Nätverksåtkomstskydd - Network Access Protection

Network Access Protection ( NAP ) är en Microsoft-teknik för att styra nätverksåtkomst för en dator, baserat på dess hälsa. Med NAP kan systemadministratörer för en organisation definiera policyer för systemhälsokrav. Exempel på systemhälsokrav är om datorn har de senaste operativsystemuppdateringarna installerade, om datorn har den senaste versionen av antivirusprogramvarusignaturen , eller om datorn har en värdbaserad brandvägg installerad och aktiverad. Datorer med en NAP-klient kommer att få sin hälsostatus utvärderad efter upprättande av en nätverksanslutning. NAP kan begränsa eller neka nätverksåtkomst till datorer som inte uppfyller de definierade hälsokraven.

NAP avskaffades i Windows Server 2012 R2 och togs bort från Windows Server 2016 .

Översikt

Network Access Protection Client Agent gör det möjligt för klienter som stöder NAP att utvärdera programuppdateringar för deras hälsoutlåtande. NAP-klienter är datorer som rapporterar sin systemhälsa till en NAP-verkställande punkt. En NAP-verkställande punkt är en dator eller enhet som kan utvärdera en NAP-klients hälsa och eventuellt begränsa nätverkskommunikation. NAP-tillämpningspunkter kan vara IEEE 802.1X- kapabla switchar eller VPN- servrar, DHCP- servrar eller HRAs (Health Registration Authorities) som kör Windows Server 2008 eller senare. NAP-hälsopolicyservern är en dator som kör NPS- tjänsten ( Network Policy Server ) i Windows Server 2008 eller senare som lagrar hälsokravspolicyer och tillhandahåller hälsoutvärdering för NAP-klienter. Policyer för hälsokrav konfigureras av administratörer. De definierar kriterier som kunderna måste uppfylla innan de tillåts obegränsad anslutning. dessa kriterier kan inkludera versionen av operativsystemet, en personlig brandvägg eller ett uppdaterat antivirusprogram.

När en NAP-kompatibel klientdator kontaktar en NAP-verkställighetspunkt skickar den sitt nuvarande hälsotillstånd. NAP-verkställighetspunkten skickar NAP-klientens hälsotillstånd till NAP-hälsopolicyservern för utvärdering med hjälp av RADIUS- protokollet. NAP-hälsopolicyservern kan också fungera som en RADIUS-baserad autentiseringsserver för NAP-klienten.

NAP-hälsopolicyservern kan använda en hälsokravsserver för att validera hälsotillståndet för NAP-klienten eller för att bestämma den aktuella versionen av programvaran eller uppdateringar som behöver installeras på NAP-klienten. Till exempel kan en hälsokravsserver spåra den senaste versionen av en antivirussignaturfil.

Om NAP: s verkställande punkt är en HRA, erhåller den hälsointyg från en certifieringsmyndighet för NAP-klienter som den anser uppfylla relevanta krav. NAP-klienter kan placeras i ett begränsat nätverk om de anses inte uppfylla kraven. Det begränsade nätverket är en logisk delmängd av intranätet och innehåller resurser som tillåter en icke-kompatibel NAP-klient att korrigera systemhälsan. Servrar som innehåller systemhälsokomponenter eller uppdateringar kallas saneringsservrar. En icke-kompatibel NAP-klient i det begränsade nätverket kan komma åt saneringsservrar och installera nödvändiga komponenter och uppdateringar. Efter att saneringen är klar kan NAP-klienten utföra en ny hälsoutvärdering i samband med en ny begäran om nätverksåtkomst eller kommunikation.

NAP-klientsupport

En NAP-klient levereras med Windows Vista , Windows 7 , Windows 8 och Windows 8.1 men inte med Windows 10 . En begränsad NAP-klient ingår också i Windows XP Service Pack 3 . Den har ingen MMC - snapin-modul och stöder inte AuthIP- baserad IPsec- tillämpning. Som sådan kan den bara hanteras via ett kommandoradsverktyg som heter netsh och IPsec-tillämpningen är endast IKE- baserad.

Microsofts partners tillhandahåller NAP-klienter för andra operativsystem som Mac OS X och Linux .

Se även

Referenser

externa länkar