תשתית של הגנה על גישה לרשת (NAP) כוללת מחשבי לקוח NAP, נקודות אכיפה של NAP ושרתי מדיניות תקינות של NAP. רכיבים אופציונליים כוללים שרתי תיקון ושרתי דרישת תקינות.

מחשבי לקוח NAP

כדי לקבל גישה לרשת, לקוח NAP אוסף תחילה מידע אודות תקינותו מתוך תוכנה המותקנת באופן מקומי ונקראת סוכני תקינות מערכת (SHA). כל SHA המותקן במחשב הלקוח מספק מידע אודות ההגדרות או הפעילות הנוכחיות המיועדות לניטור. מידע מסוכני SHA נאסף על-ידי סוכן ה- NAP שהוא שירות הפועל במחשב המקומי. שירות סוכן ה- NAP מסכם את מצב התקינות של המחשב ומעביר מידע זה ללקוח אכיפה אחד או יותר של NAP. לקוח אכיפה הוא תוכנה המקיימת אינטראקציה עם נקודות אכיפה של NAP כדי לגשת לרשת או לתקשר בה.

נקודות אכיפה של NAP

נקודת אכיפה של NAP היא התקן שרת או חומרה המספק רמה של גישה לרשת למחשב לקוח ה- NAP. כל טכנולוגיית אכיפה של NAP משתמשת בסוג שונה של נקודת אכיפה של NAP. עיין בטבלה הבאה.

שיטת אכיפה של NAP נקודת אכיפה של NAP

אבטחת פרוטוקול אינטרנט (IPsec)

רשות לרישום תקינות (HRA) ושרת מדיניות רשת (NPS)

802.1X

נקודת גישה של מתג (קווית) או אלחוט (אלחוטית)

VPN

RRAS

DHCP

DHCP ו- NPS

שער של שולחן עבודה מרוחק (שער RD)

שער RD ו- NPS

כאשר בנקודת אכיפה של NAP פועל Windows Server 2008 או Windows Server 2008 R2, היא נקראת שרת אכיפה של NAP. בכל שרתי האכיפה של NAP חייב לפעול Windows Server 2008 או Windows Server 2008 R2. ב- NAP עם אכיפת 802.1X, נקודת האכיפה של NAP היא מתג תואם-IEEE 802.1X או נקודת גישה אלחוטית. שרתי האכיפה של NAP עבור שיטות האכיפה IPsec,‏ DHCP ושער RD חייבים גם הם לפעול עם NPS מוגדר, בין אם כ- RADIUS Proxy ובין אם כשרת מדיניות תקינות של NAP. NAP עם אכיפת VPN אינו דורש ש- NPS יהיה מותקן בשרת ה- VPN.

שרתי מדיניות תקינות של NAP

שרת מדיניות תקינות של NAP הוא מחשב שבו פועל Windows Server 2008 או Windows Server 2008 R2 עם שירות תפקיד ה- NPS מותקן ומוגדר להערכת התקינות של מחשבי לקוח NAP. כל טכנולוגיות האכיפה של NAP דורשות שרת מדיניות תקינות אחד לפחות. שרת מדיניות תקינות של NAP משתמש במדיניות ובהגדרות להערכת בקשות לגישה לרשת הנשלחות על-ידי מחשבי לקוח NAP.

שרתי תיקון NAP

שרתי תיקון NAP מספקים עדכונים ושירותים למחשבי לקוח שאינם תואמים. בהתאם לתכנון של רשת התיקון, ייתכן ששרת תיקון יהיה נגיש גם על-ידי מחשבים תואמים. דוגמאות מסוימות לשרתי תיקון של NAP כוללות:

  • שרתי חתימת אנטי-וירוס. אם מדיניות תקינות דורשת ממחשבים לכלול חתימת אנטי-וירוס עדכנית, מחשבים שאינם תואמים חייבים לכלול אפשרות גישה לשרת כדי לספק עדכונים אלה.

  • Windows Server Update Services. אם מדיניות תקינות דורשת ממחשבים לכלול עדכוני אבטחה או עדכוני תוכנה אחרים חדשים, ייתכן שתוכל לספק אותם על-ידי מיקום WSUS ברשת התיקון שלך.

  • שרתי רכיבים של מרכז המערכת. נקודות ניהול, נקודות עדכוני תוכנה ונקודות הפצה של System Center Configuration Manager, מארחות את עדכוני התוכנה הדרושים להפיכת המחשבים לתואמים. בעת פריסת NAP עם מנהל תצורה, מחשבים התומכים ב- NAP דורשים גישה למחשבים שבהם פועלים תפקידי מערכת אתר אלה כדי להוריד את מדיניות הלקוח שלהם, לסרוק אחר תאימות עדכוני תוכנה ולהוריד עדכוני תוכנה דרושים.

  • בקרי תחום. מחשבים שאינם תואמים עשויים לדרוש גישה לשירותי תחום ברשת שאינה תואמת לצורך מטרות אימות, כדי להוריד מדיניות ממדיניות קבוצתית או כדי לשמור על הגדרות פרופיל תחום.

  • שרתי DNS. מחשבים שאינם תואמים חייבים לכלול אפשרות גישה ל- DNS כדי לפתור שמות מארח.

  • שרתי DHCP. מחשבים שאינם תואמים חייבים לכלול אפשרות גישה לשרת DHCP אם פרופיל ה- IP של הלקוח משתנה ברשת שאינה תואמת או אם תוקפה של חכירת ה- DHCP פג.

  • שרתי פתרון בעיות. בעת קביעת תצורה של קבוצת שרת תיקונים, באפשרותך לספק כתובת URL של פתרון בעיות עם הוראות להפיכת המחשבים לתואמים למדיניות התקינות שלך. באפשרותך לספק כתובת URL שונה עבור כל מדיניות רשת. כתובות URL אלה חייבות להיות נגישות ברשת התיקונים.

  • שירותים אחרים. ייתכן שתוכל לספק גישה לאינטרנט ברשת התיקונים שלך כך שמחשבים שאינם תואמים יוכלו לגשת לשירותי תיקונים, כגון Windows Update ומשאבי אינטרנט אחרים.

שרתי דרישות תקינות של NAP

שרת דרישות תקינות הוא מחשב המספק דרישות מדיניות תקינות ומידע על הערכת תקינות למאמת תקינות מערכת (SHV) אחד או יותר. אם מצב התקינות שדווח על-ידי מחשבי לקוח של NAP ניתן לאימות על-ידי NPS מבלי להיוועץ בהתקן אחר, אין צורך בשרת דרישות תקינות. לדוגמה, WSUS אינו נחשב לשרת דרישות תקינות כאשר נעשה בו שימוש ביחד עם מאמת תקינות האבטחה של Windows‏ (WSHV). אף שמנהל מערכת יכול להשתמש ב- WSUS כדי לציין אילו עדכונים חייבים להיות מותקנים במחשבי לקוח, מחשב הלקוח הוא זה שמדווח אם מותקנים בו עדכונים אלה. בתרחיש זה, WSUS הוא שרת תיקונים ולא שרת דרישות תקינות.

שרת דרישות תקינות נמצא בשימוש בעת פריסת NAP עם ה- SHV של מנהל התצורה. ה- SHV של מנהל התצורה פונה אל שרת קטלוג כללי כדי לאמת את מצב התקינות של הלקוח על-ידי בדיקת ההפניה למצב התקינות המתפרסמת ב- Active Directory Domain Services‏ (AD DS). לפיכך, בקר תחום הוא שרת דרישות תקינות אם פרסת את ה- SHV של מנהל התצורה. גם מאמתי SHV אחרים עשויים להשתמש בשרתי דרישות תקינות.

הפניות נוספות


תוכן העניינים