Em muitos casos é necessário ter uma camada a mais de verificação para garantir que a estação pode ser aceita na rede corporativa.
Geralmente é verificado se a mesma esta inserida no domínio, se há um usuário corporativo autenticado ou se possui hostname conhecido. Entretanto pode-se usar outros fatores mais discretos como por exemplo uma espécie de “marca d’água” no registro do Windows. Trata-se apenas de uma chave criada para identificar que a maquina realmente pertence a organização, ou que por exemplo, trata-se de uma maquina já inspecionada pelo suporte.
O objetivo deste artigo é descrever como realizar esta verificação de forma automatizada e frequente através do uso de uma solução de Network Access Control, neste caso o Forescout CounterACT.
Para realizar esta configuração é necessário que o Forescout esteja devidamente implementado na infraestrutura, como mínimo de visibilidade e credenciais administrativas configuradas.
Na aba Policy – Policy Folder clica-se em New Policy Folder (Sinal de +) para adicionar uma nova pasta de politicas, podendo ser nomeada como 2 – Compliance ou o título que achar melhor.
Em seguida, seleciona-se a pasta recém criada e clica-se em Add no lado direito da tela. No Policy Wizard seleciona-se o Custom para criar uma politica customizada conforme figura abaixo:
Em seguida define-se um nome para a política que está sendo criada.
Agora deve-se selecionar um grupo previamente classificado para ser alvo desta verificação de compliance. Esta configuração é realizada para garantir que a verificação será apenas em estações que possuir registro para verificar, ou seja, estações com sistema operacional Windows.
No Scope da policy deve-se selecionar o range ou segmento IP previamente criado que será verificado. Através desta opção pode-se limitar o funcionamento da policy para uma rede Wireless ou corporativa sem gerar impactos em outros segmentos:
Após definir o escopo, na mesma tela deve ser selecionado o grupo no qual a política será aplicada, neste caso o grupo Windows:
Finalmente cria-se a “marca d’água no sistema operacional, criando uma chave de registro qualquer que será verificada posteriormente pelo ForeScout para validar a maquina como corporativa ou não:
Agora deve-se adicionar uma Sub-rule na qual será configurada a Chave de registro a ser verificada. Dentro da Sub-rule adiciona-se a Condition conforme ilustrado abaixo:
Esta politica irá buscar pela chave Computador\HKEY_LOCAL_MACHINE\SYSTEM\ControlePCCorp\Control com o valor 1 configurado.
Como ação resultante desta política, adiciona-se esta estação ao grupo Windows Corp conforme ilustrado abaixo:
Agora basta clicar em Finish para concluir a configuração da política e em seguida em Apply
Em seguida deve-se criar a chave no registry da estação para que ela seja aceita como uma máquina corporativa:
Após alguns segundos pode-se visualizar o resultado da política na aba NAC. Neste caso apenas estação AGILITY029 foi classificada no grupo Windows Corp, pois está com a chave de registro configurada:
A principal vantagem deste tipo de verificação a partir do Forescout é a possibilidade de inspecionar constantemente os equipamentos do ambiente sem intervenção humana e sem a necessidade de instalação um agente adicional.
Após a detecção de uma estação que não tenha os parâmetros configurados no registro , você pode informar por e-mail a equipe de suporte, ou tomar ações específicas como redirecionar para uma rede de visitantes entre outras remediações.