Защита доступа к сети - Network Access Protection

Защита доступа к сети (NAP) - это технология Microsoft для управления доступом компьютера к сети в зависимости от его состояния. С помощью NAP системные администраторы организации могут определять политики для требований к работоспособности системы.[1] Примеры требований к работоспособности системы: установлены ли на компьютере самые последние обновления операционной системы, установлена ​​ли на компьютере последняя версия антивирусное программное обеспечение подпись, или есть ли на компьютере брандмауэр на основе хоста установлен и включен. Компьютеры с клиентом NAP получат оценку состояния их работоспособности после установления сетевого подключения. NAP может ограничивать или запрещать доступ к сети для компьютеров, которые не соответствуют определенным требованиям к работоспособности.

NAP был устарел в Windows Server 2012 R2[2] и удален из Windows Server 2016.[3]

Обзор

Агент клиента защиты доступа к сети позволяет клиентам, поддерживающим NAP, оценивать обновления программного обеспечения на предмет состояния их работоспособности.[4] Клиенты NAP - это компьютеры, которые сообщают о работоспособности своей системы точке принудительной защиты доступа к сети. Точка принудительной защиты доступа к сети - это компьютер или устройство, которое может оценивать состояние клиента защиты доступа к сети и, при необходимости, ограничивать сетевое взаимодействие. Точки обеспечения доступа к сети могут быть IEEE 802.1X -мощные переключатели или VPN серверы, DHCP серверов или центров регистрации работоспособности (HRA), которые работают Windows Server 2008 или позже. Сервер политики работоспособности NAP - это компьютер, на котором Сервер сетевой политики (NPS) служба в Windows Server 2008 или более поздней версии, который хранит политики требований к работоспособности и обеспечивает оценку работоспособности для клиентов NAP. Политики требований к работоспособности настраиваются администраторами. Они определяют критерии, которым должны соответствовать клиенты, прежде чем им будет разрешено неограниченное соединение; эти критерии могут включать версию операционной системы, персональный брандмауэр, или новейшую антивирусную программу.

Когда клиентский компьютер с поддержкой NAP связывается с точкой принудительной защиты доступа к сети, он сообщает свое текущее состояние работоспособности. Точка принудительного применения NAP отправляет состояние работоспособности клиента NAP на сервер политики работоспособности NAP для оценки с помощью РАДИУС протокол. Сервер политики работоспособности NAP также может действовать как сервер аутентификации на основе RADIUS для клиента NAP.

Сервер политики работоспособности NAP может использовать сервер требований к работоспособности для проверки состояния работоспособности клиента NAP или для определения текущей версии программного обеспечения или обновлений, которые необходимо установить на клиенте NAP. Например, сервер требований к работоспособности может отслеживать последнюю версию файла сигнатур антивируса.

Если точка принудительного NAP является HRA, она получает сертификаты работоспособности от Центр сертификации для клиентов NAP, которые соответствуют требованиям здоровья. Если установлено, что клиент NAP не соответствует требованиям к работоспособности, его можно дополнительно разместить в сети с ограничениями. Сеть с ограниченным доступом является логическим подмножеством интрасети и содержит ресурсы, которые позволяют клиенту, не соответствующему требованиям NAP, исправить состояние своей системы. Серверы, содержащие компоненты работоспособности системы или обновления, известны как серверы исправления. Несоответствующий клиент NAP в сети с ограниченным доступом может получить доступ к серверам исправлений и установить необходимые компоненты и обновления. После завершения исправления клиент NAP может выполнить новую оценку работоспособности в сочетании с новым запросом на доступ к сети или обмен данными.

Поддержка клиентов NAP

Клиент NAP поставляется с Виндоус виста, Windows 7, Windows 8 и Windows 8.1 но не с Windows 10.[3] Ограниченный клиент NAP также включен в Пакет обновления 3 для Windows XP. Нет MMC оснастка и не поддерживает AuthIP -основан IPsec исполнение. Таким образом, им можно управлять только с помощью инструмента командной строки под названием сетка, и принудительное применение IPsec АЙК только на основе.[5][6]

Партнеры Microsoft предоставляют клиентов NAP для других операционных систем, таких как Mac OS X и Linux.

Смотрите также

Рекомендации

  1. ^ Защита доступа к сети
  2. ^ Функции, удаленные или устаревшие в Windows Server 2012 R2
  3. ^ а б Что нового в DHCP в Windows Server Technical Preview
  4. ^ «Как включить агент клиента защиты доступа к сети». technet.microsoft.com. Получено 2016-07-15.
  5. ^ Сигман, Джефф (8 ноября 2007 г.). "XP NAP Rude Q and A". Блог о защите доступа к сети (NAP). Microsoft.
  6. ^ Сигман, Джефф (20 июня 2007 г.). «Демистификация НПД (надеюсь)». Блог о защите доступа к сети (NAP). Microsoft.

внешняя ссылка