تحتوي البنية الأساسية "لحماية الوصول إلى الشبكة" (Network Access Protection) ‏(NAP) على أجهزة كمبيوتر عملاء NAP وخوادم فرض NAP وخوادم نهج حماية NAP. أما المكونات الاختيارية فتتضمن خوادم التحديث وخوادم متطلبات الحماية.

أجهزة كمبيوتر عملاء NAP

للوصول إلى إحدى الشبكات، يقوم عميل NAP أولاً بتجميع معلومات حول حالة الحماية من برنامج يتم تثبيته محلياً يطلق عليه "عملاء حماية النظام" (SHAs). يعمل كل SHA يتم تثبيته على الكمبيوتر العميل على توفير معلومات حول الإعدادات الحالية أو النشاط الذي تم تصميمه لمراقبته. ويتم تجميع المعلومات من SHAs بواسطة عامل NAP، وهو خدمة يتم تشغيلها على الكمبيوتر المحلي. تقوم خدمة NAP Agent بتلخيص حالة حماية الكمبيوتر وتمرير هذه المعلومات إلى واحد أو أكثر من عملاء فرض NAP. وعميل الفرض هو برنامج يتفاعل مع خوادم فرض NAP للوصول إلى الشبكة أو الاتصال بها.

خوادم فرض NAP

خادم فرض NAP هو خادم أو جهاز يوفر مستوى وصول إلى الشبكة لكمبيوتر عميل NAP. تستخدم كل تقنية من تقنيات فرض NAP نوعاً مختلفاً من خوادم فرض NAP. قم بمراجعة الجدول التالي.

أسلوب فرض NAP خادم فرض NAP

Internet Protocol security (IPsec)‎

"جهة تسجيل الحماية" (Health Registration Authority) ‏(HRA) و"خادم نهج الشبكة" (Network Policy Server) ‏(NPS)

802.1X

المبدِّل (سلكي) أو نقطة الوصول اللاسلكية (لاسلكي)

VPN

RRAS

DHCP

DHCP و NPS

Remote Desktop Gateway (RD Gateway)‎

RD Gateway و NPS

عندما يكون خادم فرض NAP يعمل باستخدام Windows Server 2008 أو Windows Server 2008 R2، يتم الإشارة إليه كخادم فرض NAP. يجب أن تكون كافة خوادم فرض NAP تعمل باستخدام Windows Server 2008 أو Windows Server 2008 R2. في NAP الذي يستخدم أسلوب الفرض ‏802.1X، يكون خادم فرض NAP مبدِّلاً متوافقاً مع IEEE 802.1X أو نقطة وصول لاسلكية. يجب أيضاً أن تكون خوادم فرض NAP التي تستخدم أساليب الفرض IPsec و DHCP و RD Gateway، تقوم بتشغيل NPS الذي تم تكوينه كوكيل RADIUS أو كخادم نهج حماية NAP. لا يتطلب NAP الذي يستخدم أسلوب الفرض VPN تثبيت NPS على خادم VPN.

خوادم نهج حماية NAP

خادم نهج حماية NAP هو كمبيوتر يعمل باستخدام Windows Server 2008 أو Windows Server 2008 R2 مع تثبيت خدمة دور NPS وتكوينها لتقييم حماية أجهزة كمبيوتر عملاء NAP. تتطلب كافة تقنيات فرض NAP وجود خادم نهج حماية واحد على الأقل. يستخدم خادم نهج حماية NAP النُهج والإعدادات لتقييم طلبات الوصول إلى الشبكة التي تمت الموافقة عليها بواسطة أجهزة كمبيوتر عملاء NAP.

خوادم تحديث NAP

توفر خوادم تحديث NAP تحديثات وخدمات لأجهزة الكمبيوتر العميلة غير المتوافقة. وقد يمكن الوصول أيضاً إلى خادم التحديث بواسطة أجهزة الكمبيوتر المتوافقة، وذلك وفقاً لتصميم شبكة التحديث الخاصة بك. تتضمن بعض أمثلة خوادم تحديث NAP:

  • خادم توقيع برامج الحماية من الفيروسات. إذا كانت نُهج الحماية تتطلب أن يكون لدى أجهزة الكمبيوتر توقيعاً حديثاً لبرنامج الحماية من الفيروسات، فيجب أن تمتلك أجهزة الكمبيوتر غير المتوافقة حق الوصول إلى خادم لتوفير هذه التحديثات.

  • خدمات Windows Server Update. إذا كانت نُهج الحماية تتطلب أن يكون لدى أجهزة الكمبيوتر آخر تحديثات الأمان أو تحديثات البرامج الأخرى، فيمكنك توفير ذلك من خلال وضع WSUS على شبكة التحديث لديك.

  • خوادم مكون System Center. تقوم كل من خوادم إدارة System Center Configuration Manager وخوادم تحديث البرامج وخوادم التوزيع باستضافة تحديثات البرامج اللازمة لجعل أجهزة الكمبيوتر متوافقة. وعند القيام بنشر NAP مع "إدارة التكوين" (Configuration Manager)، تتطلب أجهزة الكمبيوتر التي تعتمد NAP الحصول على حق الوصول إلى أجهزة الكمبيوتر التي تقوم بتشغيل أدوار نظام الموقع لتنزيل نهج العميل الخاص بها والبحث عن توافق تحديثات البرامج وتنزيل تحديثات البرامج المطلوبة.

  • وحدات التحكم بالمجال. قد تتطلب أجهزة الكمبيوتر غير المتوافقة الوصول إلى خدمات المجال على الشبكة غير المتوافقة لأغراض المصادقة أو لتنزيل النُهج من "نهج المجموعة" (Group Policy) أو للاحتفاظ بإعدادات ملف تعريف المجال.

  • خوادم DNS. يجب أن تمتلك أجهزة الكمبيوتر غير المتوافقة حق الوصول إلى DNS لتحليل أسماء المضيفين.

  • خوادم DHCP. يجب أن تمتلك أجهزة الكمبيوتر غير المتوافقة حق الوصول إلى خادم DHCP في حالة تغيير ملف تعريف IP الخاص بالعميل على الشبكة غير المتوافقة أو انتهاء مدة تأجير DHCP.

  • خوادم استكشاف الأخطاء وإصلاحها. عند القيام بتكوين مجموعة من خوادم التحديث، سيتوفر لك خيار توفير عنوان URL لاستكشاف الأخطاء وإصلاحها مع إرشادات حول كيفية جعل أجهزة الكمبيوتر متوافقة مع نُهج الحماية الخاصة بك. يمكنك توفير عنوان URL مختلف لكل نهج شبكة. ويجب أن تكون عناوين URL هذه قابلة للوصول إليها على شبكة التحديث.

  • خدمات أخرى. قد يكون بإمكانك توفير الوصول إلى إنترنت على شبكة التحديث حتى تتمكن أجهزة الكمبيوتر غير المتوافقة من الوصول إلى خوادم التحديث مثل Windows Update وموارد إنترنت الأخرى.

خوادم المطالبة بالحماية لـ NAP

خادم المطالبة بالحماية هو كمبيوتر يوفر متطلبات نهج الحماية ومعلومات تقييم الحماية لواحدة أو أكثر من أدوات التحقق من صحة حماية النظام (SHVs). إذا كان من الممكن التحقق من صحة حالة الحماية التي تم إرسال تقرير عنها بواسطة أجهزة كمبيوتر عملاء NAP من خلال NPS دون استشارة جهاز آخر، فلا يتطلب توفير خادم مطالبة بالحماية. على سبيل المثال، لا يعد WSUS خادم مطالبة بالحماية عند استخدامه مع "مدقق صحة أمان Windows" ‏(Windows Security Health Validator) ‏(WSHV). بالرغم من أنه يمكن للمسؤول استخدام WSUS لتحديد التحديثات التي يجب أن تتوفر لدى أجهزة الكمبيوتر العميلة، فإن الكمبيوتر العميل هو الذي يقرر ما إذا تم تثبيت هذه التحديثات أم لا. وفي هذا السيناريو، يكون WSUS خادم تحديث وليس خادم المطالبة بالحماية.

يتم استخدام خادم المطالبة بالحماية في حالة نشر NAP مع SHV الخاص بـ Configuration Manager. تقوم SHV الخاصة بـ Configuration Manager بالاتصال بخادم الكتالوج العمومي للتحقق من حالة حماية العميل عن طريق التحقق من مرجع حالة الحماية الذي تم نشره إلى "خدمات مجال خدمة Active Directory" ‏(Active Directory Domain Services)‏ (AD DS). ولهذا تكون وحدة التحكم بالمجال خادم مطالبة بالحماية إذا قمت بنشر SHV الخاص بـ Configuration Manager. يمكن أيضاً لأدوات SHV الأخرى استخدام خوادم المطالبة بالحماية.

مراجع إضافية


جدول المحتويات