Proteção de acesso à rede - Network Access Protection

A Proteção de Acesso à Rede ( NAP ) é uma tecnologia da Microsoft para controlar o acesso de um computador à rede, com base em sua integridade. Com o NAP, os administradores de sistema de uma organização podem definir políticas para os requisitos de integridade do sistema. Exemplos de requisitos de integridade do sistema são se o computador tem as atualizações mais recentes do sistema operacional instaladas, se o computador tem a versão mais recente da assinatura do software antivírus ou se o computador tem um firewall baseado em host instalado e ativado. Os computadores com um cliente NAP terão seu status de integridade avaliado ao estabelecer uma conexão de rede. O NAP pode restringir ou negar o acesso à rede aos computadores que não estão em conformidade com os requisitos de integridade definidos.

O NAP foi preterido no Windows Server 2012 R2 e removido do Windows Server 2016 .

Visão geral

O Agente de cliente de proteção de acesso à rede possibilita que clientes que oferecem suporte a NAP avaliem as atualizações de software quanto à sua declaração de integridade. Os clientes NAP são computadores que relatam a integridade do sistema a um ponto de imposição de NAP. Um ponto de imposição de NAP é um computador ou dispositivo que pode avaliar a integridade de um cliente NAP e, opcionalmente, restringir as comunicações de rede. Os pontos de imposição de NAP podem ser switches com capacidade para IEEE 802.1X ou servidores VPN , servidores DHCP ou Autoridades de Registro de Integridade (HRAs) que executam o Windows Server 2008 ou posterior. O servidor de diretiva de integridade NAP é um computador que executa o Network Policy Server (NPS) serviço no Windows Server 2008 ou mais tarde que as políticas e requisitos de lojas de saúde fornece avaliação de saúde para clientes NAP. As políticas de requisitos de saúde são configuradas pelos administradores. Eles definem os critérios que os clientes devem atender antes de terem permissão para conexão não impedida; esses critérios podem incluir a versão do sistema operacional, um firewall pessoal ou um programa antivírus atualizado.

Quando um computador cliente compatível com NAP contata um ponto de imposição de NAP, ele envia seu estado de integridade atual. O ponto de imposição NAP envia o estado de integridade do cliente NAP ao servidor de política de integridade NAP para avaliação usando o protocolo RADIUS . O servidor de política de integridade NAP também pode atuar como um servidor de autenticação baseado em RADIUS para o cliente NAP.

O servidor de política de integridade NAP pode usar um servidor de requisitos de integridade para validar o estado de integridade do cliente NAP ou para determinar a versão atual do software ou atualizações que precisam ser instaladas no cliente NAP. Por exemplo, um servidor de requisitos de integridade pode rastrear a versão mais recente de um arquivo de assinatura de antivírus.

Se o ponto de imposição de NAP for um HRA, ele obterá certificados de integridade de uma autoridade de certificação para clientes NAP que considere estar em conformidade com os requisitos relevantes. Os clientes NAP podem ser colocados em uma rede restrita se forem considerados incompatíveis. A rede restrita é um subconjunto lógico da intranet e contém recursos que permitem que um cliente NAP incompatível corrija a integridade do sistema. Os servidores que contêm atualizações ou componentes de integridade do sistema são conhecidos como servidores de remediação. Um cliente NAP incompatível na rede restrita pode acessar servidores de remediação e instalar os componentes e atualizações necessários. Após a conclusão da correção, o cliente NAP pode executar uma nova avaliação de integridade em conjunto com uma nova solicitação de acesso ou comunicação à rede.

Suporte ao cliente NAP

Um cliente NAP é fornecido com o Windows Vista , Windows 7 , Windows 8 e Windows 8.1, mas não com o Windows 10 . Um cliente NAP limitado também está incluído no Windows XP Service Pack 3 . Ele não tem snap-in do MMC e não oferece suporte à imposição de IPsec baseada em AuthIP . Como tal, ele só pode ser gerenciado por meio de uma ferramenta de linha de comando chamada netsh , e a imposição de IPsec é baseada apenas em IKE .

Os parceiros da Microsoft fornecem clientes NAP para outros sistemas operacionais, como Mac OS X e Linux .

Veja também

• Controle de acesso
• Controle de admissão de rede
• Controle de acesso à rede
• Segurança de rede
• Segurança informática
• PacketFence

Referências

links externos

• Página da Web de Proteção de Acesso à Rede da Microsoft
• Página da Web de Proteção de Acesso à Rede da Microsoft no Microsoft Technet
• NAP Blog no Microsoft Technet
• Guia de Design de Proteção de Acesso à Rede da Microsoft no Microsoft Technet
• Guia de Implantação de Proteção de Acesso à Rede da Microsoft no Microsoft Technet
• Guia de solução de problemas de proteção de acesso à rede da Microsoft no Microsoft Technet