Una infraestructura de Protección de acceso a redes (NAP) incluye equipos cliente NAP, puntos de cumplimiento NAP y servidores de directivas de mantenimiento NAP. Entre los componentes opcionales se incluyen los servidores de actualizaciones y de requisitos de mantenimiento.

Equipos cliente NAP

Para obtener acceso a la red, un cliente NAP recopila primero la información acerca de mantenimiento del software instalado localmente, denominado Agente de mantenimiento del sistema (SHA). Cada SHA instalado en el equipo cliente proporciona información acerca de la configuración o actividad para cuya supervisión está diseñado. La información de los SHA es recopilada por el agente NAP, que es un servicio que se ejecuta en el equipo local. El servicio de agente NAP resume el estado de mantenimiento del equipo y pasa esta información a uno o más clientes de cumplimiento NAP. Un cliente de cumplimiento es el software que interactúa con los puntos de cumplimiento NAP para obtener acceso a la red o comunicarse en ella.

Puntos de cumplimiento NAP

Un punto de cumplimiento NAP es un servidor o dispositivo de hardware que proporciona un nivel de acceso a la red al equipo cliente NAP. Cada tecnología de cumplimiento NAP utiliza un tipo diferente de punto de cumplimiento NAP. Vea la siguiente tabla.

Método de cumplimiento NAP Punto de cumplimiento NAP

Protocolo de seguridad de Internet (IPsec)

Autoridad de registro de mantenimiento (HRA) y Servidor de directivas de redes (NPS)

802.1X

Conmutador (con cable) o punto de acceso inalámbrico (inalámbrico)

VPN

RRAS

DHCP

DHCP y NPS

Puerta de enlace de Escritorio remoto

Puerta de enlace de Escritorio remoto y NPS

Cuando un punto de cumplimiento NAP ejecuta Windows Server 2008 o Windows Server 2008 R2, se denomina servidor de cumplimiento NAP. Todos los servidores de cumplimiento NAP deben ejecutar Windows Server 2008 o Windows Server 2008 R2. En NAP con cumplimiento 802.1X, el punto de cumplimiento NAP es un punto de acceso inalámbrico o conmutador compatible con IEEE 802.1X. Los servidores de cumplimiento NAP para los métodos de cumplimiento IPsec, DHCP y Puerta de enlace de Escritorio remoto también deben estar ejecutando el NPS configurado como proxy RADIUS o como servidor de directivas de mantenimiento NAP. NAP con cumplimiento VPN no requiere que NPS esté instalado en el servidor VPN.

Servidores de directivas de mantenimiento de NAP

Un servidor de directivas de mantenimiento NAP es un equipo que ejecuta Windows Server 2008 o Windows Server 2008 R2 con el servicio de rol de NPS instalado y configurado para evaluar el mantenimiento de equipos cliente NAP. Todas las tecnologías de cumplimiento NAP requieren al menos un servidor de directivas de mantenimiento. Un servidor de directivas de mantenimiento NAP utiliza directivas y opciones de configuración para evaluar las solicitudes de acceso a la red enviadas por los equipos cliente NAP.

Servidores de actualizaciones NAP

Los servidores de actualizaciones NAP proporcionan actualizaciones y servicios a equipos cliente no compatibles. Dependiendo del diseño de la red de actualizaciones, los equipos compatibles podrían también tener acceso a un servidor de actualizaciones. A continuación se muestran algunos ejemplos de servidores de actualizaciones NAP:

  • Servidores de firmas de antivirus. Si las directivas de mantenimiento requieren que los equipos tengan una firma de antivirus reciente, los equipos no compatibles deberán tener acceso a un servidor que les proporcione estas actualizaciones.

  • Windows Server Update Services. Si las directivas de mantenimiento requieren que los equipos tengan actualizaciones de seguridad u otras actualizaciones de software recientes, podrá proporcionarlas colocando WSUS en la red de actualizaciones.

  • Servidores de componentes de System Center. Los puntos de administración, puntos de actualización de software y puntos de distribución del Administrador de configuración de System Center alojan las actualizaciones de software necesarias para que los equipos sean compatibles. Al implementar NAP con el Administrador de configuración, los equipos compatibles con NAP requieren acceso a los equipos que ejecutan estas funciones del sistema de sitio para descargar la directiva de cliente, examinar el cumplimiento de las actualizaciones de software y descargar las actualizaciones de software necesarias.

  • Controladores de dominio. Los equipos no compatibles podrían requerir acceso a servicios de dominio de la red no compatible con fines de autenticación, para descargar directivas de la Directiva de grupo o para mantener la configuración del perfil de dominio.

  • Servidores DNS. Los equipos no compatibles deben tener acceso a DNS para resolver los nombres de host.

  • Servidores DHCP. Los equipos no compatibles deben tener acceso a un servidor DHCP si cambia el perfil IP del cliente en la red no compatible o si expira la concesión DHCP.

  • Servidores de solución de problemas. Al configurar un grupo de servidores de actualizaciones, tiene la opción de proporcionar una dirección URL de solución de problemas con instrucciones para hacer que los equipos sean compatibles con las directivas de mantenimiento. Puede proporcionar una dirección URL diferente para cada directiva de red. Estas direcciones URL deben ser accesibles en la red de actualizaciones.

  • Otros servicios. Es posible que tenga que proporcionar acceso a Internet a la red de actualizaciones para que los equipos no compatibles puedan llegar a servicios de actualizaciones como Windows Update y otros recursos de Internet.

Servidores de requisitos de mantenimiento NAP

Un servidor de requisitos de mantenimiento es un equipo que proporciona requisitos de directivas de mantenimiento e información de evaluación de mantenimiento a uno o más validadores de mantenimiento del sistema. Si NPS puede validar el estado de mantenimiento notificado por los equipos cliente NAP sin consultar con otro dispositivo, no será necesario un servidor de requisitos de mantenimiento. Por ejemplo, WSUS no se considera un servidor de requisitos de mantenimiento cuando se utiliza con el Validador de mantenimiento de seguridad de Windows (WSHV). Aunque un administrador utilice WSUS para especificar las actualizaciones que deben tener los equipos cliente, es el equipo cliente el que notifica si tiene instaladas dichas actualizaciones. En este caso, WSUS es un servidor de actualizaciones, no un servidor de requisitos de mantenimiento.

Se utiliza un servidor de requisitos de mantenimiento si se implementa NAP con el SHV del Administrador de configuración. El SHV del Administrador de configuración se pone en contacto con un servidor de catálogo global para validar el estado de mantenimiento del cliente comprobando la referencia de estado de mantenimiento publicada en los Servicios de dominio de Active Directory (AD DS). Por tanto, si ha implementado el SHV del Administrador de configuración, un controlador de dominio es un servidor de requisitos de mantenimiento. Otros SHV también podrían usar servidores de requisitos de mantenimiento.

Referencias adicionales


Tabla de contenido