Architektura NAP (Network Access Protection) je technologie vytváření, vynucení a nápravy problémů zásad stavu klienta, která je součástí systémů Windows Vista®, Windows Server® 2008, Windows® 7 a Windows Server® 2008 R2. Pomocí architektury NAP lze vytvořit zásady stavu, které definují například požadavky na software, požadavky na aktualizace zabezpečení a požadovaná nastavení konfigurace počítačů, které se připojují k síti.
Architektura NAP vynucuje zásady stavu zkoumáním a vyhodnocováním stavu klientských počítačů, omezováním přístupu k síti u klientských počítačů nesplňujících zásady stavu a nápravou těchto počítačů za účelem jejich uvedení do stavu kompatibilního se zásadami stavu, který jim umožní získat plný přístup k síti. Architektura NAP vynucuje zásady stavu u klientských počítačů, které se snaží připojit k síti. Architektura NAP také poskytuje průběžné vynucování kompatibility stavu během připojení klientského počítače k síti.
Architektura NAP je rozšiřitelná platforma poskytující infrastrukturu a sadu rozhraní API (Application Programming Interface). Pomocí sady rozhraní API architektury NAP lze do klientů architektury NAP a serverů NPS (Network Policy Server) přidávat součásti, které kontrolují stav počítačů, vynucují zásady stavu sítě a napravují počítače nekompatibilní se zásadami stavu.
Architektura NAP sama o sobě neposkytuje součásti k ověřování nebo nápravě stavu počítačů. Další součásti, známé jako agenti stavu systému (SHA) a validátory stavu systému (SHV), poskytují inspekce a hlášení stavu klientského počítače, ověřování stavu klientského počítače vzhledem k zásadám stavu a nastavení konfigurace usnadňující uvedení klientského počítače do stavu kompatibilního se zásadami stavu.
Agent stavu zabezpečení systému Windows (WSHA) je součástí operačních systémů Windows Vista a Windows 7. Odpovídající validátor stavu zabezpečení systému Windows (WSHA) je součástí operačních systémů Windows Server 2008 a Windows Server 2008 R2. Pomocí sady API architektury NAP lze agenty SHA a validátory SHV implementovat také do jiných produktů, a integrovat je tak s architekturou NAP. Například dodavatel antivirového softwaru může pomocí sady API vytvořit vlastního agenta SHA a validátor SHV. Tyto součásti lze pak integrovat do řešení NAP nasazovaných zákazníky dodavatele.
Pokud jakožto správce sítě nebo systému plánujete nasazení architektury NAP, můžete nasazení provést pomocí agenta WSHA a validátoru WSHV, které jsou součástí operačního systému. Můžete také prověřit, zda ostatní dodavatelé softwaru poskytují agenty SHA a validátory SHV pro své produkty.
Přehled architektury NAP
Většina organizací vytváří vlastní zásady sítě, které určují, jaký typ hardwaru a softwaru lze nasadit v síti organizace. Tyto zásady často obsahují pravidla pro způsob konfigurace klientských počítačů před jejich připojením k síti. Mnoho organizací například vyžaduje, aby byl na klientských počítačích spuštěn antivirový software s nainstalovanými nejnovějšími aktualizacemi a aby klientské počítače měly před připojením k síti organizace nainstalovanou a povolenou softwarovou bránu firewall. Na klientský počítač nakonfigurovaný podle zásad sítě organizace lze pohlížet jako na kompatibilní se zásadami, zatímco počítač, který není patřičně nakonfigurovaný, lze označit jako nekompatibilní se zásadami.
Architektura NAP umožňuje vytvořit pomocí serveru NPS zásady, určující stav klientského počítače. Architektura NAP také umožňuje vynucovat vytvořené zásady stavu klientů a automaticky aktualizovat nebo napravovat klientské počítače umožňující architekturu NAP uvedením do stavu kompatibilního se zásadami stavu klienta. Architektura NAP poskytuje průběžnou detekci stavu klientského počítače za účelem ochrany před případy, ve kterých je klientský počítač během připojení k síti organizace kompatibilní, ale později během připojení se stane nekompatibilním.
Architektura NAP zajišťuje, že počítače, které se připojují k síti, jsou kompatibilní se zásadami sítě organizace a stavu klienta a poskytuje tak doplňkovou ochranu klientských počítačů a sítě organizace. Tím je zajištěna ochrana sítě před škodlivými prvky pocházejícími z klientských počítačů, například počítačovými viry, a také ochrana klientských počítačů před škodlivými prvky, které mohou pocházet ze sítě, ke které se připojují.
Funkce automatické nápravy architektury NAP navíc zkracuje dobu, po kterou je nekompatibilním klientským počítačům odepřen přístup k síťovým prostředkům organizace. Pokud je funkce automatické nápravy nakonfigurována a klienti jsou v nekompatibilním stavu, mohou součásti klienta architektury NAP rychle aktualizovat počítač pomocí prostředků, které poskytujete v nápravné síti. To umožní nyní již kompatibilním klientům rychlejší autorizaci serverem NPS a připojení k síti.
Server NPS a architektura NAP
Server NPS může fungovat jako server zásad architektury NAP pro všechny metody vynucení architektury NAP.
Pokud nakonfigurujete server NPS jako server zásad architektury NAP, vyhodnotí server NPS prohlášení o stavu (Statement of Health) odeslaná klientskými počítači s podporou architektury NAP, které se chtějí připojit k síti. Na serveru NPS je možné nakonfigurovat zásady architektury NAP, které klientským počítačům umožní aktualizaci konfigurace na úroveň kompatibilní se síťovými zásadami organizace.
Stav klientského počítače
Stav je definován jako informace o klientském počítači, pomocí kterých architektura NAP rozhodne, zda klientovi umožní nebo odepře přístup k síti. Hodnocení stavu klientského počítače představuje stav konfigurace klientského počítače ve srovnání se stavem vyžadovaným zásadami stavu.
Vzorová měření stavu zahrnují:
-
Provozní stav brány firewall systému Windows Je brána firewall povolena nebo zakázána?
-
Stav aktualizace antivirových podpisů Jsou antivirové podpisy nejnovější dostupné?
-
Stav instalace aktualizací zabezpečení Jsou na klientském počítači nainstalovány nejnovější aktualizace zabezpečení?
Stav klientského počítače je zapouzdřen v prohlášení o stavu (SoH), vydaném součástmi klienta architektury NAP. Součásti klienta architektury NAP odešlou prohlášení o stavu součástem serveru architektury NAP za účelem vyhodnocení a rozhodnutí, zda je klient kompatibilní a je možné mu udělit plný přístup k síti.
V terminologii architektury NAP se proces ověřování, zda počítač splňuje definované požadavky na stav, nazývá ověření zásad stavu. Ověření zásad stavu pro architekturu NAP vykonává server NPS.
Princip činnosti vynucení architektury NAP
Architektura NAP vynucuje zásady pomocí součástí na straně klienta, které zkoumají a vyhodnocují stav klientských počítačů, pomocí součástí na straně serveru, které omezují přístup k síti v případě, že klientské počítače jsou označeny jako nekompatibilní, a pomocí součástí na straně klienta i serveru, které pomáhají napravit nekompatibilní klientské počítače za účelem získání úplného přístupu k síti.
Klíčové procesy architektury NAP
Ochrana přístupu k síti architektury NAP je založena na třech procesech: ověřování zásad, vynucení architektury NAP a omezení přístupu k síti a náprava a průběžná kompatibilita.
Ověřování zásad
Prostřednictvím serveru NPS můžete pomocí validátorů stavu klienta vytvořit zásady stavu klienta, které umožňují architektuře NAP rozpoznávat, vynucovat a napravovat konfigurace klientských počítačů.
Agent WSHA a validátor WSHV poskytují pro počítače umožňující architekturu NAP následující funkce:
-
V klientském počítači je nainstalována a povolena brána firewall.
-
V klientském počítači je nainstalován a spuštěn antivirový software.
-
V klientském počítači jsou nainstalovány aktuální antivirové aktualizace.
-
V klientském počítači je nainstalován a spuštěn antispywarový software.
-
V klientském počítači jsou nainstalovány aktuální aktualizace antispywarového softwaru.
-
V klientském počítači je povolena služba Microsoft Update.
Pokud navíc v klientských počítačích umožňujících architekturu NAP běží agent služby Windows Update a tyto počítače jsou zaregistrovány na serveru WSUS (Windows Server Update Service), může architektura NAP na základě jedné ze čtyř možných hodnot odpovídajících hodnocení závažnosti zabezpečení z centra MSCR (Microsoft Security Response Center) ověřit, zda jsou nainstalovány nejnovější aktualizace zabezpečení softwaru.
Vytvořené zásady definující stav klientského počítače jsou ověřovány serverem NPS. Součásti na straně klienta odešlou prohlášení o stavu na server NPS během procesu připojení k síti. Server NSP prozkoumá prohlášení o stavu a porovná jej se zásadami stavu.
Vynucení architektury NAP a omezení přístupu k síti
Architektura NAP odepře nekompatibilním klientským počítačům přístup k síti, nebo jim povolí přistup pouze do speciální omezené sítě nazývané nápravná síť. Nápravná síť poskytuje klientským počítačům přístup k nápravným serverům, které poskytují softwarové aktualizace, a k dalším klíčovým službám architektury NAP, jako jsou například servery autorit pro registraci stavu (HRA - Health Registration Authority), které jsou nutné k uvedení nekompatibilních klientů architektury NAP do stavu kompatibilního se zásadami stavu.
Nastavení vynucení architektury NAP v zásadách sítě serveru NPS umožňuje pomocí architektury NAP omezit přístup k síti nebo pozorovat stav klientských počítačů umožňujících architekturu NAP, které nejsou kompatibilní se zásadami stavu sítě.
Můžete zvolit, zda chcete omezit přístup, odložit omezení přístupu nebo umožnit přístup s nastaveními zásad sítě.
Náprava
Nekompatibilní klientské počítače, připojené do omezené sítě, mohou podstoupit nápravu. Náprava je proces automatické aktualizace klientského počítače do stavu, ve kterém splňuje aktuální zásady stavu. Omezená síť může například obsahovat server FTP (File Transfer Protocol), který automaticky aktualizuje virové podpisy nekompatibilních klientských serverů se zastaralými podpisy.
Průběžná kompatibilita
Architektura NAP může vynucovat kompatibilitu stavu u klientských počítačů, které jsou již připojeny k síti. Tato funkce je užitečná pro zajištění průběžné ochrany sítě, zatímco se mění zásady stavu a stav klientských počítačů. Architektura NAP například určí, že klientský počítač není v kompatibilním stavu, pokud zásady stavu vyžadují zapnutou bránu Windows Firewall a správce ji neúmyslně vypne. Architektura NAP v tomto případě odpojí klientský počítač od sítě organizace a připojí jej k nápravné síti, dokud nebude znovu zapnuta brána Windows Firewall.
Pomocí nastavení architektury NAP v zásadách sítě serveru NSP lze nakonfigurovat automatickou nápravu, takže součásti klienta architektury NAP se automaticky pokusí aktualizovat nekompatibilní klientský počítač. Stejně jako nastavení vynucení architektury NAP se automatická náprava konfiguruje v nastaveních zásad sítě.