La Protección de acceso a redes (NAP) es una tecnología de creación, aplicación y corrección de directivas de mantenimiento de cliente que se incluye en Windows Vista®, Windows Server® 2008, Windows® 7 y Windows Server® 2008 R2. Al usar NAP, puede establecer directivas de mantenimiento que definan elementos tales como los requisitos de software, los requisitos de actualizaciones de seguridad y las configuraciones necesarias para equipos que se conectan a la red.
Para aplicar las directivas de mantenimiento, NAP inspecciona y evalúa el mantenimiento de los equipos cliente, restringe el acceso a la red cuando dichos equipos no son compatibles con las directivas de mantenimiento y corrige aquellos equipos cliente no compatibles para que cumplan con la directiva de mantenimiento antes de que se les conceda acceso completo a la red. NAP aplica las directivas de mantenimiento en los equipos cliente que intentan conectarse a una red. También se encarga de que se sigan cumpliendo estos requisitos mientras el equipo cliente esté conectado a la red.
NAP es una plataforma extensible que proporciona una infraestructura y un conjunto de interfaces de programación de aplicaciones (API). Al usar el conjunto API de NAP, puede agregar componentes a clientes NAP y a servidores que ejecutan el servidor de directivas de redes (NPS) que comprueban el estado de mantenimiento de un equipo, aplican la directiva de mantenimiento de la red y actualizan los equipos no compatibles para que cumplan la directiva de mantenimiento
Por sí mismo, NAP no proporciona componentes para comprobar o actualizar el mantenimiento de un equipo. Otros componentes, denominados Agentes de mantenimiento del sistema (SHA) y Validadores de mantenimiento del sistema (SHV), proporcionan inspección e informes sobre el estado de mantenimiento del equipo cliente, validación del estado de mantenimiento del equipo cliente comparado con la directiva de mantenimiento y valores de configuración que permitan al equipo cliente cumplir con la directiva de mantenimiento.
El Agente de mantenimiento de seguridad de Windows (WSHA) se incluye en Windows Vista y Windows 7 como parte del sistema operativo. El correspondiente Validador de mantenimiento de seguridad de Windows (WSHA) se incluye en Windows Server 2008 y Windows Server 2008 R2 como parte del sistema operativo. Mediante el conjunto de API de NAP, otros productos también pueden implementar SHA y SHV para su integración con NAP. Por ejemplo, un proveedor de software antivirus puede usar el conjunto de API para crear un SHA y un SHV personalizados. Estos componentes se pueden integran a continuación en las soluciones NAP implementadas por los clientes del proveedor de software.
Si un administrador de sistemas o redes planea implementar NAP, puede hacerlo con los WSHA y WSHV que se incluyen con el sistema operativo. También puede consultar a otros proveedores de software para averiguar si ofrecen SHA y SHV para sus productos.
Introducción a NAP
La mayoría de las organizaciones crean directivas de red que dictan el tipo de hardware y software que se puede implementar en la red de la organización. Con frecuencia, dichas directivas incluyen reglas sobre cómo configurar los equipos cliente antes de conectarse a la red. Por ejemplo, muchas organizaciones requieren que los equipos cliente ejecuten un software antivirus con las actualizaciones más recientes instaladas y que dispongan de un firewall de software instalado y habilitado antes de conectarse a la red de la organización. Un equipo cliente configurado de acuerdo con la directiva de red de la organización puede verse como un equipo compatible con la directiva, mientras que un equipo que no esté configurado de acuerdo con la directiva de red de la organización puede verse como un equipo no compatible con la directiva.
NAP permite usar NPS para crear directivas que definan el mantenimiento del equipo cliente. NAP también permite aplicar directivas de mantenimiento de clientes creadas por el usuario y, de forma automática, actualizar o corregir los equipos cliente compatibles con NAP para que cumplan la directiva de mantenimiento de clientes. NAP proporciona detección continua del mantenimiento de los equipos cliente para protegerse de los casos en los que un equipo cliente es compatible en el momento de conectarse a la red de la organización, pero deja de serlo una vez conectado.
NAP ofrece una protección complementaria de la red de la organización y de los equipos cliente al garantizar que los equipos que se conectan a la red cumplen las directivas de mantenimiento de clientes y de la red de la organización. Esto protege la red de elementos perjudiciales introducidos por los equipos cliente, como son los virus, y también protege los equipos cliente de elementos perjudiciales que podría introducir la red a la que están conectados.
Además, la corrección automática de NAP reduce el tiempo durante el que se impide a los equipos cliente no compatibles tener acceso a los recursos de la red de la organización. Si se configura la corrección automática y hay clientes en un estado no compatible, los componentes de cliente de NAP pueden actualizar rápidamente el equipo mediante los recursos que suministra el usuario en una red de actualizaciones, lo que permite al cliente que ahora ya es compatible recibir con mayor rapidez la autorización de NPS para conectarse a la red.
NPS y NAP
NPS puede actuar como un servidor de directivas NAP para todos los métodos de cumplimiento NAP.
Cuando se configura NPS como un servidor de directivas de NAP, NPS evalúa los informes de mantenimiento (SoH) enviados por equipos cliente compatibles con NAP que quieren conectarse a la red. Puede configurar directivas de NAP en NPS que permitan a los equipos cliente actualizar su configuración para que puedan cumplir la directiva de red de la organización.
Mantenimiento del equipo cliente
El mantenimiento se define como la información sobre un equipo cliente que usa NAP para determinar si permite o deniega el acceso del cliente a una red. Una evaluación del estado de mantenimiento del equipo cliente representa el estado de la configuración del equipo cliente comparado con el estado que requiere la directiva de mantenimiento.
Algunos ejemplos de mediciones del mantenimiento son:
-
El estado operativo de Firewall de Windows. ¿Está el firewall habilitado o deshabilitado?
-
El estado de actualización de las firmas antivirus. ¿Son las firmas antivirus las más recientes disponibles?
-
El estado de instalación de las actualizaciones de seguridad. ¿Tiene el cliente instaladas las actualizaciones de seguridad más recientes?
El estado de mantenimiento del equipo cliente se encapsula en un SoH, que emiten los componentes de cliente de NAP. Dichos componentes envían el SoH a los componentes de servidor de NAP para que su evaluación determine si el cliente cumple las directivas y se le puede conceder acceso completo a la red.
En terminología NAP, comprobar que un equipo cumple los requisitos de mantenimiento definidos se denomina validación de las directivas de mantenimiento. NPS realiza la validación de directivas de mantenimiento para NAP.
Funcionamiento del cumplimiento NAP
NAP aplica las directivas de mantenimiento usando componentes del lado cliente que inspeccionan y evalúan el mantenimiento de los equipos cliente, componentes del lado del servidor que restringen el acceso a la red cuando se considera que los equipos cliente no son compatibles y componentes de ambos lados, cliente y servidor, que ayudan a actualizar los equipos cliente no compatibles para concederles acceso completo a la red.
Procesos clave de NAP
Para ayudar a proteger el acceso a la red, NAP se basa en tres procesos: validación de directivas, cumplimiento NAP y restricción de la red, y actualización y cumplimiento continuo.
Validación de directivas
Al usar NPS, se pueden crear directivas de mantenimiento de clientes mediante SHV que permitan a NAP detectar, aplicar y actualizar configuraciones de equipos cliente.
WSHA y WSHV proporcionan las siguientes funcionalidades para equipos compatibles con NAP:
-
El equipo cliente tiene software de firewall instalado y habilitado.
-
El equipo cliente tiene software antivirus instalado y habilitado.
-
El equipo cliente tiene instaladas las actualizaciones de antivirus más recientes.
-
El equipo cliente tiene software anti spyware instalado y en ejecución.
-
El equipo cliente tiene instaladas las actualizaciones de anti spyware más recientes.
-
Los servicios de actualización de Microsoft están habilitados en el equipo cliente.
Además, si los equipos cliente compatibles con NAP están ejecutando el Agente de Windows Update y están registrados con un servidor de Windows Server Update Services (WSUS), NAP puede comprobar si están instaladas las actualizaciones de seguridad de software más recientes según uno de los cuatro posibles valores que coinciden con las clasificaciones de severidad de la seguridad del centro de respuestas de seguridad de Microsoft (MSRC).
Cuando el usuario crea directivas que definen el estado de mantenimiento de los equipos cliente, NPS las valida. Los componentes del lado cliente de NAP envían un SoH al servidor NPS durante el proceso de conexión a la red. NPS examina el SoH y lo compara con las directivas de mantenimiento.
Cumplimiento NAP y restricción de la red
NAP deniega el acceso a la red a los equipos cliente no compatibles o les permite el acceso únicamente a una red restringida especial denominada red de actualizaciones. Una red de actualizaciones proporciona a los equipos cliente acceso a servidores de actualizaciones, que proporcionan actualizaciones de software, y todos los demás servicios NAP clave, como los servidores de Autoridad de registro de mantenimiento (HRA), necesarios para conseguir que los clientes que no son compatibles con NAP cumplan la directiva de mantenimiento.
La configuración del cumplimiento NAP en la directiva de red de NPS le permite usar NAP para limitar el acceso a la red u observar el estado de los equipos cliente compatibles con NAP que no cumplen la directiva de mantenimiento de la red.
Mediante la configuración de las directivas de red, puede elegir entre restringir el acceso, aplazar la restricción del acceso o permitir el acceso.
Actualización
Los equipos cliente no compatibles y que se colocan en una red restringida podrían someterse a una actualización. La actualización es un proceso de actualización automática de un equipo cliente de forma que cumpla las directivas de mantenimiento actuales. Por ejemplo, una red restringida podría contener un servidor FTP (Protocolo de transferencia de archivos) que actualice de forma automática las firmas de virus de los equipos cliente no compatibles que no tengan las firmas actualizadas.
Cumplimiento continuo
NAP puede exigir el cumplimiento del mantenimiento en equipos cliente que ya están conectados a la red. Esta funcionalidad es útil para garantizar que una red está protegida de forma continua aunque cambien las directivas de mantenimiento o cambie el mantenimiento de los equipos cliente. Por ejemplo, si una directiva de mantenimiento requiere que Firewall de Windows esté activado y un administrador accidentalmente desactiva el firewall de un equipo cliente, NAP determinará que el equipo cliente está en un estado no compatible. NAP desconectará al equipo cliente de la red de la organización y lo conectará a la red de actualizaciones hasta que Firewall de Windows vuelva a estar activado.
Se puede usar la configuración de NAP en las directivas de red de NPS para configurar la corrección automática de manera que los componentes de cliente de NAP intenten, de forma automática, actualizar el equipo cliente cuando no cumpla con la directiva. Al igual que la configuración del cumplimiento NAP, la corrección automática se establece en la configuración de directivas de red.