Microsoft a dezvoltat protecție pentru accesul la rețea (MS-NAP) pentru sistemele sale. Acesta este conceput pentru a limita accesul la rețea pe baza respectării cerințelor de siguranță, cel mai important dintre care - disponibilitatea pachetului service pack și cele mai recente patch-uri, remedierile.
În MS-NAP nu există un mecanism care să protejeze împotriva pătrunderii intrușilor, dar cu această tehnologie puteți asigura munca în rețeaua de mașini individuale.
Care sunt avantajele Protecției Accesului în rețea?
Aproximativ vorbind, obiectivul principal al PNA este de a preveni conectarea la o rețea de sisteme client cu configurație depășite (de exemplu, cele cu versiuni mai vechi de pachete service pack suplimente, software anti-virus, etc.). NAP este, de asemenea, extrem de util pentru sistemele mobile. Imaginați-vă un proprietar de laptop care lucrează acasă și se conectează la rețeaua corporativă în afara biroului; în cazul în care este contrar politicii de securitate a companiei, NAP va fi capabil de a refuza accesul la acest computer.
PNA este necesar în cazurile în care angajații companiei intră în rețea de pe PC-urile lor de acasă. De obicei, organizațiile interzic accesul la rețeaua unor astfel de mașini, dar există și excepții. În astfel de situații, NAP este necesar ca aer, deoarece fără el administratorul nu poate verifica chiar dacă există cele mai recente versiuni de pachete de service și remedierile rapide pe computer.
MS-NAP Toolkit utilizează rolul de facilități de rețea pentru politicile de administrare și securitate, cerințele de sistem de stocare a datelor pentru mașinile client, controalele efectuate cu privire la respectarea acestor cerințe, care furnizează în mod automat adăugările și corecțiile necesare, precum și izolarea temporară a dispozitivelor cereri neconforme - toate acestea, în conformitate cu setările selectate. Pentru dispozitivele cu dezavantaje identificate o zonă specială de carantină (rețea de corecție) unde setarea configurației dorite, după care ele pot fi folosite din nou pentru lucrări suplimentare în rețeaua companiei. Figura A prezintă schema obișnuită a MS-NAP și obiectele sale de rol.
Figura A. MS-NAP utilizează diferite obiecte de rol.
Microsoft a lansat de mult timp produse de servere care pot îndeplini funcțiile de rutare și gestionare a serviciilor DNS, DHCP și WINS; MS-NAP nu face excepție. Deși nu toți profesioniștii IT din cadrul întreprinderilor vor avea nevoie de serviciile furnizate de echipamentele de rețea, tehnologia MS-NAP permite utilizarea obiectelor de roluri ale serverului Windows pentru a identifica și gestiona sistemele de securitate. MS-NAP utilizează echipamente tradiționale de rețea, astfel încât această tehnologie nu poate fi considerată un produs 100% al Microsoft.
Mecanismul MS-NAP
Esența MS-NAP este destul de clară. Nu este clar cum funcționează toate. Pentru a implementa securitatea rețelei, MS-NAP utilizează obiecte de rol de server în combinație cu combinații de canale de comunicare. Să analizăm în detaliu fluxul de trafic al MS-NAP. Următoarele componente MS-NAP sunt utilizate pentru server:
Opțiuni pentru utilizarea MS-NAP
După ce am examinat principiul MS-NAP, să aflăm ce beneficii pot beneficia utilizatorii rețelelor obișnuite de la utilizarea acestei tehnologii. Securitatea este pe primul loc în politica oricărei organizații, prin urmare, funcțiile de protecție ale fiecărui produs software trebuie furnizate chiar și în stadiile cele mai vechi de dezvoltare. Tehnologia MS-NAP poate bloca accesul la rețea pentru sistemele neprotejate și pentru utilizatorii individuali. În mediul Windows, unul dintre cele mai bune instrumente pentru gestionarea sistemelor este domeniul Active Directory (Active Directory, AD).
Cu ajutorul AD profesioniștii IT pot gestiona un număr mare de componente de sistem și utilizarea unor instrumente suplimentare de management, cum ar fi sistemele de Management Server (SMS), precum și pentru a ajusta actualizările de politică pentru Windows și protecție antivirus. MS-NAP poate ajuta în cazul în care strategiile normale de administrare nu funcționează.
Imaginați-vă o situație în care un furnizor sau alt partener de afaceri trebuie să se conecteze la o resursă de rețea corporatistă. Conexiunea se poate face cu mașini, a intrat într-un alt domeniu sau la rețea cu un mecanism de control diferit, care este inaccesibil pentru a controla administrator. În cele din urmă, aceste calculatoare pot să aparțină unui alt mediu Active Directory, ceea ce înseamnă că, la recepția după ce mașina se conectează la rețea, vor exista resursele necesare pentru a regla setările necesare. Tehnologia MS-NAP va corecta parametrii necesari ai sistemului la distanță înainte de a putea accesa rețeaua.
Problemele de actualizare și configurare a configurației sistemelor de la alte organizații - subiectul unei conversații separate, mai puțin important decât problema acordării accesului direct la rețeaua corporativă. Dar, în cazul unei astfel de necesități, MS-NAP va obliga sistemul la distanță să accepte regulile politicii de rețea înainte de al permite să se conecteze. Acest lucru ajută la depășirea discrepanței dintre standardele adoptate de organizație și grupurile de dezvoltatori de echipamente informatice.
Sarcina principală a SM-PNA este prevenirea riscurilor inerente conectarea utilizatorilor de la distanță care merg online din computerele de acasă și laptop-uri. Cel mai mare risc apare atunci când intri într-o rețea de utilizatori care nu-i pasă de securitatea sistemelor lor. MS-ANP vă permite să gestionați configurația sistemelor de la distanță, inclusiv cele care sunt rareori conectate la rețea (care este de ce nu există nici o actualizare în timp util configurarea setărilor de securitate). Clientul MS-NAP nu este obligat să aibă un cont în domeniul Active Directory al organizației. În plus, cu AD, puteți controla direct identitatea.
Resurse Microsoft pentru MS-NAP
Cross-platform suport NAP