Защита доступа к сети - Network Access Protection

Защита доступа к сети ( NAP ) - это технология Microsoft для управления доступом компьютера к сети в зависимости от его состояния. С помощью NAP системные администраторы организации могут определять политики для требований к работоспособности системы. Примерами требований к работоспособности системы являются наличие на компьютере самых последних обновлений операционной системы, наличие на компьютере последней версии сигнатуры антивирусного программного обеспечения или наличие на компьютере установленного и включенного брандмауэра . Компьютеры с клиентом NAP получат оценку состояния их работоспособности после установления сетевого подключения. NAP может ограничивать или запрещать доступ к сети для компьютеров, которые не соответствуют определенным требованиям к работоспособности.

Защита доступа к сети устарела в Windows Server 2012 R2 и удалена из Windows Server 2016 .

Обзор

Агент клиента защиты доступа к сети позволяет клиентам, поддерживающим NAP, оценивать обновления программного обеспечения на предмет состояния их работоспособности. Клиенты NAP - это компьютеры, которые сообщают о работоспособности своей системы точке принудительной защиты доступа к сети. Точка принудительной защиты доступа к сети - это компьютер или устройство, которое может оценивать состояние клиента защиты доступа к сети и при необходимости ограничивать сетевое взаимодействие. Точки принудительной защиты доступа к сети могут быть коммутаторами с поддержкой IEEE 802.1X или серверами VPN, серверами DHCP или центрами регистрации работоспособности (HRA), работающими под управлением Windows Server 2008 или более поздней версии . Сервер политики работоспособности NAP - это компьютер, на котором запущена служба сервера политики сети (NPS) в Windows Server 2008 или более поздней версии, которая хранит политики требований к работоспособности и предоставляет оценку работоспособности для клиентов NAP. Политики требований к работоспособности настраиваются администраторами. Они определяют критерии, которым должны соответствовать клиенты, прежде чем им будет разрешено неограниченное соединение; эти критерии могут включать версию операционной системы, персональный брандмауэр или новейшую антивирусную программу.

Когда клиентский компьютер с поддержкой NAP связывается с точкой принудительной защиты доступа к сети, он сообщает свое текущее состояние работоспособности. Точка принудительного применения NAP отправляет состояние работоспособности клиента NAP на сервер политики работоспособности NAP для оценки с использованием протокола RADIUS . Сервер политики работоспособности NAP также может действовать как сервер аутентификации на основе RADIUS для клиента NAP.

Сервер политики работоспособности NAP может использовать сервер требований к работоспособности для проверки состояния работоспособности клиента NAP или для определения текущей версии программного обеспечения или обновлений, которые необходимо установить на клиенте NAP. Например, сервер требований к работоспособности может отслеживать последнюю версию файла сигнатур антивируса.

Если точка принудительного применения NAP является HRA, она получает сертификаты работоспособности от центра сертификации для клиентов NAP, которые, по его мнению, соответствуют соответствующим требованиям. Клиенты NAP могут быть размещены в сети с ограниченным доступом, если они считаются несовместимыми. Сеть с ограниченным доступом является логическим подмножеством интрасети и содержит ресурсы, которые позволяют несоответствующему клиенту NAP исправить состояние своей системы. Серверы, содержащие компоненты работоспособности системы или обновления, известны как серверы исправления. Несоответствующий клиент NAP в сети с ограниченным доступом может получить доступ к серверам исправлений и установить необходимые компоненты и обновления. После завершения исправления клиент NAP может выполнить новую оценку работоспособности вместе с новым запросом на доступ к сети или обмен данными.

Поддержка клиентов NAP

Клиент NAP поставляется с Windows Vista , Windows 7 , Windows 8 и Windows 8.1, но не с Windows 10 . Ограниченный клиент NAP также включен в Windows XP Service Pack 3 . Он не имеет оснастки MMC и не поддерживает принудительное применение IPsec на основе AuthIP . Таким образом, им можно управлять только с помощью инструмента командной строки под названием netsh , а принудительное применение IPsec основано только на IKE .

Партнеры Microsoft предоставляют клиентов NAP для других операционных систем, таких как Mac OS X и Linux .

Смотрите также

• Контроль доступа
• Контроль доступа к сети
• Контроль доступа к сети
• Сетевая безопасность
• Компьютерная безопасность
• PacketFence

использованная литература

внешние ссылки

• Веб-страница Microsoft по защите доступа к сети
• Веб-страница Microsoft по защите доступа к сети на Microsoft Technet
• Блог NAP на Microsoft Technet
• Руководство Microsoft по проектированию защиты доступа к сети на Microsoft Technet
• Руководство Microsoft по развертыванию защиты доступа к сети на Microsoft Technet
• Руководство Microsoft по устранению неполадок защиты доступа к сети на Microsoft Technet