Μια υποδομή Προστασίας δικτυακής πρόσβασης (NAP) περιλαμβάνει υπολογιστές-πελάτες NAP, σημεία επιβολής NAP και διακομιστές πολιτικής εύρυθμης λειτουργίας NAP. Στα προαιρετικά στοιχεία περιλαμβάνονται διακομιστές αποκατάστασης εύρυθμης λειτουργίας και διακομιστές απαιτήσεων εύρυθμης λειτουργίας.

Υπολογιστές-πελάτες NAP

Για την πρόσβαση στο δίκτυο, ένας υπολογιστής-πελάτης NAP πρώτα συλλέγει πληροφορίες σχετικά με την εύρυθμη λειτουργία του από τα τοπικά εγκατεστημένα στοιχεία λογισμικού που ονομάζονται παράγοντες εύρυθμης λειτουργίας συστήματος (SHA). Κάθε παράγοντας SHA που βρίσκεται εγκατεστημένος στον υπολογιστή-πελάτη παρέχει πληροφορίες σχετικά με τις τρέχουσες ρυθμίσεις ή την τρέχουσα δραστηριότητα για την εποπτεία της οποίας έχει σχεδιαστεί. Οι πληροφορίες από τους παράγοντες SHA συλλέγονται από τον Παράγοντα NAP. Πρόκειται για μια υπηρεσία που εκτελείται στον τοπικό υπολογιστή. Η υπηρεσία Παράγοντα NAP συνοψίζει την κατάσταση εύρυθμης λειτουργίας του υπολογιστή και μεταβιβάζει αυτές τις πληροφορίες σε ένα ή περισσότερα προγράμματα-πελάτες επιβολής NAP. Ένα πρόγραμμα-πελάτης επιβολής είναι ένα λογισμικό το οποίο αλληλεπιδρά με τα σημεία επιβολής NAP για την πρόσβαση στο δίκτυο ή την επικοινωνία σε αυτό.

Σημεία επιβολής NAP

Ένα σημείο επιβολής NAP είναι ένας διακομιστής ή μια συσκευή υλικού που παρέχει στον υπολογιστή-πελάτη NAP ένα επίπεδο πρόσβασης στο δίκτυο. Κάθε τεχνολογία επιβολής NAP χρησιμοποιεί διαφορετικό τύπο σημείου επιβολής NAP. Δείτε τον ακόλουθο πίνακα.

Μέθοδος επιβολής NAP Σημείο επιβολής NAP

Ασφάλεια πρωτοκόλλου Ιnternet (IPSec)

Αρχή δήλωσης εύρυθμης λειτουργίας (HRA) και Διακομιστής πολιτικής δικτύου (NPS)

802.1X

Διακόπτης (ενσύρματη σύνδεση) ή ασύρματο σημείο πρόσβασης (ασύρματη σύνδεση)

VPN

RRAS

DHCP

DHCP και NPS

Πύλη απομακρυσμένης επιφάνειας εργασίας (Πύλη RD)

Πύλη RD και NPS

Όταν ένα σημείο επιβολής NAP εκτελεί Windows Server 2008 ή Windows Server 2008 R2, αναφέρεται ως διακομιστής επιβολής NAP. Όλοι οι διακομιστές επιβολής NAP πρέπει να εκτελούν Windows Server 2008 ή Windows Server 2008 R2. Στο NAP με επιβολή 802.1X, το σημείο επιβολής NAP είναι ένας διακόπτης συμβατός με IEEE 802.1X ή ένα ασύρματο σημείο πρόσβασης. Οι διακομιστές επιβολής NAP για τις μεθόδους επιβολής IPsec, DHCP και Πύλη RD πρέπει να εκτελούν επίσης NPS ρυθμισμένο είτε ως διακομιστή μεσολάβησης RADIUS είτε ως διακομιστή πολιτικής εύρυθμης λειτουργίας NAP. Η επιβολή NAP με VPN δεν απαιτεί την εγκατάσταση NPS στο διακομιστή VPN.

Διακομιστές πολιτικής εύρυθμης λειτουργίας NAP

Ένας διακομιστής πολιτικής εύρυθμης λειτουργίας NAP είναι ένας υπολογιστής που εκτελεί Windows Server 2008 ή Windows Server 2008 R2 με την υπηρεσία ρόλου NPS εγκατεστημένη και με ρύθμιση παραμέτρων τέτοια, ώστε να αξιολογεί την εύρυθμη λειτουργία των υπολογιστών-πελατών NAP. Όλες οι τεχνολογίες επιβολής NAP απαιτούν τουλάχιστον ένα διακομιστή πολιτικής εύρυθμης λειτουργίας. Ένας διακομιστής πολιτικής εύρυθμης λειτουργίας NAP χρησιμοποιεί πολιτικές και ρυθμίσεις για την αξιολόγηση των αιτήσεων πρόσβασης στο δίκτυο, οι οποίες υποβάλλονται από υπολογιστές-πελάτες NAP.

Διακομιστές αποκατάστασης εύρυθμης λειτουργίας NAP

Οι διακομιστές αποκατάστασης εύρυθμης λειτουργίας NAP παρέχουν ενημερώσεις και υπηρεσίες σε μη σύμμορφους υπολογιστές-πελάτες. Ανάλογα με το σχεδιασμό του δικτύου αποκατάστασης εύρυθμης λειτουργίας, η πρόσβαση σε ένα διακομιστή αποκατάστασης εύρυθμης λειτουργίας μπορεί επίσης να είναι δυνατή από σύμμορφους υπολογιστές. Ορισμένα παραδείγματα διακομιστών αποκατάστασης εύρυθμης λειτουργίας NAP είναι τα ακόλουθα:

  • Διακομιστές υπογραφής λογισμικού προστασίας από ιούς. Εάν οι πολιτικές εύρυθμης λειτουργίας απαιτούν οι υπολογιστές να διαθέτουν οπωσδήποτε πρόσφατη υπογραφή λογισμικού προστασίας από ιούς, οι μη σύμμορφοι υπολογιστές πρέπει να έχουν πρόσβαση σε ένα διακομιστή για να μπορούν να λάβουν αυτές τις ενημερώσεις.

  • Υπηρεσίες Windows Server Update. Εάν οι πολιτικές εύρυθμης λειτουργίας απαιτούν οι υπολογιστές να διαθέτουν οπωσδήποτε πρόσφατες ενημερώσεις ασφαλείας ή άλλες ενημερώσεις λογισμικού, πρέπει να τις παρέχετε τοποθετώντας υπηρεσίες WSUS στο δίκτυο αποκατάστασης εύρυθμης λειτουργίας.

  • Διακομιστές στοιχείου System Center. Τα σημεία διαχείρισης του System Center Configuration Manager, τα σημεία ενημέρωσης λογισμικού και τα σημεία διανομής φιλοξενούν τις ενημερώσεις λογισμικού που απαιτούνται, ώστε οι υπολογιστές να καταστούν σύμμορφοι. Κατά την ανάπτυξη NAP με τη Διαχείριση ομάδας παραμέτρων, οι υπολογιστές με δυνατότητα NAP ζητούν πρόσβαση σε υπολογιστές που εκτελούν αυτούς τους ρόλους συστήματος τοποθεσίας, προκειμένου να πραγματοποιήσουν λήψη της σχετικής πολιτικής υπολογιστή-πελάτη, σάρωση για συμβατότητα ενημέρωσης λογισμικού και λήψη των απαιτούμενων ενημερώσεων λογισμικού.

  • Ελεγκτές τομέα. Οι μη σύμμορφοι υπολογιστές ενδέχεται να ζητήσουν πρόσβαση σε υπηρεσίες τομέα στο μη σύμμορφο δίκτυο για λόγους ελέγχου ταυτότητας, για τη λήψη πολιτικών από την Πολιτική ομάδας ή για τη συντήρηση ρυθμίσεων προφίλ τομέα.

  • Διακομιστές DNS. Οι μη σύμμορφοι υπολογιστές πρέπει να έχουν πρόσβαση στο σύστημα DNS, προκειμένου να μπορούν να επιλύουν ονόματα κεντρικών υπολογιστών.

  • Διακομιστές DHCP. Οι μη σύμμορφοι υπολογιστές πρέπει να έχουν πρόσβαση σε ένα διακομιστή DHCP, εάν το προφίλ IP του υπολογιστή-πελάτη αλλάξει στο μη σύμμορφο δίκτυο ή εάν λήξει η μίσθωση DHCP.

  • Διακομιστές αντιμετώπισης προβλημάτων. Όταν ρυθμίζετε τις παραμέτρους για μια ομάδα διακομιστών αποκατάστασης εύρυθμης λειτουργίας, μπορείτε να επιλέξετε εάν θα παρέχετε μια διεύθυνση URL αντιμετώπισης προβλημάτων με οδηγίες για το πώς μπορούν να καταστούν σύμμορφοι οι υπολογιστές με τις πολιτικές εύρυθμης λειτουργίας που έχετε ορίσει. Μπορείτε να δώσετε διαφορετική διεύθυνση URL για κάθε πολιτική δικτύου. Αυτές οι διευθύνσεις URL πρέπει να είναι προσβάσιμες στο δίκτυο αποκατάστασης εύρυθμης λειτουργίας.

  • Άλλες υπηρεσίες. Μπορείτε να παρέχετε πρόσβαση στο Internet από το δίκτυο αποκατάστασης εύρυθμης λειτουργίας, ώστε οι μη σύμμορφοι υπολογιστές να μπορούν να συνδεθούν σε υπηρεσίες αποκατάστασης εύρυθμης λειτουργίας, όπως είναι το Windows Update και άλλοι πόροι στο Internet.

Διακομιστές απαιτήσεων εύρυθμης λειτουργίας NAP

Ένας διακομιστής απαιτήσεων εύρυθμης λειτουργίας είναι ένας υπολογιστής που παρέχει απαιτήσεις πολιτικής εύρυθμης λειτουργίας και πληροφορίες αξιολόγησης εύρυθμης λειτουργίας σε ένα ή περισσότερα προγράμματα επικύρωσης εύρυθμης λειτουργίας συστήματος (SHV). Εάν η κατάσταση εύρυθμης λειτουργίας που αναφέρεται από τους υπολογιστές-πελάτες NAP μπορεί να επικυρωθεί από το διακομιστή NPS χωρίς να συμβουλευθεί άλλη συσκευή, τότε δεν απαιτείται διακομιστής απαιτήσεων εύρυθμης λειτουργίας. Για παράδειγμα, οι υπηρεσίες WSUS δεν θεωρούνται διακομιστής απαιτήσεων εύρυθμης λειτουργίας, όταν χρησιμοποιούνται με το Πρόγραμμα επικύρωσης εύρυθμης λειτουργίας της Ασφάλειας των Windows (WSHV). Παρόλο που ένας διαχειριστής μπορεί να χρησιμοποιήσει το WSUS για να καθορίσει ποιες ενημερώσεις πρέπει να έχουν οι υπολογιστές-πελάτες, ο υπολογιστής-πελάτης είναι εκείνος που αναφέρει εάν έχει εγκατεστημένες αυτές τις ενημερώσεις. Σε αυτό το σενάριο, το WSUS είναι διακομιστής αποκατάστασης εύρυθμης λειτουργίας και όχι διακομιστής απαιτήσεων εύρυθμης λειτουργίας.

Ένας διακομιστής απαιτήσεων εύρυθμης λειτουργίας χρησιμοποιείται εάν αναπτύσσετε την προστασία NAP με το πρόγραμμα SHV 'Διαχείριση ομάδας παραμέτρων'. Το πρόγραμμα SHV 'Διαχείριση ομάδας παραμέτρων' επικοινωνεί με ένα διακομιστή καθολικού καταλόγου για την επικύρωση της εύρυθμης λειτουργίας του υπολογιστή-πελάτη, ελέγχοντας την αναφορά κατάστασης εύρυθμης λειτουργίας που δημοσιεύεται στις υπηρεσίες τομέα Active Directory (AD DS). Επομένως, ένας ελεγκτής τομέα είναι ένας διακομιστής απαιτήσεων εύρυθμης λειτουργίας, εάν έχετε αναπτύξει το πρόγραμμα SHV 'Διαχείριση ομάδας παραμέτρων'. Τα άλλα προγράμματα SHV ενδέχεται επίσης να χρησιμοποιούν διακομιστές απαιτήσεων εύρυθμης λειτουργίας.

Πρόσθετες αναφορές


Πίνακας περιεχομένων