Защита доступа к сети ( NAP ) - это технология Microsoft для управления доступом компьютера к сети в зависимости от его состояния. С помощью NAP системные администраторы организации могут определять политики для требований к работоспособности системы. [1] Примерами требований к работоспособности системы являются наличие на компьютере самых последних обновлений операционной системы, наличие на компьютере последней версии сигнатуры антивирусного программного обеспечения или наличие на компьютере брандмауэра на основе хоста.установлен и включен. Компьютеры с клиентом NAP получат оценку состояния их работоспособности после установления сетевого подключения. NAP может ограничивать или запрещать доступ к сети для компьютеров, которые не соответствуют определенным требованиям к работоспособности.
Защита доступа к сети устарела в Windows Server 2012 R2 [2] и была удалена из Windows Server 2016 . [3]
Обзор
Агент клиента защиты доступа к сети позволяет клиентам, поддерживающим NAP, оценивать обновления программного обеспечения на предмет состояния их работоспособности. [4] Клиенты NAP - это компьютеры, которые сообщают о работоспособности своей системы точке принудительного NAP. Точка принудительной защиты доступа к сети - это компьютер или устройство, которое может оценивать работоспособность клиента защиты доступа к сети и при необходимости ограничивать сетевое взаимодействие. Точки принудительной защиты доступа к сети могут быть коммутаторами с поддержкой IEEE 802.1X или серверами VPN, серверами DHCP или центрами регистрации работоспособности (HRA), работающими под управлением Windows Server 2008 или более поздней версии . Сервер политики работоспособности NAP - это компьютер, на котором запущена служба сервера политики сети (NPS) в Windows Server 2008 или более поздней версии, которая хранит политики требований к работоспособности и предоставляет оценку работоспособности для клиентов NAP. Политики требований к работоспособности настраиваются администраторами. Они определяют критерии, которым должны соответствовать клиенты, прежде чем им будет разрешено беспрепятственное соединение; эти критерии могут включать версию операционной системы, персональный брандмауэр или новейшую антивирусную программу.
Когда клиентский компьютер с поддержкой NAP связывается с точкой принудительной защиты доступа к сети, он сообщает свое текущее состояние работоспособности. Точка принудительного применения NAP отправляет состояние работоспособности клиента NAP на сервер политики работоспособности NAP для оценки с использованием протокола RADIUS . Сервер политики работоспособности NAP также может действовать как сервер аутентификации на основе RADIUS для клиента NAP.
Сервер политики работоспособности NAP может использовать сервер требований к работоспособности для проверки состояния работоспособности клиента NAP или для определения текущей версии программного обеспечения или обновлений, которые необходимо установить на клиенте NAP. Например, сервер требований к работоспособности может отслеживать последнюю версию файла сигнатур антивируса.
Если точка принудительного применения NAP является HRA, она получает сертификаты работоспособности от центра сертификации для клиентов NAP, которые, по его мнению, соответствуют соответствующим требованиям. Клиенты NAP могут быть размещены в сети с ограниченным доступом, если они считаются несовместимыми. Сеть с ограниченным доступом является логическим подмножеством интрасети и содержит ресурсы, которые позволяют несоответствующему клиенту NAP исправить состояние своей системы. Серверы, содержащие компоненты работоспособности системы или обновления, известны как серверы исправления. Несоответствующий клиент NAP в сети с ограниченным доступом может получить доступ к серверам исправлений и установить необходимые компоненты и обновления. После завершения исправления клиент NAP может выполнить новую оценку работоспособности вместе с новым запросом на доступ к сети или обмен данными.
Поддержка клиентов NAP
Клиент NAP поставляется с Windows Vista , Windows 7 , Windows 8 и Windows 8.1, но не с Windows 10 . [3] Клиент ограниченного доступа к сети также включен в Windows XP Service Pack 3 . Он не имеет оснастки MMC и не поддерживает принудительное применение IPsec на основе AuthIP . Таким образом, им можно управлять только с помощью инструмента командной строки под названием netsh , а принудительное применение IPsec основано только на IKE . [5] [6]
Партнеры Microsoft предоставляют клиентов NAP для других операционных систем, таких как Mac OS X и Linux .
Смотрите также
Рекомендации
- ^ «Защита доступа к сети» . Архивировано 07 июня 2016 года . Проверено 15 июня 2016 .
- ^ «Функции, удаленные или устаревшие в Windows Server 2012 R2» . Архивировано 8 февраля 2015 года . Проверено 29 января 2015 .
- ^ а б «Что нового в DHCP в Windows Server Technical Preview» . Архивировано 9 апреля 2015 года . Проверено 20 мая 2015 .
- ^ «Как включить агент клиента защиты доступа к сети» . technet.microsoft.com . Архивировано 19 августа 2016 года . Проверено 15 июля 2016 .
- ^ Сигман, Джефф (8 ноября 2007 г.). «XP NAP Rude Q and A» . Блог о защите доступа к сети (NAP) . Microsoft . Архивировано 27 мая 2008 года . Проверено 24 декабря 2009 года .
- ^ Сигман, Джефф (20 июня 2007 г.). «Демистификация НПД (надеюсь)» . Блог о защите доступа к сети (NAP) . Microsoft . Архивировано 3 января 2015 года . Проверено 18 сентября 2015 года .
Внешние ссылки
- Веб-страница Microsoft по защите доступа к сети
- Веб-страница Microsoft по защите доступа к сети на Microsoft Technet
- Блог NAP на Microsoft Technet
- Руководство Microsoft по проектированию защиты доступа к сети на Microsoft Technet
- Руководство Microsoft по развертыванию защиты доступа к сети на Microsoft Technet
- Руководство Microsoft по устранению неполадок защиты доступа к сети на Microsoft Technet