Netværksadgangsbeskyttelse - Network Access Protection

Netværksadgangsbeskyttelse ( NAP ) er en Microsoft-teknologi til styring af netværksadgang til en computer baseret på dens helbred. Med NAP kan systemadministratorer for en organisation definere politikker til systemkrav. Eksempler på systemtilstandskrav er, om computeren har de seneste opdateringer til operativsystemet installeret, om computeren har den nyeste version af antivirussoftwaresignaturen , eller om computeren har en værtsbaseret firewall installeret og aktiveret. Computere med en NAP-klient vil få deres sundhedsstatus vurderet, når de opretter en netværksforbindelse. NAP kan begrænse eller nægte netværksadgang til de computere, der ikke overholder de definerede sundhedskrav.

NAP blev udfaset i Windows Server 2012 R2 og fjernet fra Windows Server 2016 .

Oversigt

Network Access Protection Client Agent gør det muligt for klienter, der understøtter NAP, at evaluere softwareopdateringer til deres sundhedserklæring. NAP-klienter er computere, der rapporterer deres systemtilstand til et NAP-håndhævelsessted. Et NAP-håndhævelsespunkt er en computer eller en enhed, der kan evaluere en NAP-klients sundhed og eventuelt begrænse netværkskommunikation. NAP-håndhævelsespunkter kan være IEEE 802.1X- kompatible switche eller VPN- servere, DHCP- servere eller Health Registration Authorities (HRA'er), der kører Windows Server 2008 eller nyere. NAP-sundhedspolitikserveren er en computer, der kører NPS- tjenesten ( Network Policy Server ) i Windows Server 2008 eller nyere, der gemmer sundhedskravspolitikker og giver sundhedsevaluering for NAP-klienter. Politikker for sundhedskrav er konfigureret af administratorer. De definerer kriterier, som klienter skal opfylde, før de får tilladelse til uhindret forbindelse; disse kriterier kan omfatte versionen af ​​operativsystemet, en personlig firewall eller et opdateret antivirusprogram.

Når en NAP-kompatibel klientcomputer kontakter et NAP-håndhævelsespunkt, indsender den sin nuværende sundhedstilstand. NAP-håndhævelsespunktet sender NAP-klientens helbredstilstand til NAP-sundhedspolitikserveren til evaluering ved hjælp af RADIUS- protokollen. NAP-sundhedspolitikserveren kan også fungere som en RADIUS-baseret godkendelsesserver til NAP-klienten.

NAP-sundhedspolitikserveren kan bruge en sundhedskravsserver til at validere NAP-klientens sundhedstilstand eller til at bestemme den aktuelle version af software eller opdateringer, der skal installeres på NAP-klienten. For eksempel kan en sundhedskravsserver spore den nyeste version af en antivirus-signaturfil.

Hvis NAP-håndhævelsespunktet er en HRA, modtager det sundhedscertifikater fra en certificeringsmyndighed for NAP-klienter, som det anser for at være i overensstemmelse med de relevante krav. NAP-klienter kan placeres på et begrænset netværk, hvis de anses for ikke-kompatible. Det begrænsede netværk er en logisk delmængde af intranettet og indeholder ressourcer, der gør det muligt for en ikke-kompatibel NAP-klient at rette systemets tilstand. Servere, der indeholder systemtilstandskomponenter eller opdateringer, kaldes afhjælpningsservere. En ikke-kompatibel NAP-klient på det begrænsede netværk kan få adgang til afhjælpningsservere og installere de nødvendige komponenter og opdateringer. Når afhjælpningen er afsluttet, kan NAP-klienten udføre en ny sundhedsevaluering i forbindelse med en ny anmodning om netværksadgang eller kommunikation.

NAP-klientsupport

En NAP-klient leveres med Windows Vista , Windows 7 , Windows 8 og Windows 8.1, men ikke med Windows 10 . En begrænset NAP-klient er også inkluderet i Windows XP Service Pack 3 . Det har ingen MMC- snap-in og understøtter ikke AuthIP- baseret IPsec- håndhævelse. Som sådan kan den kun administreres via et kommandolinjeværktøj kaldet netsh , og IPsec-håndhævelsen er kun IKE- baseret.

Microsofts partnere leverer NAP-klienter til andre operativsystemer som Mac OS X og Linux .

Se også

Referencer

eksterne links