Защита доступа к сети

Network Access Protection ( NAP ) — это технология Microsoft для управления сетевым доступом компьютера на основе его работоспособности. Впервые она была включена в Windows Vista и Windows Server 2008 и перенесена в Windows XP Service Pack 3. С помощью NAP системные администраторы организации могут определять политики для требований к работоспособности системы. ^[1] Примерами требований к работоспособности системы являются: установлены ли на компьютере последние обновления операционной системы, установлена ​​ли на компьютере последняя версия сигнатуры антивирусного программного обеспечения или установлен ли и включен ли на компьютере брандмауэр на основе хоста . Компьютеры с клиентом NAP будут оценивать свое состояние работоспособности при установлении сетевого подключения. NAP может ограничивать или запрещать сетевой доступ к компьютерам, которые не соответствуют определенным требованиям к работоспособности.

NAP был объявлен устаревшим в Windows Server 2012 R2 ^[2] и удален из Windows Server 2016. [ ^3]

Обзор

Network Access Protection Client Agent позволяет клиентам, поддерживающим NAP, оценивать обновления программного обеспечения для своего заявления о работоспособности. ^[4] Клиенты NAP — это компьютеры, которые сообщают о работоспособности своей системы в точку принудительного применения NAP. Точка принудительного применения NAP — это компьютер или устройство, которые могут оценивать работоспособность клиента NAP и при необходимости ограничивать сетевые коммуникации. Точками принудительного применения NAP могут быть коммутаторы с поддержкой IEEE 802.1X или серверы VPN , серверы DHCP или центры регистрации работоспособности (HRA), работающие под управлением Windows Server 2008 или более поздней версии. Сервер политики работоспособности NAP — это компьютер, на котором запущена служба сервера сетевой политики (NPS) в Windows Server 2008 или более поздней версии, которая хранит политики требований к работоспособности и обеспечивает оценку работоспособности для клиентов NAP. Политики требований к работоспособности настраиваются администраторами. Они определяют критерии, которым должны соответствовать клиенты, прежде чем им будет разрешено беспрепятственное подключение; эти критерии могут включать версию операционной системы, персональный брандмауэр или обновленную антивирусную программу.

Когда клиентский компьютер с поддержкой NAP связывается с точкой применения NAP, он отправляет свое текущее состояние работоспособности. Точка применения NAP отправляет состояние работоспособности клиента NAP на сервер политики работоспособности NAP для оценки с использованием протокола RADIUS . Сервер политики работоспособности NAP также может выступать в качестве сервера аутентификации на основе RADIUS для клиента NAP.

Сервер политики работоспособности NAP может использовать сервер требований работоспособности для проверки состояния работоспособности клиента NAP или для определения текущей версии программного обеспечения или обновлений, которые необходимо установить на клиенте NAP. Например, сервер требований работоспособности может отслеживать последнюю версию файла сигнатуры антивируса.

Если точкой применения NAP является HRA, она получает сертификаты работоспособности от центра сертификации для клиентов NAP, которые, по ее мнению, соответствуют соответствующим требованиям. Клиенты NAP могут быть помещены в ограниченную сеть, если они считаются несоответствующими. Ограниченная сеть является логическим подмножеством интрасети и содержит ресурсы, которые позволяют несоответствующему клиенту NAP исправить работоспособность своей системы. Серверы, которые содержат компоненты работоспособности системы или обновления, называются серверами исправления. Несоответствующий клиент NAP в ограниченной сети может получить доступ к серверам исправления и установить необходимые компоненты и обновления. После завершения исправления клиент NAP может выполнить новую оценку работоспособности совместно с новым запросом на сетевой доступ или связь.

Поддержка клиентов NAP

Клиент NAP поставляется с Windows Vista , Windows 7 , Windows 8 и Windows 8.1 , но не с Windows 10. ^[3] Ограниченный клиент NAP также включен в Windows XP Service Pack 3. Он не имеет оснастки MMC и не поддерживает принудительное применение IPsec на основе AuthIP . Таким образом, им можно управлять только с помощью инструмента командной строки под названием netsh , а принудительное применение IPsec основано только на IKE . ^{[5] [6]}

Партнеры Microsoft предоставляют клиенты NAP для других операционных систем, таких как macOS и Linux .

Смотрите также

• Контроль доступа
• Контроль доступа к сети
• Контроль доступа к сети
• Сетевая безопасность
• Компьютерная безопасность
• PacketFence

Ссылки

1. "Network Access Protection". 2 июля 2012 г. Архивировано из оригинала 2016-06-07 . Получено 2016-06-15 .
2. "Функции, удаленные или устаревшие в Windows Server 2012 R2". Архивировано из оригинала 2015-02-08 . Получено 2015-01-29 .
3. "Что нового в DHCP в Windows Server Technical Preview". Архивировано из оригинала 2015-04-09 . Получено 2015-05-20 .
4. "Как включить клиентский агент защиты доступа к сети". technet.microsoft.com . Архивировано из оригинала 2016-08-19 . Получено 2016-07-15 .
5. Sigman, Jeff (8 ноября 2007 г.). "XP NAP Rude Q and A". Блог Network Access Protection (NAP) . Microsoft . Архивировано из оригинала 27 мая 2008 г. Получено 24 декабря 2009 г.
6. Сигман, Джефф (20 июня 2007 г.). «NAP демистифицирован (надеюсь)». Блог Network Access Protection (NAP) . Microsoft . Архивировано из оригинала 3 января 2015 г. . Получено 18 сентября 2015 г. .

Внешние ссылки

• Веб-страница Microsoft по защите доступа к сети
• Веб-страница Microsoft по защите доступа к сети на сайте Microsoft Technet
• Блог NAP на Microsoft Technet
• Руководство по проектированию защиты сетевого доступа от Microsoft на сайте Microsoft Technet
• Руководство по развертыванию защиты сетевого доступа от Microsoft на сайте Microsoft Technet
• Руководство по устранению неполадок защиты сетевого доступа от Microsoft на сайте Microsoft Technet