Защита доступа к сети (NAP) – это новый набор компонентов операционной системы в Windows Server® 2008 и Windows Vista®, предоставляющий платформу, которая помогает обеспечивать соответствие клиентских систем в частной сети требованиям к работоспособности, заданным администратором. Политики NAP определяют необходимое состояние конфигурации и обновления для операционной системы и критически важного программного обеспечения на клиентских компьютерах. Например, они могут требовать, чтобы на компьютерах использовалось антивирусное программное обеспечение с новейшими сигнатурами, были установлены необходимые обновления операционной системы и включен индивидуальный брандмауэр. Обеспечивая соответствие требованиям к работоспособности, защита доступа к сети помогает администраторам сети уменьшить риск, связанный с неправильной настройкой клиентских компьютеров, из-за чего они могут оказаться уязвимы для вирусов и других вредоносных программ.

Защита доступа к сети обеспечивает соблюдение требований к работоспособности, отслеживая и оценивая работоспособность клиентских компьютеров, когда они пытаются подключиться к сети или передать по ней данные. При обнаружении клиентских компьютеров, которые не соответствуют требованиям, они могут быть помещены в сеть с ограниченным доступом, содержащую ресурсы, помогающие привести клиентские системы в соответствие политикам работоспособности.

Для кого предназначена эта возможность

Защита доступа к сети может заинтересовать администраторов сетей и систем, которым необходимо обеспечить соответствие клиентских компьютеров, подключающихся к сети, требованиям к работоспособности. Защита доступа к сети дает администраторам сети следующие возможности:

•обеспечивать в локальной сети работоспособность настольных компьютеров, настроенных для использования протокола DHCP, подключающихся к сети через устройства проверки подлинности 802.1X или выполняющих обмен данными в соответствии с политиками NAP IPsec;

•обеспечивать соблюдение требований к работоспособности мобильных компьютеров при их повторном подключении к корпоративной сети;

•проверять соответствие политикам и работоспособность неуправляемых домашних компьютеров, подключающихся к корпоративной сети через сервер виртуальной частной сети со службами маршрутизации и удаленного доступа;

•определять работоспособность мобильных компьютеров, принадлежащих посетителям и партнерам организации, и ограничивать доступ к ресурсам организации для этих компьютеров.

В зависимости от конкретных требований администраторы могут создать и настроить решение, пригодное для использования во всех этих сценариях.

Защита доступа к сети включает также набор прикладных программных интерфейсов (API), позволяющих разработчикам и поставщикам создавать собственные компоненты для проверки сетевых политик, обеспечения соответствия требованиям и изоляции сети.

Для развертывания защиты доступа к сети необходимы серверы с ОС Windows Server 2008, а также клиентские компьютеры с ОС Windows Vista, Windows Server 2008 или Windows XP с пакетом обновления 3 (SP3). Центральным сервером, который выполняет анализ работоспособности для защиты доступа к сети, должен быть компьютер с ОС Windows Server 2008 с сервером политики сети (NPS). 

Сервер политики сети – это реализация RADIUS-сервера и RADIUS-прокси для систем Windows. Он заменяет службу проверки подлинности в Интернете в системе Windows Server 2003. Устройства доступа и серверы NAP являются клиентами для RADIUS-сервера на базе сервера политики сети. Сервер политики сети выполняет проверку подлинности и авторизацию при попытках подключения к сети, определяет, соответствуют ли компьютеры заданным политикам работоспособности, и ограничивает доступ к сети для компьютеров, которые им не соответствуют.

Платформа NAP представляет собой новую технологию проверки работоспособности клиентов и обеспечения их соответствия требованиям, входящую в операционные системы Windows Server 2008 и Windows Vista.

Одной из самых важных проблем для современных компаний является повышение уязвимости клиентских устройств перед вредоносным программным обеспечением, таким как вирусы и вирусы-черви. Эти программы могут попасть на незащищенные или неправильно настроенные компьютеры и использовать их для распространения на другие устройства в корпоративной сети. Платформа NAP позволяет администраторам защитить сети, обеспечив соответствие клиентских систем требованиям к конфигурации и уровню обновления для их защиты от вредоносных программ.

Для правильной работы защиты доступа к сети должны быть реализованы процессы проверки соответствия политике, применения защиты доступа к сети и ограничения доступа, а также обновления систем и непрерывной проверки их соответствия требованиям.

Для анализа состояния работоспособности клиентских компьютеров сервер политики сети использует средства проверки работоспособности системы. Эти средства интегрируются в политики сети, определяющие на основе состояния работоспособности клиентов действия, которые необходимо выполнить (например, предоставить полный или ограниченный доступ к сети). Состояние работоспособности отслеживают клиентские компоненты NAP, которые называются агентами работоспособности системы. Средства проверки работоспособности системы и агенты работоспособности системы используются компонентами защиты доступа к сети для отслеживания, применения и обновления конфигураций клиентских компьютеров.

В состав операционных систем Windows Server 2008 и Windows Vista входят агент работоспособности системы безопасности Windows и средство проверки работоспособности системы безопасности Windows, которые обеспечивают соответствие компьютеров с поддержкой NAP следующим требованиям:

•на клиентском компьютере должен быть установлен и включен программный брандмауэр;

•на клиентском компьютере должно быть установлено и включено анти-вирусное ПО;

•на клиентском компьютере должны быть установлены текущие обновления антивирусного ПО;

•на клиентском компьютере должна быть установлена и включена анти-шпионская программа;

•на клиентском компьютере установлены текущие обновления антишпионской программы;

•на клиентском компьютере включены службы обновления Microsoft.

Кроме того, если на клиентских компьютерах с поддержкой защиты доступа к сети выполняется агент центра обновления Windows и они зарегистрированы на сервере служб Windows Server Update Service (WSUS), защита доступа к сети может проверить наличие наиболее свежих обновлений программного обеспечения системы безопасности с использованием одного из четырех возможных значений, которые соответствуют уровням угроз для системы безопасности, определяемым центром Microsoft Security Response Center.

Защиту доступа к сети можно настроить так, чтобы клиентские компьютеры, не соответствующие политикам, не могли получить доступ к сети или могли получить только ограниченный доступ. Сеть с ограниченным доступом должна содержать ключевые службы NAP, такие как серверы центра регистрации работоспособности и серверы обновлений, чтобы клиенты NAP, не соответствующие требованиям, могли обновить свои конфигурации в соответствии с требованиями к работоспособности.

Параметры применения защиты доступа к сети позволяют или ограничить доступ к сети для клиентов, не соответствующих требованиям, или просто включить отслеживание и регистрацию состояния работоспособности клиентских компьютеров, поддерживающих защиту доступа к сети.

Используя указанные ниже параметры, можно ограничить доступ, отложить ограничение доступа или разрешить доступ.

•Разрешить полный доступ к сети. Этот вариант используется по умолчанию. Клиенты, которые отвечают условиям политики, считаются соответствующими требованиям к работоспособности и получают неограниченный доступ к сети, если запрос на подключение проходит проверку подлинности и авторизацию. При этом регистрируется соответствие клиентов с поддержкой NAP требованиям к работоспособности.

•Разрешить полный доступ к сети в ограниченное время. Клиентам, которые соответствуют требованиям политики, временно предоставляется неограниченный доступ к сети. Защита доступа к сети не применяется до заданных даты и времени.

•Разрешить ограниченный доступ. Клиентские компьютеры, которые отвечают условиям политики, не считаются соответствующими требованиям к работоспособности и помещаются в сеть с ограниченным доступом.

Клиентские компьютеры, не соответствующие требованиям и помещенные в сеть с ограниченным доступом, могут пройти процедуру обновления.

Обновлением называется процесс обновления клиентского компьютера для приведения его характеристик в соответствие с текущими требованиям к работоспособности. Например, сеть с ограниченным доступом может содержать FTP-сервер, предоставляющий новые сигнатуры вирусов, чтобы клиентские компьютеры, не соответствующие требованиям, могли обновить устаревшие сигнатуры.

Параметры защиты доступа к сети можно использовать в политиках сети сервера политики сети для настройки автоматического обновления, чтобы клиентские компоненты защиты доступа к сети автоматически пытались обновить клиентский компьютер, если он не соответствует требованиям политики. Для настройки автоматического обновления можно использовать параметр политики сети, указанный ниже.

•Автообновление. Если задан параметр Включить автообновление клиентских компьютеров, автоматическое обновление включено и компьютеры с поддержкой NAP, не соответствующие требованиям к работоспособности, автоматически пытаются выполнить обновление.

Постоянное наблюдение для обеспечения соответствия требованиям

Защита доступа к сети может обеспечивать соответствие клиентских компьютеров, уже подключенных к сети, требованиям к работоспособности. Эта возможность полезна, если требуется обеспечить постоянную защиту сети независимо от изменений политик работоспособности и характеристик работоспособности клиентских компьютеров. Например, если политика работоспособности требует, чтобы брандмауэр Windows был включен, а пользователь случайно отключил его, компоненты защиты доступа к сети могут определить, что компьютер уже не соответствует требованиям, и поместить его в сеть с ограниченным доступом до тех пор, пока брандмауэр Windows снова не будет включен.

Если автоматическое обновление включено, клиентские компоненты защиты доступа к сети могут автоматически включить брандмауэр Windows без участия пользователя.