Dar această tehnologie nu poate fi implementată într-o organizație în care nu a fost încă planificată și desfășurată nicio infrastructură de rețea. Înainte de a implementa rețea de acces Protecție Server, trebuie să-și planifice cu atenție și implementa tehnologii, cum ar fi Active Directory Domain Services, Group Policy, infrastructura de chei publice și protocolului RADIUS (Remote Authentication Dial-In User Service). Desigur, în funcție de tehnologia la care ar trebui aplicată protecția pentru accesul la rețea, va trebui să planificați și să implementați alte tehnologii, cum ar fi un server DHCP sau servere desktop la distanță (cunoscut anterior ca servere terminale). În acest articol, vom discuta despre cerințele de bază și soluțiile care urmează să fie desfășurate în organizație înainte de implementarea tehnologiei, „Network Access Protection“, și anume, o scurtă va aborda tehnologii, cum ar fi serviciile de domeniu Active Directory, Politica de grup, infrastructura de chei publice, precum și protocolul RADIUS.
Active Directory Domain Services
Serviciile de domeniu Active Directory nu ar reprezenta un rol fundamental pentru infrastructura de securitate, dacă ar fi doar responsabile pentru identificarea și accesarea obiectelor rețelei companiei. În plus față de sarcina cheie de mai sus, Active Directory suportă:
- o anumită schemă. care este un set de reguli care definesc clasele de obiecte și atribute conținute în director, precum și constrângeri, limite pentru instanțele acestor obiecte, formatul numelor acestora și multe altele. Este de remarcat faptul că toate obiectele din Active Directory Domain Services sunt considerate instanțe ale clasei;
- serviciul de replicare. care distribuie datele de director în întreaga rețea a organizației, inclusiv stocarea datelor, configurarea și așa mai departe. Toți controlorii de domeniu din domeniu sunt membri ai replicii și conțin o copie completă a tuturor informațiilor despre director pentru domeniul lor;
- gazdele de operare sunt controlori de domeniu care execută un anumit rol care este atribuit unui singur controler de domeniu. Utilizarea operațiunilor cu un singur master împiedică apariția conflictelor atunci când expertul de operare este dezactivat. Operația Unică Master Flexibilă (FSMO) trebuie să fie disponibilă într-un moment în care acțiunile care depind de ea sunt efectuate la nivel de domeniu sau de pădure. Active Directory Domain Services conține cele cinci roluri ale asistenților de operare care pot fi definiți în timpul instalării controlerului de domeniu Active Directory;
- un catalog global (catalog global sau GC), care este un depozit de date distribuit care deține o replică incompletă a unei replici doar pentru citire a fiecărui obiect și facilitează, de asemenea, căutări în pădurea Active Directory. Un catalog global este stocat pe controlere de domeniu care sunt desemnate ca servere de cataloage globale și distribuite prin replicare cu mai mulți colegi.
În plus față de aceste caracteristici, puteți observa funcții precum delegarea autorității administrative, controlere de domeniu cu privilegii numai pentru citire, relații de încredere între domenii și multe altele.
Politica de grup
Politica de grup este un set de reguli care oferă o infrastructură în care administratorii de computere locale și Active Directory Domain Services pot implementa și gestiona la nivel central setările utilizatorilor și computerelor din organizație. Toate setările pentru conturi, sistemul de operare, audit, registrul de sistem, setările de securitate, instalarea software-ului și alți parametri sunt implementați și actualizați în domeniu folosind setările GPO (Object Policy Object). Politicile de grup sunt o componentă a sistemului de operare Windows și se bazează pe mii de setări de politici separate, cu alte cuvinte, politici care definesc o configurație specifică pentru aplicația lor.
Infrastructura cheii publice
Acum, infrastructura cheilor publice este utilizată în aproape fiecare organizație. Certificatele digitale pot fi utilizate pentru a oferi comunicații sigure pe site-uri web, pentru a cripta e-mailuri, pentru a proteja comunicațiile fără fir, sistemele de criptare a fișierelor, rețelele virtuale private și multe altele. Este evident că, pentru a implementa o astfel de tehnologie complexă într-o organizație, este necesar să planificați, să implementați și să monitorizați cu atenție o astfel de infrastructură. În sistemele bazate pe Windows pentru punerea în aplicare a tehnologiei PKI îndeplinește Active Directory certificat Services, care poate fi numită o parte obligatorie a structurii Active Directory, care oferă servicii personalizate pentru a elibera certificate de chei publice folosite în sistemele de software de securitate care utilizează tehnologii-cheie publice, precum și gestionarea acestor certificate.
Pentru infrastructura PKI în sine, există mai multe componente de bază:
Active Directory Certificate Services include suport pentru toate componentele de mai sus și oferă, de asemenea, funcții cum ar fi serviciul Responder online care acceptă cereri de stare de revocare pentru certificate specifice, procesul de înscriere automată a certificatelor, arhivare, recuperare de chei și multe altele.