Protecția accesului la rețea - Network Access Protection

Network Access Protection ( NAP ) este o tehnologie Microsoft pentru controlul accesului la rețea al unui computer, pe baza stării sale de sănătate. Cu NAP, administratorii de sistem ai unei organizații pot defini politici pentru cerințele de sănătate ale sistemului. Exemple de cerințe de sănătate ale sistemului sunt dacă computerul are instalate cele mai recente actualizări ale sistemului de operare, dacă computerul are cea mai recentă versiune a semnăturii software antivirus sau dacă computerul are un firewall bazat pe gazdă instalat și activat. Computerelor cu un client NAP li se va evalua starea de sănătate la stabilirea unei conexiuni de rețea. NAP poate restricționa sau refuza accesul la rețea la computerele care nu respectă cerințele de sănătate definite.

NAP a fost depreciat în Windows Server 2012 R2 și eliminat din Windows Server 2016 .

Prezentare generală

Agentul de protecție a accesului la rețea face posibil ca clienții care acceptă NAP să evalueze actualizările software pentru declarația lor de sănătate. Clienții NAP sunt computere care raportează starea sistemului lor către un punct de aplicare NAP. Un punct de aplicare NAP este un computer sau dispozitiv care poate evalua starea de sănătate a unui client NAP și poate restricționa opțional comunicațiile de rețea. Punctele de aplicare NAP pot fi switch-uri capabile IEEE 802.1X sau servere VPN , servere DHCP sau autorități de înregistrare a sănătății (HRA) care rulează Windows Server 2008 sau o versiune ulterioară. Serverul NAP politica de sănătate este un computer care execută Policy Network Server (NPS) , serviciul în Windows Server 2008 sau mai târziu că politicile de sănătate și cerința de magazine prevede evaluarea stării de sănătate pentru clienții ANP. Politicile privind cerințele de sănătate sunt configurate de administratori. Acestea definesc criteriile pe care clienții trebuie să le îndeplinească înainte de a li se permite o conexiune nedeterenată; aceste criterii pot include versiunea sistemului de operare, un firewall personal sau un program antivirus actualizat.

Atunci când un computer client compatibil NAP contactează un punct de aplicare NAP, acesta prezintă starea sa curentă de sănătate. Punctul de aplicare NAP trimite starea de sănătate a clientului NAP către serverul de politici de sănătate NAP pentru evaluare utilizând protocolul RADIUS . Serverul de politici de sănătate NAP poate acționa și ca un server de autentificare bazat pe RADIUS pentru clientul NAP.

Serverul de politici de sănătate NAP poate utiliza un server de cerințe de sănătate pentru a valida starea de sănătate a clientului NAP sau pentru a determina versiunea curentă a software-ului sau a actualizărilor care trebuie instalate pe clientul NAP. De exemplu, un server de cerințe de sănătate ar putea urmări cea mai recentă versiune a unui fișier de semnătură antivirus.

Dacă punctul de aplicare NAP este un HRA, acesta obține certificate de sănătate de la o autoritate de certificare pentru clienții NAP pe care le consideră conforme cu cerințele relevante. Clienții NAP pot fi plasați într-o rețea restricționată dacă sunt considerați neconformi. Rețeaua restricționată este un subset logic al intranetului și conține resurse care permit unui client NAP neconform să își corecteze starea sistemului. Serverele care conțin componente de sănătate ale sistemului sau actualizări sunt cunoscute sub numele de servere de remediere. Un client NAP neconform din rețeaua restricționată poate accesa servere de remediere și poate instala componentele și actualizările necesare. După ce remedierea este completă, clientul NAP poate efectua o nouă evaluare a stării de sănătate împreună cu o nouă cerere de acces la rețea sau comunicare.

Asistență client NAP

Un client NAP este livrat cu Windows Vista , Windows 7 , Windows 8 și Windows 8.1, dar nu cu Windows 10 . Un client NAP limitat este, de asemenea, inclus în Windows XP Service Pack 3 . Nu are snap-in MMC și nu acceptă aplicarea IPsec bazată pe AuthIP . Ca atare, acesta poate fi gestionat numai printr-un instrument de linie de comandă numit netsh , iar aplicarea IPsec se bazează numai pe IKE .

Partenerii Microsoft oferă clienților NAP pentru alte sisteme de operare, cum ar fi Mac OS X și Linux .

Vezi si

Referințe

linkuri externe