Політики працездатності застосовуються в захисті доступу до мережі шляхом перевірки та оцінки працездатності клієнтських комп'ютерів, обмеження доступу до мережі для клієнтських комп'ютерів, які не задовольняють вимогам політики працездатності, а також оновлення, що не відповідають вимогам клієнтських комп'ютерів, з метою привести їх у відповідність політиці працездатності до надання їм повного доступу до мережі. Технологія NAP забезпечує примусове застосування вимог до працездатності для клієнтських комп'ютерів, що підключаються до мережі. Крім того, вона забезпечує поточну перевірку відповідності вимогам до працездатності для підключених до мережі комп'ютерів.
Захист доступу до мережі - це розширювана платформа, яка надає інфраструктуру і набір API. З її допомогою можна додавати компоненти, які забезпечують перевірку працездатності комп'ютера, застосування політики працездатності мережі і оновлення комп'ютерів у відповідність з політикою працездатності, для клієнтів захисту доступу до мережі та серверів, на яких виконується сервер політики мережі.
Сама по собі захист доступу до мережі не надає компоненти для перевірки або виправлення працездатності комп'ютера. Перевірка стану працездатності комп'ютера, створення звітів про працездатність, порівняння показників працездатності клієнтського комп'ютера з параметрами політики працездатності, а також налаштування параметрів клієнтського комп'ютера у відповідність до вимог політики працездатності здійснюються іншими компонентами, які називаються агентами працездатності системи і засобами перевірки працездатності системи.
Якщо адміністратор мережі або системний адміністратор планує розгорнути захист доступу до мережі, він може зробити це з використанням агента працездатності системи безпеки Windows і засоби перевірки працездатності системи безпеки Windows, які включені в операційну систему. Крім цього, можна дізнатися у інших постачальників програмного забезпечення, чи надають вони агенти працездатності системи і засоби перевірки працездатності системи для своїх продуктів.
Огляд захисту доступу до мережі
У більшості організацій створені політики мережі, що визначають тип обладнання і програмного забезпечення, яке може бути розгорнуто в мережі цієї організації. Ці політики часто включають правила настройки клієнтських комп'ютерів перед їх підключенням до мережі. Наприклад, у багатьох організаціях для підключення клієнтського комп'ютера до мережі потрібно, щоб на ньому виконувалося антивірусне програмне забезпечення з встановленими свіжими оновленнями, а також був встановлений і включений програмний брандмауер. Клієнтський комп'ютер, налаштований у відповідності до політики мережі організації, вважається відповідним політиці. Комп'ютер, чиї параметри налаштування не відповідають політиці мережі організації, вважається невідповідним цій політиці.
Захист доступу до мережі дозволяє створювати політики, що визначають працездатність клієнтського комп'ютера, з використанням сервера політики мережі. Крім того, захист доступу до мережі дозволяє застосовувати створювані політики працездатності клієнта, а також автоматично оновлювати клієнтські комп'ютери з підтримкою захисту доступу до мережі, щоб привести їх у відповідність політиці працездатності клієнта. Захист доступу до мережі забезпечує безперервну перевірку працездатності комп'ютера клієнта, щоб запобігти ситуації, в яких клієнтський комп'ютер при підключенні до мережі організації є відповідним політиці, проте в ході роботи в мережі втрачає відповідність.
Захист доступу до мережі надає двосторонню захист клієнтського комп'ютера і корпоративної мережі, забезпечуючи відповідність підключаються до мережі комп'ютерів вимогам діючих в організації політики мережі та політики працездатності клієнта. Це захищає мережу від шкідливих елементів, таких як комп'ютерні віруси, що потрапляють в мережу з клієнтських комп'ютерів, а також захищає клієнтські комп'ютери від шкідливих елементів, які можуть потрапити до них з мережі.
Сервер політики мережі і захист доступу до мережі
Сервер політики мережі може виступати в якості сервера політики захисту доступу до мережі для всіх методів примусової захисту доступу до мережі.
Під час налаштування сервера політики мережі в якості сервера політики захисту доступу до мережі, сервер політики мережі оцінює відомості про статус працездатності, що направляються клієнтськими комп'ютерами з підтримкою захисту доступу до мережі, які намагаються підключитися до мережі. На сервері політики мережі можна налаштувати політики захисту доступу до мережі, що забезпечують оновлення конфігурації клієнтських комп'ютерів відповідно до мережевої політикою організації.
Працездатність клієнтського комп'ютера
Працездатність задається у вигляді відомостей про клієнтському комп'ютері, які використовуються захистом доступу до мережі для визначення можливості доступу даного клієнта до мережі. Оцінка стану працездатності клієнтського комп'ютера відображає стан конфігурації комп'ютера клієнта в порівнянні зі станом, необхідним відповідно до політики працездатності.
До зразковим характеристикам працездатності відносяться наступні:
- Операційний статус брандмауера Windows. Включений брандмауер або відключений?
Відомості про працездатність клієнтського комп'ютера об'єднуються в стан працездатності, яке створюється клієнтськими компонентами захисту доступу до мережі. Клієнтські компоненти захисту доступу до мережі направляють даний стан працездатності в серверні компоненти захисту доступу до мережі для оцінки, визначення ступеня відповідності клієнта прийняття рішення про надання йому повного доступу до мережі.
У термінах захисту доступу до мережі перевірка відповідності комп'ютера певним вимогам до працездатності називається перевіркою відповідності політиці працездатності. Перевірка по політиці працездатності для захисту доступу до мережі здійснюється сервером політики мережі.
Принцип дії застосування захисту доступу до мережі
Політики працездатності застосовуються в захисті доступу до мережі з використанням компонентів клієнтської сторони, які перевіряють і оцінюють працездатність клієнтських комп'ютерів, компонентів серверної сторони, які обмежують доступ до мережі для невідповідних клієнтських комп'ютерів, а також одночасно компонентів клієнтської і серверної сторони, що забезпечують оновлення невідповідних клієнтських комп'ютерів для надання їм повного доступу до мережі.
Ключові процеси захисту доступу до мережі
У забезпеченні захисту доступу до мережі основну роль грають три процеси: перевірка по політиці, застосування захисту доступу до мережі та обмеження доступу, а також оновлення і безперервна перевірка відповідності.
Перевірка по політиці
При використанні захисту доступу до мережі можна створювати політики працездатності клієнта з використанням засобів перевірки працездатності системи, які дозволяють виявляти, застосовувати і виправляти конфігурації клієнтських комп'ютерів в захисті доступу до мережі.
Агент працездатності системи безпеки Windows і засіб перевірки працездатності системи безпеки Windows забезпечують наступні можливості для комп'ютерів з підтримкою захисту доступу до мережі:
- На клієнтському комп'ютері встановлений і включений програмний брандмауер.
На додаток до цього, якщо на клієнтських комп'ютерах з підтримкою захисту доступу до мережі виконується агент центру поновлення Windows, і вони зареєстровані на сервері Windows Server Update Service, захист доступу до мережі може перевірити наявність найбільш свіжих оновлень програмного забезпечення системи безпеки на базі одного з чотирьох можливих значень, які відповідають рівням загрози системи безпеки, що отримуються з веб-сайту Microsoft Security Response Center.
При створенні політик, які визначають статус працездатності комп'ютера клієнта, ці політики перевіряються захистом доступу до мережі. Компоненти захисту доступу до мережі клієнтської сторони направляють стан працездатності на сервер політики мережі в процесі підключення до мережі. Сервер політики мережі вивчає стан працездатності і порівнює його з політиками працездатності.
Застосування захисту доступу до мережі та обмеження мережі
При використанні захисту доступу до мережі невідповідним клієнтським комп'ютерам забороняється доступ до мережі або надається доступ тільки до спеціальної мережі обмеженого доступу, яка називається мережею оновлень. У мережі оновлень клієнтським комп'ютерам надається доступ до серверів оновлень, які містять оновлення програмного забезпечення, а також до інших ключових службам захисту доступу до мережі, таким як сервери центру реєстрації працездатності, необхідним для приведення невідповідних клієнтів захисту доступу до мережі у відповідність політиці працездатності.
Параметр застосування захисту доступу до мережі в політиці мережі сервера політики мережі дозволяє використовувати захист доступу до мережі для обмеження доступу до мережі або спостереження за станом клієнтських комп'ютерів із захистом доступу до мережі, які не відповідають вимогам чинної політики працездатності.
За допомогою параметрів політики мережі можна задати обмеження доступу, відкладене обмеження доступу або дозвіл доступу.
оновлення
Невідповідні клієнтські комп'ютери, поміщені в мережу з обмеженим доступом, можуть пройти процедуру оновлення. Оновленням називається процес автоматичного поновлення клієнтського комп'ютера відповідно до параметрів поточних політик працездатності. Наприклад, мережа з обмеженим доступом може містити FTP-сервер, який автоматично оновлює сигнатури вірусів для клієнтських комп'ютерів з застарілими сигнатурами.
Безперервне забезпечення відповідності
Захист доступу до мережі може застосовувати забезпечення відповідності політиці працездатності щодо клієнтських комп'ютерів, вже підключених до мережі. Ця функціональність корисна, якщо потрібно забезпечити постійний захист мережі, оскільки можливі зміни як в політиках працездатності, так і в характеристиках працездатності клієнтських комп'ютерів. Наприклад, захист доступу до мережі визначить, що клієнтський комп'ютер знаходиться в стані невідповідності, якщо політика працездатності передбачає наявність включеного брандмауера Windows, а адміністратор ненавмисно відключив брандмауер на клієнтському комп'ютері. В результаті захист доступу до мережі відключить даний клієнтський комп'ютер від корпоративної мережі і підключить його до мережі оновлень, поки брандмауер системі Windows не буде знову включений.
Параметри захисту доступу до мережі можна використовувати в політиках мережі сервера політики мережі для настройки автоматичних оновлень, щоб клієнтські компоненти захисту доступу до мережі автоматично намагалися оновити клієнтський комп'ютер, якщо він не відповідає вимогам політики. Як і у випадку з параметрами застосування захисту доступу до мережі, автоматичне оновлення налаштовується за допомогою параметрів політики мережі.