главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Технология защиты сетевого доступа Microsoft Network Access Protection (NAP) встроена в клиентские операционные системы Windows Longhorn Server и Windows Vista, она расширяет функциональность службы Network Access Quarantine Control в Windows Server 2003. Эта технология позволяет администраторам проверять состояние всех клиентов (а не только постоянных удалённых), подключённых к сети компьютеров в соответствие с принятым требованиям политики безопасности.

    Несоответствующие тем или иным требованиям машины будут направляться в специальную сеть с ограниченным доступом, где смогут снабдить свои системы недостающими для нужного уровня соответствия ресурсами.

    Ниже перечислены 10 основных фактов, которые необходимо узнать перед тем, как внедрить NAP в сеть.

    NAP — добавочная функция

    NAP не занимает нишу таких защитных механизмов сети, как брандмауэры, приложения по борьбе с вредоносным ПО и системы обнаружения вторжений. Эта технология ни в коей мере не способна предотвратить несанкционированный доступ в сеть. Вместо этого она помогает защитить от атак и действий вредоносных программ подключённые к сети компьютеры, система защита и конфигурация которых оставляет желать лучшего.

    NAP может работать в режиме мониторинга или в режиме изоляции

    В режиме мониторинга авторизированные пользователи получают доступ к сети даже в том случае, если их состояние их систем не удовлетворяют требованиям безопасности. Этим машинам присваивается соответствующий статус и администраторы могут дать пользователям необходимые инструкции. В изоляционном режиме неудовлетворяющие требования безопасности компьютеры переводятся в специальную карантинную сеть, где смогут установить все недостающие для утверждения ресурсы.

    Можно выбирать критерии соответствия

    Критерии соответствия включают наличие обновлений, "заплаток" и последних защитных патчей, антивирусных и антишпионских программ, брандмауэров и включенной службы автоматических обновлений Windows. Настроить эти критерии можно при помощи серверного средства оценки состояния систем System Health Validator (SHV).

    NAP-сервер должен быть встроен в Windows Longhorn Server

    NAP-сервер — это Сервер политики безопасности (Network Policy Server, NPS). NPS заменит в Longhorn службу аутентификации Internet Authentication Service (IAS), которая является частью Windows Server 2003 и отвечает за аутентификацию и авторизацию. В состав NAP входят сервер управления и координации политики NAP Administration Server и сервер определения соответствия NAP Enforcement Server. Компонент System Health Validator (SHV) запускается на сервере.

    NAP требует от клиентских компьютеров наличия клиентского приложения NAP

    Клиенты NAP для Windows Vista и Windows XP должны появиться с выходом Windows Longhorn Server. Агент System Health Agent (SHA) запускается на клиентских системах. Если машины сети работают на операционных системах, не поддерживающих NAP, можно внести их в список исключений, чтобы позволить им дальше работать в сети. Если же этого не сделать, не поддерживающие NAP компьютеры смогут получить доступ только к специальной карантинной сети.

    SHA представляет заявление о работоспособности Statement of Health (SoH), основанное на состоянии клиентской системы

    Приложение NAP добавляет SoH к SHV. SHV подключается к серверу политики безопасности Policy Server и определяет, соответствует ли описанный в SoH статус работоспособности клиентской системы требованиям принятой политики. Если да, то компьютер получает полный доступ к ресурсам сети. Если нет (в режиме изоляции), то компьютер получает доступ только к карантинной сети, где на специальных серверах коррекции (Remediation servers) содержатся все необходимые обновления и программы, наличие которых требуется для получения полного доступа.

    Использование сертификатов работоспособности для оптимизации процесса проверки

    Чтобы сервер Longhorn мог выполнять функции центра сертификации CA и выдавать сертификаты работоспособности, необходимо наличие служб Internet Information Services (IIS) и служб сертификации Certificate Services. Такой компьютер будет называться сервером авторизации работоспособности (Health Registration Authority, HRA). Клиент NAP будет отправлять заявление SoH серверу HRA, который в свою очередь будет посылать его на NPS-сервер. NPS-сервер будет связываться с сервером политики безопасности Policy Server, чтобы проверить SoH. Если проверка пройдёт успешно, сервер HRA выдаст клиенту сертификат работоспособности, который впоследствии можно использовать для идентификации по протоколу IPSec.

    Четыре механизма ограничения доступа NAP

    Для ограничения по протоколу IPSec (IPSec enforcement) используются сервер HRA и сертификаты X.509. Для ограничения по стандарту 802.1x (802.1x enforcement) используется компонент EAPHost NAP EC для проверки клиентов, подключающихся через точку доступа 802.1x (это может быть точка беспроводного доступа или Ethernet-коммутатор). Профили ограниченного доступа могут состоять из набора IP-фильтров или идентификаторов виртуальной локальной сети VLAN, предназначенные для направления компьютера в карантинную сеть. Для ограничения по идентификатору VPN (VPN enforcement) используются VPN-сервера в момент попытки подключения через виртуальную частную сеть. Для ограничения по протоколу DHCP (DHCP enforcement) используются DHCP сервера в момент, когда компьютер пытается арендовать или обновить конфигурацию IP-адреса в сети. Можно использовать как один, так и все методы ограничения доступа.

    Доступ ограничен только тем компьютерам, которые входят в сеть по одному из вышеописанных методов

    DHCP enforcement — самый простой и самый дорогой метод ограничения доступа, потому что все клиентские компьютеры DHCP должны будут арендовать IP-адреса (за исключением тех машин, которым присвоены статические адреса). Но самым надёжным методом является ограничение по IPSec. Даже при ограниченном доступе компьютер моет подключаться к DNS и DHCP-серверам, равно как и к серверам коррекции. Можно также разместить дополнительные DNS-серверы или включить их в карантинную сеть с ограниченным доступом вместо основных.

    NAP отличается от службы защиты сетевого доступа Network Access Quarantine Control в Windows Server 2003

    NAP можно применять абсолютно ко всем, а не только к подключенным удалённым системам сети. То есть с помощью NAP можно проверять и управлять состоянием как временно подключающихся к сети ноутбуков, так и местных настольных систем. NAP легко внедрить, поскольку в отличие от NAQC для её развёртывания не требуется создавать произвольные коды и производить настройку вручную посредством инструментов командной строки. Вдобавок сторонние производители ПО могут использовать интерфейс NAP для создания NAP-совместимых компонентов проверки состояния системы и ограничения сетевого доступа. NAP и NAQC можно использовать одновременно, но в большинстве случаев NAP удачно заменит NAQC.

    Автор: Debra Littlejohn Shinder, MCSE, MVP
    Версия на английском: techrepublic.com.com


    Оцените статью: Голосов

    Материалы по теме:
  • Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
  • Инструкция по конфигурированию Network Access Protection для ОС Windows Server 2008
  • Настройка и применение общего доступа к подключению интернета.
  • DirectAccess через Microsoft UAG: удобный способ перехода на IPv6
  • Объединение в сеть двух компьютеров



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+