Для дополнительно контроля подключающегося к корпоративной сети устройства (эндпоинта) возможно использовать специальные средства, имеющиеся в составе системы WNAM.

Контроль может понадобиться для того, чтобы:

Необходимо реагировать на изменение статуса контроля устройства - определение его уровня "легитимности" и "защищенности", с помещением устройства (его сетевого подключения) в специализированный сетевой сегмент. Для этого применяется карантинная политика, назначение VLAN, ACL, загружаемого ACL и т.п.

Необходимо динамически помещать устройство в карантин, и извлекать его с помещением в целевой сегмент сети при устранении нарушения.

Существует два принципиальных способа контроля устройств:

  1. Использование установленного на клиентском устройстве агента безопасности (EDR-агента), который постоянно работает на нём, и при обнаружении несоответствия корпоративным ИБ-политикам вызывает пере-авторизацию сетевого устройства. Необходим постоянно работающий агент (сервис), сервер управления агентами. Пример реализации такой системы в сочетании с WNAM - КИБ "Сакура".
  2. Использование разовых проверок устройства при его подключении к корпоративной сети, путём запроса операционной системы через встроенных в неё агентов управления. Этот способ не требует установки специализированных агентов на устройство, но не позволяет оперативно реагировать на изменения состояния устройства в ходе его работы. Такой способ в интеграции с WNAM описан далее.

Начиная с версии 1.6.4565 (17/0/2025) WNAM имеет в своём составе отдельный сервис проверки эндпоинтов, EndpointCheck. Он позволяет производить подключение к авторизующемуся компьютеру по протоколу winrm (Powershell Remoting) с последующей попыткой выполнения на нём сценария Powershell. Конечно, данный способ будет работать только для доменных компьютеров под управлением ОС Windows, с корректно настроенной службой удалённого управления. При этом произвольный PS-сценарий, который администратор системы моет самостоятельно разработать, проверяет а) саму возможность подключения к компьютеру, успех которого свидетельствует о принадлежности устройства к домену и б) позволяет выполнить сколь угодно сложные проверки состояния компьютера.

Сервис EndpointCheck устанавливается и запускается на том же сервере, где работает ПО WNAM, или на любом другом Linux-сервере в сети. Он получает запросы от WNAM, формирующиеся при авторизации эндпоинта через специально настроенное правило авторизации, и принимает ответ от Windows-компьютера с результатами выполнения PS-скрипта. В случае изменения статуса эндпоинта отправляется команда на пере-авторизацию порта, и вызванное затем применение нужной политики безопасности сетевого подключения.

Настройка механизма проверки эндпоинта состоит из следующих стадий:

  1. Получение и установка сервиса EndpointCheck. Обратитесь в техническую поддержку за дистрибутивом.
  2. Настройка службы удаленного управления Windows (WS-Management), выполняемая вручную, либо средствами групповой политики Windows. Поддерживается HTTP-подключение с NTLM-авторизацией доменного пользователя.
  3. Создание проверочного Powershell-скрипта. Вы можете написать любой скрипт, который в случае успеха выдаёт код возврата 0, неудачи - любой другой код возврата, и короткую текстовую строку статуса в stdout. Пример скрипта - производит получение версии Windows.
  4. Настройка действий, осуществляемых при подключении эндпоинта, не прошедшего проверку. Здесь назначаются переопределяющие сетевые правила, различные таймеры. Действие производится в разделе "Конфигурация - Корпоративные настройки - Интеграция с сервисом проверки эндпоинтов":
  6. Настройка адреса (REST API) сервиса EndpointCheck, логина и пароля пользователя, от имени которого будет проводиться WinRM-подключения. Действие производится в разделе "Конфигурация-Дополнительные настройки":
  8. Настройка правила авторизации, в котором по умолчанию задаётся целевой VLAN, dACL и т.п. для случая успешной проверки состояния эндпоинта (когда она завершилась успехом в пределах действия тайм-аута), и ссылкой на необходимость запуска такой проверки:
  10. Настройка сервера доступа (NAS) с поддержкой функции CoA, правил аутентификации, интеграция со службой каталога и т.п.

Система проверки эндпоинта требует работоспособного механизма сброса текущей сессии пользователя с его последующей пере-авторизацией.

Поскольку авторизация работает на основе MAC-адреса эндпоинта, а последующий запрос WinRM-сервиса роизводится по его IP-адресу, требуется надежная работоспособность функции DHCP-snooping на сетевом оборудовании, либо интеграция WNAM с DHCP-сервером.

Система проверки эндпоинта может работать и на 802.1Х подключениях, и на МАВ-подключениях. Обратите внимание, что при включении компьютера в сеть авторизация по МАС-адресу производится сетевым оборудованием, как только начинает функционировать сетевая карта. При этом запрос статуса эндпоинта помещается в очередь, и повторяется указанное в настройках число раз с заданными интервалами (по умолчанию три раза каждые 30 секунд) с тем, чтобы дождаться загрузки ОС, и выполнить в ней заданный PS-скрипт.

Рассмотрим пример первоначального подключения устройства к сети.

При авторизации WNAM не имеет известных данных по эндпоинту, что вызывает срабатывание политики переопределения доступа - в данном случае назначается "карантинный" VLAN 409.

WNAM проводит несколько попыток получения сведений о компьютере за этим IP-адресом, в конце концов они получены:

 

Это вызывает переавторизацию порта, и назначение нового VLAN (1):

В результате, легитимное устройство оказывается в заданной правилом сегменте сети.

Если подключающееся устройство не легитимно (не является членом домена, не проходит проверку скриптом), тогда EndpointCheck вернет ошибочный статус эндпоинта, и WNAM не осуществит сетевое пере-подключение, оставив устройство в карантинном VLAN.