Ağ Erişim Koruması (NAP), Windows Vista®, Windows Server® 2008, Windows® 7 ve Windows Server® 2008 R2 işletim sistemlerinde bulunan bir istemci sistem durumu ilkesi oluşturma, zorlama ve düzeltme teknolojisidir. NAP'yi kullanarak, ağınıza bağlanan bilgisayarlar için yazılım gereksinimleri, güvenlik güncelleştirmesi gereksinimleri ve gerekli yapılandırma ayarları gibi öğeleri tanımlayan sistem durumu ilkeleri oluşturabilirsiniz.

NAP, istemci bilgisayarların sistem durumunu inceleyip değerlendirerek, istemci bilgisayarlar sistem durumu ilkesiyle uyumlu olmadığında ağ erişimini kısıtlayarak ve uyumlu olmayan istemci bilgisayarlara tam ağ erişimi izni atanmadan önce bu bilgisayarları sistem durumu ilkesiyle uyumlu olacak biçimde düzelterek sistem durumu ilkelerini zorlar. NAP, ağa bağlanmaya çalışan istemci bilgisayarlarda sistem durumu ilkelerini zorlar. NAP ayrıca, bir istemci bilgisayar ağa bağlandığında, sistem durumu zorlaması sağlamaya devam eder.

NAP, bir altyapı ve bir uygulama programlama arabirimi (API) kümesi sağlayan genişletilebilir bir platformdur. NAP API kümesini kullanarak, NAP istemcilerine ve Ağ İlkesi Sunucusu (NPS) çalışan sunuculara bilgisayarın sistem durumunu denetleyen, ağ sistem durumu ilkesini zorlayan ve uyumlu olmayan bilgisayarları sistem durumu ilkesiyle uyumlu olacak biçimde düzelten bileşenler ekleyebilirsiniz.

NAP, bilgisayarın sistem durumunu doğrulamak veya düzeltmek için gerekli bileşenleri kendi başına sağlamaz. Sistem durum aracıları (SHA) ve sistem durumu doğrulayıcıları (SHV) olarak bilinen diğer bileşenler, istemci bilgisayar sistem durumu incelemesini ve bildirimini, sistem durumu ilkesiyle karşılaştırıldığında istemci bilgisayarın sistem durumunun doğrulanmasını ve istemci bilgisayarın sistem durumu ilkesiyle uyumlu olmasına yardımcı olacak yapılandırma ayarlarını sağlar.

Windows Güvenliği Sistem Durumu Aracısı (WSHA), Windows Vista ve Windows 7 işletim sisteminin bir parçası olarak sunulur. Karşılık gelen Windows Güvenliği Sistem Durumu Doğrulayıcısı (WSHA), Windows Server 2008 ve Windows Server 2008 R2 işletim sisteminin bir parçası olarak sunulur. Diğer ürünler de NAP API kümesini kullanarak, SHA ve SHV uygulamalarıyla NAP ile tümleştirilebilir. Örneğin bir virüsten koruma yazılımı satıcısı bu API kümesini kullanarak özel bir SHA ve SHV oluşturabilir. Bu bileşenler daha sonra, yazılım satıcısının müşterileri tarafından dağıtılan NAP çözümleriyle tümleştirilebilir.

NAP'yi dağıtmayı planlayan bir ağ veya sistem yöneticisiyseniz, NAP'yi işletim sistemiyle birlikte gelen WSHA ve WSHV aracılığıyla dağıtabilirsiniz. Diğer yazılım satıcılarını denetleyerek, ürünleri için SHA ve SHV sağlayıp sağlamadıklarını da öğrenebilirsiniz.

NAP'ye genel bakış

Çoğu kuruluş, kuruluş ağında dağıtılabilen donanım ve yazılım türlerini belirten ağ ilkeleri oluşturur. Bu ilkeler genelde istemci bilgisayarların ağa bağlanmadan önce nasıl yapılandırılabileceğine yönelik kurallar içerir. Örneğin birçok kuruluş, istemci bilgisayarların kuruluş ağına bağlanabilmesi için ilk olarak son virüsten koruma güncelleştirmeleri yüklenmiş olarak virüsten koruma yazılımlarının çalışmasını ve istemci bilgisayarlarda bir güvenlik duvarı yazılımının yüklü ve etkin durumda olmasını gerektirir. Kuruluş ağ ilkesine uygun olarak yapılandırılan bir istemci bilgisayarın ilke ile uyumlu olduğu, kuruluş ağ ilkesine uygun olarak yapılandırılmamış bir bilgisayarın ise ilke ile uyumlu olmadığı söylenebilir.

NAP, istemci bilgisayarın sistem durumunu tanımlayan ilkeler oluşturmak üzere NPS kullanmanıza olanak verir. NAP ayrıca oluşturduğunuz istemci sistem durumu ilkelerini zorlamanıza ve NAP özellikli istemci bilgisayarları istemci sistem durumu ilkesiyle uyumlu olacak biçimde otomatik olarak güncelleştirmenize veya düzeltmenize olanak verir. NAP, bir istemci bilgisayarın kuruluş ağına bağlandığı sırada uyumlu olduğu ama bağlandıktan sonra uyumsuz hale geldiği durumlara karşı, istemci bilgisayarın sistem durumunun sürekli olarak algılanmasını sağlar.

NAP, ağa bağlanan bilgisayarların kuruluş ağıyla ve istemci sistem durumu ilkeleriyle uyumlu olmasını sağlayarak, istemci bilgisayarın ve kuruluş ağının korunmasına olanak verir. Bu özellik, ağı istemci bilgisayarlarda bulunabilecek bilgisayar virüsleri gibi zararlı öğelere karşı korur ve istemci bilgisayarları da bağlandıkları ağ nedeniyle karşılaşabilecekleri zararlı öğelere karşı korur.

Ayrıca NAP otomatik düzeltme özelliği, uyumlu olmayan istemci bilgisayarların kuruluş ağ kaynaklarına erişmelerinin engellendiği süreyi azaltır. Otomatik düzeltme yapılandırılmışsa ve istemci bilgisayarlar uyumlu olmayan bir durumdaysa, NAP istemci bileşenleri bir düzeltme ağında sağladığınız kaynakları kullanarak bilgisayarı hızla güncelleştirip, uyumlu olmayan istemci bilgisayarın ağa bağlanmak üzere NPS tarafından daha hızlı şekilde yetkilendirilmesini sağlar.

NPS ve NAP

NPS, tüm NAP zorlama yöntemleri için bir NAP ilke sunucusu gibi davranabilir.

NPS'yi bir NAP ilke sunucusu olarak yapılandırdığınızda NPS, ağa bağlanmak isteyen NAP özellikli istemci bilgisayarlarının gönderdiği sağlık durumu bildirimlerini (SoH) değerlendirir. NPS'de, istemci bilgisayarların, kuruluşunuzun ağ ilkesine uyumlu olmak için yapılandırmalarını güncelleştirmelerine izin veren NAP ilkelerini yapılandırabilirsiniz.

İstemci bilgisayar sistem durumu

Sistem durumu, NAP'nin bir ağa istemci erişimine izin verilip verilmeyeceğini belirlemek için kullandığı bir istemci bilgisayar ile ilgili bilgiler olarak tanımlanır. İstemci bilgisayar sistem durumu değerlendirmesi, bir istemci bilgisayarın yapılandırma durumunun, sistem durumu ilkesi tarafından istenen durumla karşılaştırmasını gösterir.

Sistem durumu ölçümlerine örnek olarak şunlar gösterilebilir:

  • Windows Güvenlik Duvarı'nın çalışma durumu. Güvenlik duvarı etkin mi yoksa devre dışı mı?

  • Virüsten koruma imzalarının güncelleştirme durumu. Virüsten koruma imzaları kullanılabilir olan en güncel sürümler mi?

  • Güvenlik güncelleştirmelerinin yükleme durumu. İstemcide en son güvenlik güncelleştirmeleri mi yüklü?

İstemci bilgisayarın sistem durumu, NAP istemci bileşenleri tarafından yayımlanan bir SoH içinde kapsüllenir. NAP istemci bileşenleri SoH'yi, istemcinin uyumlu olup olmadığını ve tam ağ erişimine izin verilip verilmeyeceğini belirlemek için değerlendirilmek üzere NAP sunucu bileşenlerine gönderir.

NAP terminolojisinde, bir bilgisayarın tanımlı sistem durumu gereksinimlerini karşıladığının doğrulanmasına sistem durumu ilke doğrulaması adı verilir. NPS, sistem durumu ilkesi doğrulamasını NAP için gerçekleştirir.

NAP zorlaması nasıl çalışır

NAP, istemci bilgisayarların sistem durumunu inceleyip değerlendiren istemci tarafı bileşenleri, istemci bilgisayarların uyumlu olmadığı belirlendiğinde ağ erişimini kısıtlayan sunucu tarafı bileşenleri ve uyumlu olmayan istemci bilgisayarların tam ağ erişimi için düzeltilmesine yardımcı olan istemci ve sunucu tarafı bileşenleri kullanarak sistem durumu ilkelerini zorlar.

NAP'nin önemli işlemleri

NAP, ağ erişiminin korunmasına yardımcı olacak için üç işlem kullanır: ilke doğrulaması, NAP zorlaması ve ağ kısıtlaması, düzeltme ve sürekli uyumluluk.

İlke doğrulaması

NPS kullanarak, NAP'nin istemci bilgisayar yapılandırmalarını algılamasına, zorlamasına ve düzeltmesine olanak veren SHV'ler kullanarak istemci sistem durumu ilkeleri oluşturabilirsiniz.

WSHA ve WSHV, NAP özellikli bilgisayarlar için aşağıdaki işlevleri sağlar:

  • İstemci bilgisayarda güvenlik duvarı yazılımı yüklü ve etkin durumdadır.

  • İstemci bilgisayarda virüsten koruma yazılımı yüklü ve çalışır durumdadır.

  • İstemci bilgisayarda güncel virüsten koruma güncelleştirmeleri yüklüdür.

  • İstemci bilgisayarda casus yazılım önleme yazılımı yüklü ve çalışır durumdadır.

  • İstemci bilgisayarda güncel casus yazılım önleme güncelleştirmeleri yüklüdür.

  • İstemci bilgisayarda Microsoft Update Services etkin durumdadır.

Ayrıca, NAP özellikli istemci bilgisayarlarda Windows Update Aracısı çalışıyorsa ve bir Windows Server Update Service (WSUS) sunucusuyla kaydettirilmişse, NAP, Microsoft Güvenliği Yanıt Merkezi'ndeki (MSRC) güvenlik önem derecelendirmeleriyle eşleşen dört olası değerden birine dayalı olarak en son yazılım güvenlik güncelleştirmelerinin yüklü olduğunu doğrulayabilir.

İstemci bilgisayarın sistem durumunu tanımlayan ilkeler oluşturduğunuzda, bu ilkeler NPS tarafından doğrulanır. NAP istemci tarafı bileşenleri ağ bağlantısı sırasında NPS sunucusuna bir SoH gönderir. NPS, SoH'yi inceler ve sistem durumu ilkeleriyle karşılaştırır.

NAP zorlaması ve ağ kısıtlaması

NAP, uyumlu olmayan istemci bilgisayarların ağa erişimini engeller veya yalnızca düzeltme ağı adı verilen özel bir sınırlı ağa erişmelerine izin verir. Düzeltme ağı, istemci bilgisayarların, yazılım güncelleştirmeleri sağlayan düzeltme sunucularına ve uyumlu olmayan NAP istemcileri sistem durumu ilkesiyle uyumlu duruma getirmek için gerekli olan Sistem Durumu Kayıt Yetkilisi (HRA) sunucuları gibi diğer önemli herhangi bir NAP hizmetine erişimine olanak verir.

NPS ağ ilkesindeki NAP zorlama ayarı, NAP'yi kullanarak ağ erişimini kısıtlamanıza veya ağ sistem durumu ilkenizle uyumlu olmayan NAP özellikli istemci bilgisayarların durumunu gözlemenize olanak verir.

Erişimi kısıtlamayı, erişim kısıtlamasını ertelemeyi veya ağ ilkesi ayarlarıyla erişime izin vermeyi seçebilirsiniz.

Düzeltme

Sınırlı bir ağa yerleştirilen uyumlu olmayan istemci bilgisayarlara düzeltme uygulanabilir. Düzeltme, bir istemci bilgisayarı geçerli sistem durumu ilkeleriyle uyumlu olacak biçimde otomatik olarak güncelleştirme işlemidir. Örneğin bir sınırlı ağ, imzaları güncelliğini kaybetmiş uyumlu olmayan istemci bilgisayarların imzalarını otomatik olarak güncelleştiren bir Dosya Aktarım Protokolü (FTP) sunucusu içerebilir.

Sürekli uyumluluk

NAP, ağa zaten bağlı olan istemci bilgisayarlarda sistem durumu uyumluluğunu zorlayabilir. Bu işlevsellik, sistem durumu ilkeleri ve istemci bilgisayarların sistem durumu değişse de ağın sürekli olarak korunmaya devam etmesini sağlamak açısından kullanışlıdır. Örneğin bir sistem durumu ilkesi Windows Güvenlik Duvarı'nın açık olmasını gerektiriyorsa ve bir yönetici istemci bilgisayardaki güvenlik duvarını yanlışlıkla kapatırsa, NAP, istemci bilgisayarın uyumlu olmayan bir durumda olduğunu belirler. NAP daha sonra istemci bilgisayarın kuruluş ağı bağlantısını keser ve Windows Güvenlik duvarı yeniden etkinleştirilinceye kadar istemci bilgisayarı düzeltme ağına bağlar.

NPS ağ ilkelerindeki NAP ayarlarını, istemci bilgisayar uyumlu değilse NAP istemci bileşenleri tarafından otomatik olarak güncelleştirilmeye çalışılacak biçimde otomatik düzeltme özelliğini yapılandırmak için kullanabilirsiniz. NAP zorlama ayarlarında olduğu gibi, otomatik düzeltme de ağ ilkesi ayarlarında yapılandırılır.

İçindekiler