Пятница, 22.11.2024, 02:57

Технология защиты сетевого доступа Network Access Protection (NAP) для Windows - Все статьи сайта - Каталог статей софт антивирусы драйвера

Приветствую Вас Гость

 
Товары и услуги
Поиск
скачать бесплатно avk 3.2.7 avk-3? сметные программы комплекс авк 3.2.7 авк-3 avk-3 nod NOD32 ofline on-line online антивирус нод 32 обновить bluetooth ms-6837d MSI Msi 163b realtek rts5158 авто avto daimler mercedes benz автокар автомобиль даймлер мерседес мерседес бенц 69 вездеход газ газ-69 Библиотека Смотреть Онлайн кинотеатр мультики онлайн Ну погоди без регистрации Винни мульт мультики на русском детские мультфильмы му мультипликационные фильмы мультфильмы онлайн RU интернет кириллический домен Edge GPRS GSM HSDPA htc LG UMTS WCDMA GPS-логгер гаджеты Cd DVD компьтер AMD амд ноутбук USB жесткий диск Microsoft Windows windows mobile 6.5 гаджет N 95 N98 наладонный телефон MARRO PC palette компьютер PC mini PC Ripple LOOK мобильник need ноут Cyber cyberpower Power гейм мобильный телефон mobile новая нокиа мобильное устройство t-horizon мобильный концепт мобила смартфон duofone дизайнер iPhone 3G iPhone 3GS Novothink Solar Surge case Boombox Freeview DVD проигрыватель Rubber Bandit Pen необычная ручка интересное устройство молоток девайс необычное устройство овременный конструктор принтер мобильный принтер USB gaget usb гаджет для ноутбука изобретение Monitor usb 3.0 монитор новый стандарт victorinox видео olympus Olympus LS-20M аудио диктофон iso ultra UltraISO запись двд запись сд образ диска авк-5 авк5 2.8.0 дбн драйвер набор драйверов Font fonts Printers бесплатно латынь игра приставка psp PSP игруха Антишпион анти фишинг антивирус защита компьютера электронные книги Бунт восстания всемирная история история Медицина лекарство Aston aston2 menu єлектронная книга Анатомия атлас opera mini Opera Mini 4.2 для телефона Opera Mini tm 4_2 для Nokia программа скачать K-Lite Codec Pack 4.95 Full виндоус к лайт кодек клайт кодек драйвер скачать бесплатно hp lasejet 1018 без смс скачать бесплатно скачать драйвер драйвер hp lasejet 1018 скачать бес windows vista portable виста 2009 скачать бесплатно актриса дашасагалова фото голая сагалова голая света букина играть Игры 1.6 all cs Counter Strike cs final release reles final контер страйк nokia download driver nokia nokia pc suite rus дравер драйвер телефона canon lbp 1120 lbp1120 драйвер принтера canon дрова Софт Графика изображение база данных деньги домашняя бухгалтерия доходы электронная книга все кодексы рф гражданский кодекс Driver HP HP LaserJet 3050 HP LaserJet 3052 HP LaserJet 3055 HP LaserJet 3390 HP LaserJet 3392 1997 2002 corola corolla korola Toyota toyota corolla бестселлер билия фотографии игра света djvu browser djvu reader адаптер аккомулятор аккумулятор батарея видео пособие мульт сериал советские мультфильмы мультфильмы для детей детские мультики скачать бесплатно скачать русские мультфильмы советские мультики возвращение попугая мультики про животных мультфильмы на русском бесплатно без регистрации Гагарин мультики для детей мультфильм скачать детские мультики крокодил Гена мультик для детей
Друзья сайта
Статистика
Меню сайта
Категории каталога
Все статьи сайта [42]
Все опубликованные статьи
Сетевые подключения [7]
Подключение, настройка, улучшение работы сетевых схем
Windows [87]
Ускорение, оптимизация, устранение багов ос windows (кроме Vista)
Хитрости и нежданчики [9]
Неожиданные находки в операционке, железе, периферии
Разное [67]
Интересные статьи, которые могут пригодиться
Безопасность [8]
Безопасность сетей, операционных систем, передачи и приема данных
Windows Vista [5]
Обзор, настройка, обновления и т.д. все только о Windows Vista
Железо [8]
Комплектующие, разгон, советы, поведение девайсов
Мобильные устройства [4]
Сотовые телефоны, ноутбуки, нэтбуки, кпк, Iphone
СЕО [1]
Продвижение, оптимизация и раскрутка интернет проектов
Статьи партнеров [2]
Статьи на различные темы
Наш опрос
Какие журналы компьютерного направления Вы читаете?
Всего ответов: 709

службы мониторинга серверов
ProtoPlex: программы, форум, рейтинг, рефераты, рассылки!
Free Page Rank Tool
Google Pagerank, SEO tools
Главная » Статьи » Все статьи сайта

Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
 
 
 
 
 

Технология защиты сетевого доступа Network Access Protection (NAP) для Windows

Компанией Microsoft для своих систем была разработана технология сетевой защиты Network Access Protection (MS-NAP). Она предназначенная для ограничения сетевого доступа по принципу соответствия установленным требованиям безопасности, главное из которых — наличие сервис-пака и последних заплаток-хотфиксов.
 
 В MS-NAP отсутствует механизм защиты от проникновения злоумышленников, однако при помощи этой технологии можно обезопасить работу в сети отдельных машин.

В чём преимущества технологии Network Access Protection?

Грубо говоря, главной целью NAP является предотвращение подключения к сети клиентских систем с устаревшей конфигурацией (например тех, где установлены старые версии служебных пакетов дополнений, антивирусного ПО и др). NAP также чрезвычайно полезна для мобильных систем. Представьте владельца ноутбука, который работает дома и подключается к корпоративной сети, будучи вне офиса; если это противоречит политике безопасности компании, NAP сможет запретить доступ для данного компьютера.

NAP необходима в тех случаях, когда сотрудники фирмы входят в сеть со своих домашних ПК. Обычно организации запрещают доступ в сеть таким машинам, но встречаются исключения. В подобных ситуациях NAP необходима как воздух, поскольку без неё администратор не может даже проверить, имеется ли на компьютере последние версии служебных пакетов и хотфиксов.

NAP можно использовать для проверки состояния стандартных настольных систем (и других серверов Windows Server 2008) на предмет предоставления сетевого доступа. Такой подход помогает защитить от проблем, которые могут возникнуть, если машину, долгое время работавшую автономно (вследствие чего она стала более уязвимой), подключили к сети. По сути, это сулит те же неприятности, что и в описанной выше ситуации с ноутбуком.

Настройка MS-NAP

MS-NAP можно настроить при помощи Windows Server 2008 для сервера и Windows Vista, Windows Server 2008, Windows XP с третьим пакетом обновлений для поддерживаемых клиентов. Третий сервис-пак для Windows XP пока что не вышел в свет (находится на стадии бета-тестирования), но известно, что в нём будет представлен модуль NAP для этой операционной системы.

Инструментарий MS-NAP использует роли объектов сети для осуществления политики администрирования и безопасности, хранения данных о системных требованиях для клиентских машин, их проверки на соответствия данным требованиям, автоматического предоставления необходимых дополнений и исправлений, а также временной изоляции несоответствующих требованиям устройств — всё это, согласно выбранным настройкам. Для устройств с выявленными недостатками предусмотрена специальная карантинная зона (коррекционная сеть), где осуществляется нужная настройка конфигурации, после которой они могут быть снова использованы для дальнейшей работы в корпоративной сети. На рисунке A показана обычная схема работы MS-NAP и её ролевых объектов.

  
Network Access Protection
Рисунок A. MS-NAP использует различные ролевые объекты.
 
Microsoft давно выпускает продукты для серверов, способные осуществлять функции маршрутизации и управления службами DNS, DHCP, WINS; MS-NAP не является исключением. Хотя не всем IT-специалистам на предприятиях понадобятся предоставляемые сетевым оборудованием службы, технология MS-NAP позволяет использовать ролевые объекты сервера Windows для идентификации и управления системами безопасности. MS-NAP использует традиционное сетевое оборудование, поэтому данная технология не может считаться 100%-м продуктом Microsoft.
 
Механизм работы MS-NAP

Суть MS-NAP довольно ясна. Непонятно только как всё это работает. Для осуществления защиты сети MS-NAP использует ролевые объекты сервера в сочетании с комбинациями коммуникационных каналов. Рассмотрим подробнее поток трафика MS-NAP. Для сервера используются следующие компоненты MS-NAP:

• Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер Windows Server 2008, которому назначена роль интернет-сервера IIS, получает необходимые сертификаты безопасности из соответствующих центров.
• Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер Windows Server 2008 с присвоенной ролью NPS содержит требования по политике безопасности и выполняет проверку на соответствие данным требованиям.
• Коррекционный сервер (Remediation Server): Здесь расположены ресурсы для устранения неисправностей клиентов NAP, не прошедших проверку на соответствие. Например, последние версии антивирусного ПО и прочих приложений.
• Сервер требований по безопасности (Health Requirement Server): Этот ролевой объект снабжает сервера MS-NAP необходимыми компонентами, обеспечивающими текущий уровень безопасности.
• Клиент NAP (NAP client): Компьютер с ОС Windows XP SP3 или Vista, на который направлена деятельность MS-NAP.
• Сервер VPN (VPN server): Роль сервера может исполнять уже существующая система, однако нужно иметь в виду, что это точка доступа во внешнюю сеть (которая не ограничивается только интернетом).
• Сетевое оборудование: Коммутаторы или точки беспроводного доступа WAP, поддерживающие протокол идентификации IEEE 802.1X.
• Сервер DHCP (DHCP server): Сервер DHCP при помощи протокола RADIUS передаёт данные об уровне безопасности клиента NPS серверу политики безопасности. Это ключевой компонент MS-NAP. Если система прошла проверку, ей предоставляется неограниченный доступ в сеть, в противном случае она попадает в карантинную сеть для корректировки конфигурации.

Варианты использования MS-NAP

После того, как мы рассмотрели принцип работы MS-NAP, давайте разберёмся, какие выгоды от применения этой технологии могут получить пользователи обыкновенных сетей. Безопасность стоит на первом месте в политике любой организации, следовательно, функции защиты каждого программного продукта должны быть предусмотрены ещё на самых ранних стадиях разработки. Технология MS-NAP способна запретить доступ в сеть незащищённым системам и отдельным пользователям. В среде Windows имеется один из лучших инструментов по управлению системами — домен Активной директории (Active Directory, AD).

При помощи AD IT-профессионалы могут осуществлять управление большим количеством элементов систем и использовать дополнительные пакеты администрирования, например Systems Management Server (SMS), а также настраивать политику обновлений для Windows и защиты от вирусов. MS-NAP может помочь там, где не работают обычные стратегии администрирования.

Представьте ситуацию, когда поставщику или другому деловому партнёру понадобилось подключиться к ресурсу корпоративной сети. Подключение может осуществляться с машин, присоединённых к другому домену или к сети с иным механизмом управления, то есть недоступных для контроля администратором. Наконец эти компьютеры могут принадлежать другой среде Активных директорий, а это значит, что у администратора, после того как эти машины подключаться к сети, не будет необходимых ресурсов для корректировки необходимых настроек. Технология MS-NAP исправит нужные параметры удалённой системы, прежде чем она получит доступ к сети.

Вопросы обновления и настройки конфигурации систем из других организаций — тема отдельного разговора, менее важная, чем вопрос о предоставлении им прямого доступа к корпоративной сети. Но в случае подобной необходимости MS-NAP принудит удалённую систему принять правила сетевой политики перед тем, как предоставить ей возможность подключения. Это помогает преодолеть расхождение в стандартах, принятых организацией и группами разработчиков компьютерного оборудования.

Главной задачей MS-NAP является профилактика рисков, возникающих при подключении удалённых пользователей, которые выходят в сеть с домашних компьютеров и ноутбуков. Самый большой риск возникает при входе в сеть пользователей, которые почти не заботятся о безопасности своих систем. MS-NAP позволяет осуществлять управление конфигурацией всех удалённых систем, включая те, что редко подключаются к сети (из-за чего не происходит своевременное обновление конфигурации параметров безопасности). Клиент MS-NAP не обязан иметь учётную запись в домене Активной директории организации. К тому же при помощи AD можно осуществлять непосредственное управление идентификацией.

Ресурсы Microsoft для MS-NAP

В интернете представлена информация о разработке и пробной версии этого инструментария для бета-версий систем Windows Server 2008. Компания Microsoft в свою очередь представила на своём сайте документацию по архитектуре и разнообразным способам применения MS-NAP.

Межплатформенная поддержка NAP

Технология MS-NAP работает на основе широко распространённого сетевого протокола идентификации IEEE 802.1X, что обеспечивает совместимость NAP с операционными системами Windows Server 2008, Vista, XP и различными видами устройств. В целом, IEEE 802.1X при помощи стандартного протокола RADIUS позволяет осуществлять безопасный доступ к беспроводным сетям и сетям Ethernet.

Главное достоинство этого протокола заключается в том, что серверу идентификации не нужно присваивать роль узла базы данных. Это значит, что поддерживающее IEEE 802.1X сетевое оборудование может подавать запросы на ролевые объекты MS-NAP. Таким образом, технология MS-NAP позволяет осуществлять централизованное управление процессами авторизации и идентификации, а также вести учётные записи в соответствии с заданными параметрами безопасности. В настоящее время этот протокол, разработанный совместными усилиями инженеров HP, Microsoft, Cisco, Trapeze networks и Enterasys, поддерживается большинством производителей сетевого оборудования.


Технология защиты сетевого доступа Network Access Protection (NAP) для Windows
Категория: Все статьи сайта | Добавил: grafstar (25.09.2008)
Просмотров: 1949 | Комментарии: 2 | Рейтинг: 0.0/0 |
Еще статьи
Еще скачивают
Всего комментариев: 0
Имя *:
Email *:
Код *: