,请将EPStatusTester.exe作为脚本添加到DC服务器存储库中,然后使用该脚本创建配置,并部署到所有被管终端。如果配置状态显示“成功”,则系统已被隔离,隔离原因将在“备注”中注明;如果配置状态显示“失败”,则系统未被隔离。

如果您希望隔离机器而不考虑其合规性状态,请在部署上述配置时包括-ondemand switch。即使在这种情况下没有任何要处理的策略,也要确保提供隔离设置,因为TrustAgent的操作需要使用(valid quarantine.json)。

设置合规性策略

添加软件检查

    对于软件检查,有问题的软件必须在“添加或移除项目”中列出。

    1. 打开控制面板 -> 程序和功能。
    2. 选择需要设置策略的应用程序。
    3. 从“名称”列为应用程序选择关键词,这个关键词应该唯一标识应用程序,并且不能与其他应用程序的名称冲突。
    4. 在策略生成器的“名称”列中填写此关键词,请使用小写。
    5. 类型选择“软件”。
    6. 状态选择“存在”或“不存在”。

    满足给定条件的机器将被隔离。

    添加服务检查

    对于服务检查,有问题的服务必须在“services.msc”中列出。

    1. 在运行窗口打开services.msc。
    2. 选择需要应用策略的服务。
    3. 从“名称”列复制服务的全称。
    4. 复制到策略生成器的“名称/关键词”列。
    5. 类型选择“服务”。
    6. 根据您的需求选择状态。

    满足给定条件的机器将被隔离。

    添加自定义检查

    您还可以根据注册表路径、注册表值、文件路径和文件值添加自定义检查。

    1. 用户可根据需要自定义标签,命名/标识所检查的条件。
    2. 每一个自定义标签都是独立的检查,只要有一个标签不满足,系统就是不合规的。
    3. 如果您希望运行一组检查,请在单个标签下设置多项条件。

    隔离设置

    如果发现了不合规的系统,您可以采取以下隔离措施。

    1. 阻止所有网络访问(Internet/Intranet),或自定义阻止Intranet访问的范围。
    2. 还可以设置允许隔离设备访问的域或IP地址。
    3. 此外,还可以设置在被隔离的机器与所有主要机器(建立连接并形成网络的机器)断开连接时自动撤销隔离。

    撤销隔离步骤

    撤销机器隔离的步骤如下。

    1. 使用脚本TAUninstaller.exe创建一个新配置。
    2. 将其部署到已隔离的机器上。
    3. 配置中的备注部分将显示撤销隔离的结果。

    注意

    1. 此功能仅支持Windows 7及以上版本,请更新Windows 7,或安装KB3033929。
    2. 在Windows Server 2016上运行此模块时,请禁用“安全启动”。
    3. 通过代理请求的URL缩短服务将被阻止。
    4. 系统范围的代理设置将自动应用。
    5. 需要使用的应用程序专用代理必须添加到列表中。

为保护您的安全和隐私,我们默认不会收集您的个人身份信息(PII)或浏览数据。

我们的客户