Panie Piotrze, od czasu naszych zajęć oraz dyskusji na ten temat jestem Panu winien odpowiedź:

Kolega Daniel oczywiście ma rację – wymuszenie jest realizowane poprzez NAP, jednak pamiętajmy, że jest to realizowane na zasadzie „być albo nie być” dla naszego klienta.

Mam tu na myśli to, że nasz klient zanim zostanie „wpuszczony” do naszej sieci przechodzi test zdrowia, który jeśli się powiedzie (tj. klient ma wszystkie poprawki critical, ostatnie definicje AV), pozwoli by klient pracował normalnie w naszej sieci.

Jeśli jednak test się nie powiedzie, klient zostanie skierowany do tzw. sieci naprawczej, by poprawić jego kondycję zdrowotną (remediation server group), gdzie np. WSUS zaopatrzy go we wszystko, co do tego „dobrego samopoczucia” będzie klientowi potrzebne.

Scenariusz taki realizujemy przede wszystkim na połączeniach zdalnych VPN, gdy nie mamy wiedzy, skąd i w jakich okolicznościach oraz z jakim stanem zdrowia nasz klient łączy się oraz wszędzie tam, gdzie jest to wymagane (placówki o podwyższonych wymaganiach bezpieczeństwa, banki zgodnie z przyjętą rekomendacją itp.).

W typowym scenariuszu, gdzie posiadamy komputery stacjonarne, włączone 5 dni w tygodniu po 8 godzin, podobny efekt możemy uzyskać poprzez zwykły serwer WSUS; piszę podobny, bo tutaj tylko ustawiamy dead-line na danej poprawce oraz dostajemy ewentualne ostrzeżenie, że dany komputer nie zaktualizował się z jakichś przyczyn. Jednak klient, który nie otrzyma ostatniej poprawki lub definicji AV, pracuje nadal w tej samej sieci – decyzja, czy jest to do przyjęcia, jest po Pana stronie, oczywiście zgodnie z polityką bezpieczeństwa Pana firmy.

Proszę zauważyć, że niektóre z poprawek muszą zostać zainstalowane natychmiast (zgodnie z defense-in-depth); jeśli jednak cała reszta naszej infrastruktury „gra” - katastrofy nie będzie. Ponadto, czy to będzie WSUS w LAN czy też w remediation server group, proszę mieć na uwadze, że będzie to WSUS. Więc jeśli dobrze rozegra Pan temat w LAN oraz będzie monitorował na bieżąco raporty maszyn zaktualizowanych vs. nieudanych, również bezpieczeństwo i jego kontrola będą na odpowiednim poziomie.

Odnośnie samego AV – jeśli jest to np. FEP lub Security Essential, bez problemu jego aktualizacje są dostępne we WSUS, jeśli jest to inny produkt - pozostaje nam “paczkowanie”, które również można zaaplikować z WSUS-a. Temat omawiany był tutaj:


https://quorum.akademiq.pl/discussion/4193/wdrażanie-aplikacji-na-komputerach-w-domenie#Comment_5945

Dziękuje Panie Krzysztofie.

Myślę, że w zupełności wystarczy mi "wymuszenie" na poziomie WSUS-a.
Dodatkowo możliwe, że użyje NAP-a tylko i wyłącznie do wymuszania pewnych czynności oprócz tego "Być albo nie być" ze względu takiego, iż zależy mi na pracy.

Pozdrawiam!