none
NPS + SHV - Verificar se existe antivirus instalado ou rodando RRS feed

  • Pergunta

  • Pessoal, boa noite!

    Estou começando a mexer com o NPS e tenho um Ap Wireless configurando para autenticar meus usuários do domínio usando o Radius / NPS.

    Valido se o usuário faz parte do grupo do AD, e se sim, autoriza a entrada dele.

    Estou apenas validando rede sem fio, OK?

    Bom, isso está OK. tudo certo.

    O que gostaria de fazer é: Se o usuário NAO possui antivirus, ou se está desativado, que nao possa entrar na rede, recebendo alguma mensagem. (nesse primeiro momento nao precisa de remediation, apenas negar o acesso.)

    Rodo o NPS no server 2012, e tenho configurado a checagem lá no server, mas me parece que falta alguma GPO, para rodar na estação, é isso mesmo?

    Alguem pode me orientar?

    Obrigado e um abraço!

    Diego


    • Editado dimago quinta-feira, 10 de abril de 2014 11:55
    quarta-feira, 9 de abril de 2014 22:42

Todas as Respostas

  • Bom Dia.

    Você pode configurar a diretiva em Proteção de acesso a rede > SHV > Configurações, aí crie uma nova regra ou modifique a atual, e marque Aplicativo antivirus ativo e atualizado e o de spyware também.

    Para fazer que seus clientes se imponham a essas regras, use o NAPCLCFG.MSC, e configure como eles perguntarão ao NAP se são compatíveis com a rede. No meu caso, uso pelo DHCP, ou seja, quando o cliente acessa meu servidor DHCP, o NAP já faz suas verificações, adapte a sua necessidade.

    Também habilite a regra do NAP na GPO de Computador > Mod. Adm > Componentes do Windows > NAP.

    Abraços.


    Fabricio G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    quinta-feira, 10 de abril de 2014 14:40
  • Oi Fabricio,

    Obrigado pela ajuda. o SHV eu já tenho configurado..

    Sobre a parte do NAPCLCFG.MSC essas configurações eu posso fazer via GPO certro? Que é o que voce fala logo abaixo, correto?

    Falo isso, pois tenho uma GPO aqui, de Teste NAP, e tenho mais coisas configuradas nela... mas pelos testes que fiz, nao aplicou pro usuário..

    Configurei o SW para fazer a consulta, mas entao, posso testar com o DHCP?

    quinta-feira, 10 de abril de 2014 18:47
  • Isso mesmo. Por GPO é mais prático, visto que o napclcfg.msc é em máquina local... Certifique-se de configurar o grupo de servidores NPS corretamente, o nome certinho, atende ao seu protocolo utilizado na rede, se sua infra-estrutura conter HTTPS correto, pode forçar o uso de HTTPS, senão, configure o caminho do servidor somente em http://SERVIDOR e desmarque forçar SSL. Implante os métodos que melhor te atendem, se seu servidor possuir DHCP, pode testar sim, mas lembrando que depende de interação Cliente - Servidor, tenha certeza que a GPO foi aplicada e iniciada no dominio, e habilite os logs do NAP no servidor também, poderão ser úteis.

    Verifique também os grupos a que você está aplicando, aplique a grupos de computadores, e não de usuários, ou caso você tenha uma OU a parte para seus computadores, melhor ainda.


    Fabricio G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    quinta-feira, 10 de abril de 2014 19:17
  • A GPO me parece estar Ok. Já tenho ela entao configurada. Criei uma OU de testes e movi o Computador para lá. Ela já está sendo aplicada ao Computador.

    Sobre o grupo de servidores NPS, eu tenho apenas 1 servidor (estamos homologando) e voce refere essa configuração dentro do "Remote Radius Server Group"? Vou fazer o enforcement pelo switch, estou configurando ele...

    Sobre habilitar os logs do servidor NAP, nao sei se precisa fazer algo, mas eu vejo os logs sim, bem ruim de ver pelo server manager no server 2012, ai vejo no event viewer, security.

    No switch eu configurei o radius e alterei a porta para "autenticar", quando coloco isso, o computador deixa de responder ao ping, e vejo a critica no log, mas desativei as checagem de AV mas nao deu ainda..

    Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          11/04/2014 09:37:41
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      0301host02.cecred.coop.br
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            DOMAIN\NOTE_17$
        Account Name:            host/note_17.domain.com
        Account Domain:            DOMAIN
        Fully Qualified Account Name:    DOMAIN\NOTE_17$

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        5c-d9-98-be-89-8d
        Calling Station Identifier:        00-40-a7-18-5e-b5

    NAS:
        NAS IPv4 Address:        172.20.64.60
        NAS IPv6 Address:        -
        NAS Identifier:            SW-Teste-Diego
        NAS Port-Type:            Ethernet
        NAS Port:            7

    RADIUS Client:
        Client Friendly Name:        SW-Teste-Diego
        Client IP Address:            172.20.64.60

    Authentication Details:
        Connection Request Policy Name:    Use Windows authentication for all users
        Network Policy Name:        -
        Authentication Provider:        Windows
        Authentication Server:        server02.domain.com
        Authentication Type:        EAP
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            48
        Reason:                The connection request did not match any configured network policy.

    Acho que tem alguma coisa ainda que nao está fechando :)
    sexta-feira, 11 de abril de 2014 12:43
  • Mexi em algumas coisas, e agora ele está fazendo a checagem, veja:

    Network Policy Server granted full access to a user because the host met the defined health policy.

    User:
        Security ID:            DOMAIN\diego
        Account Name:            DOMAIN\diego
        Account Domain:            DOMAIN
        Fully Qualified Account Name:    DOMAIN\diego

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        00-18-0A-81-F0-16:CECRED
        Calling Station Identifier:        00-25-D3-21-BC-EB

    NAS:
        NAS IPv4 Address:        172.20.64.75
        NAS IPv6 Address:        -
        NAS Identifier:            -
        NAS Port-Type:            Wireless - IEEE 802.11
        NAS Port:            0

    RADIUS Client:
        Client Friendly Name:        Wireless1
        Client IP Address:            172.20.64.75

    Authentication Details:
        Connection Request Policy Name:    Use Windows authentication for all users
        Network Policy Name:        Secure Wireless Connections
        Authentication Provider:        Windows
        Authentication Server:        server02.domain
        Authentication Type:        PEAP
        EAP Type:            Microsoft: Secured password (EAP-MSCHAP v2)
        Account Session Identifier:        -

    Quarantine Information:
        Result:                Full Access
        Extended-Result:            -
        Session Identifier:            -
        Help URL:            -
        System Health Validator Result(s):    -

    Porem estou sem Antivirus nessa maquina.. e estah passando na checagem do Health, sendo que estou verificando se Antivirus is ON.

    Bom, parece que estou quase la :)

    sexta-feira, 11 de abril de 2014 13:27
  • Cara não tô conseguindo identificar o que se passa, mas eu acredito que se você configurar o cliente com 802.1x, talvez funcione corretamente em seu wireless.

    Ou, antes disso, em seus servidores confiáveis, coloque o seu servidor NAP, não o RADIUS, e diga se funcionou corretamente.


    Fabricio G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    sexta-feira, 11 de abril de 2014 14:45