A hálózatvédelem (NAP) egy, az ügyfelek állapotházirendjeinek létrehozására, kényszerítésére és kijavítására szolgáló technológia, amely a Windows Vista®, a Windows Server® 2008, a Windows® 7 és a Windows Server® 2008 R2 operációs rendszerek része. A hálózatvédelem használatával olyan állapotházirendeket hozhat létre, amelyek például a hálózathoz kacsolódó számítógépek szoftverkövetelményeit, biztonsági frissítéssel kapcsolatos követelményeit és a szükséges konfigurációs beállításait határozzák meg.
A hálózatvédelem az állapotházirendeket az ügyfélszámítógépek rendszerállapotának vizsgálatával és felmérésével, az állapotházirenddel nem kompatibilis ügyfélszámítógépek hálózati hozzáférésének korlátozásával, és a nem kompatibilis ügyfélszámítógépek korlátlan hálózati hozzáféréséhez szükséges szervizeléssel kényszeríti. A Hálózatvédelem a rendszerállapot-házirendeket azokon az ügyfélszámítógépeken kényszeríti, amelyek a hálózathoz próbálnak csatlakozni. A Hálózatvédelem biztosítja az épségi követelményeknek való megfelelés folyamatos kényszerítését is mindaddig, amíg egy ügyfélszámítógép a hálózatra kapcsolódik.
A hálózatvédelem egy olyan kiterjeszthető platform, amely infrastruktúrát és alkalmazásprogramozási felületet (API) biztosít. A hálózatvédelem alkalmazásprogramozási felületével összetevők adhatók hozzá a hálózatvédelem-ügyfelekhez és a hálózati házirend-kiszolgálót futtató kiszolgálókhoz, amelyek ellenőrzik a számítógép rendszerállapotát, hálózati állapotházirendet kényszerítenek, és a nem megfelelő számítógépeket szervizelik, hogy összhangban legyenek az állapotházirenddel.
A hálózatvédelem önmagában nem biztosítja azokat az összetevőket, amelyekkel a számítógépek állapota ellenőrizhető vagy szervizelhető. Más, rendszerállapot-ügynökként és rendszerállapot-érvényesítőként ismert összetevők megvizsgálják az ügyfélszámítógépek állapotát és jelentést készítenek róla, ellenőrzik, hogy megfelel-e az ügyfélszámítógépek állapota az állapotházirendnek, és a konfigurációs beállítások megadásával járulnak hozzá ahhoz, hogy az ügyfélszámítógépek kompatibilisek legyenek az állapotházirenddel.
A Windows biztonságiállapot-ügynök (WSHA) a Windows Vista és a Windows 7 operációs rendszer része. A megfelelő Windows biztonságiállapot-érvényesítő (WSHV) a Windows Server 2008 és a Windows Server 2008 R2 operációs rendszer része. A hálózatvédelem API készletével más termékek is implementálhatják a rendszerállapot-ügynökök és rendszerállapot-érvényesítők hálózatvédelemmel való együttműködését. A víruskereső szoftverek gyártói az API készlettel például egyéni rendszerállapot-ügynököket és rendszerállapot-érvényesítőket hozhatnak létre. Ezek az összetevők ezután integrálhatók a szoftverforgalmazó vásárlói által telepített NAP-megoldásokba.
Ha (hálózati) rendszergazdaként hálózatvédelmet szeretne telepíteni, ezt az operációs rendszerben megtalálható Windows biztonságiállapot-ügynökkel (WSHA) és Windows biztonságiállapot-érvényesítővel (WSHV) teheti meg. Megtekintheti más szoftvergyártók kínálatát is, hogy ellenőrizze, biztosítanak-e rendszerállapot-ügynököket és rendszerállapot-érvényesítőket termékeikhez.
Hálózatvédelem (NAP) - áttekintés
A legtöbb cég olyan hálózati házirendeket hoz létre, amelyek meghatározzák, hogy a hálózaton milyen típusú hardverek és szoftverek telepíthetők. Ezek a házirendek gyakran tartalmaznak előírásokat arra nézve, hogy az ügyfélszámítógépek hogyan legyenek konfigurálva a hálózathoz való csatlakozás előtt. Sok cég például elvárja, hogy az ügyfélszámítógépeken a legújabb frissítésekkel ellátott víruskereső programok fussanak, és hogy rajtuk szoftveres tűzfal legyen telepítve és engedélyezve, mielőtt a céges hálózathoz kapcsolódnak. A cég hálózati házirendje szerint konfigurált ügyfélszámítógépek a házirenddel kompatibilisnek, míg a nem a cég hálózati házirendje szerint konfigurált számítógépek a házirenddel nem kompatibilisnek tekinthetők.
A hálózatvédelem lehetővé teszi, hogy a hálózati házirend-kiszolgálóval olyan házirendeket hozzon létre, amelyek meghatározzák az ügyfélszámítógép rendszerállapotát. A hálózatvédelem lehetővé teszi, hogy kényszerítse a létrehozott ügyfélállapot-házirendeket, és hogy automatikusan frissítse vagy szervizelje a hálózatvédelemre képes ügyfélszámítógépeket, hogy azok kompatibilissá váljanak az ügyfélállapot-házirenddel. A hálózatvédelem folyamatosan figyelemmel kíséri az ügyfélszámítógépek rendszerállapotát, hogy elkerülhetők legyenek azok a helyzetek, amelyekben az ügyfélszámítógépek a hálózathoz való csatlakozáskor még kompatibilisek ugyan, de a csatlakozás során nem kompatibilissé válnak.
A hálózatvédelem kiegészítő védelmet nyújt az ügyfélszámítógépeknek és céges hálózatoknak úgy, hogy ellenőrzi a hálózathoz kapcsolódó számítógépek kompatibilitását a céges hálózati, illetve az ügyfélállapot-házirendekkel. Ez megvédi a hálózatot az ügyfélszámítógépek által behozott káros elemektől, például számítógépes vírusoktól, illetve megvédi az ügyfélszámítógépeket is az esetleg arról a hálózatról származó káros elemektől, amelyhez kapcsolódnak.
A hálózatvédelem továbbá az automatikus szervizeléssel csökkenti azt az időt, amíg a nem kompatibilis ügyfélszámítógépek nem férhetnek hozzá a céges hálózati forrásokhoz. Ha az automatikus szervizelés konfigurálva van, és az ügyfelek állapota nem kompatibilis, a NAP-ügyfélösszetevők gyorsan frissíteni tudják a számítógépet az automatikus szervizelési hálózaton biztosított forrásokkal, így a már kompatibilis ügyfél gyorsabban képes jogosultságot szerezni a hálózati házirend-kiszolgálótól a hálózathoz való csatlakozásra.
Hálózati házirend-kiszolgáló (NPS) és hálózatvédelem (NAP)
A hálózati házirend-kiszolgáló képes NAP állapotházirend-kiszolgálóként működni minden hálózatvédelmi kényszerítési módszer számára.
Ha a hálózati házirend-kiszolgálót NAP állapotházirend-kiszolgálóként konfigurálja, a hálózati házirend-kiszolgáló kiértékeli a hálózathoz csatlakozni kívánó hálózatvédelemre képes ügyfélszámítógépek által küldött rendszerállapot-kimutatásokat. A hálózati házirend-kiszolgálóban olyan hálózatvédelemi házirendeket konfigurálhat, amelyek lehetővé teszik az ügyfélszámítógépek számára, hogy frissítsék konfigurációjukat, és így kompatibilissé váljanak a szervezet hálózati házirendjével.
Ügyfélszámítógép állapota
Az állapot az az információ az ügyfélszámítógépekről, amelynek alapján a hálózatvédelem eldönti, hogy megadja vagy megtagadja-e az ügyfél a hozzáférését a hálózathoz. Az ügyfélszámítógépek állapotának értékelése az ügyfélszámítógépek konfigurációjának állapotát mutatja be az állapotházirendben elvárt állapothoz képest.
Példák az állapotfelmérés elemeire:
-
A Windows tűzfal üzemállapota. Engedélyezve van-e a tűzfal, vagy letiltva?
-
Vírusadatbázisok frissítési állapota. Elérhetők-e a legújabb vírusadatbázisok?
-
A biztonsági frissítések telepítési állapota. Telepítve vannak-e a legújabb biztonsági frissítések az ügyfélen?
Az ügyfélszámítógépek állapota a NAP-ügyfélösszetevők által kiadott rendszerállapot-kimutatásokba van beágyazva. A rendszerállapot-kimutatásokat a NAP-ügyfélösszetevők a hálózatvédelmi kiszolgáló-összetevőknek küldik el kiértékelésre és annak megállapítására, hogy az ügyfelek jogosultak-e a hálózathoz való teljes hozzáférésre.
A hálózatvédelem terminológiájában annak ellenőrzését, hogy egy számítógép megfelel-e a megadott állapotkövetelményeknek, az állapotházirend érvényesítésének nevezik. A hálózati házirend-kiszolgáló állapotházirend-érvényesítést végez a hálózatvédelem számára.
A NAP-kényszerítés működése
A hálózatvédelem az állapotházirendeket az ügyfélszámítógépek állapotát megvizsgáló és felmérő ügyféloldali összetevőkkel, a hálózati hozzáférést a nem kompatibilis ügyfélszámítógépeknél korlátozó kiszolgáló-oldali összetevőkkel, valamint a nem kompatibilis ügyfélszámítógépek teljes hálózati hozzáférését lehetővé tevő szervizelésben résztvevő ügyfél- és kiszolgáló-oldali összetevőkkel kényszeríti.
A hálózatvédelem kulcsfolyamatai
A hálózati hozzáférés védelmének elősegítésére a hálózatvédelem három folyamaton alapszik: házirend-érvényesítés, NAP-kényszerítés és hálózati korlátozás, illetve szervizelés és a folyamatos kompatibilitás biztosítása.
Házirend-érvényesítés
A hálózati házirend-kiszolgálóval ügyfélállapot-házirendeket hozhat létre, amelyek a rendszerállapot-érvényesítőkkel lehetővé teszik a hálózatvédelem számára, hogy észlelje, kényszerítse és szervizelje az ügyfélszámítógépek konfigurációját.
A Windows biztonságiállapot-ügynök és a Windows biztonságiállapot-érvényesítő a következő funkciókat biztosítják a hálózatvédelemre képes számítógépeknek:
-
Az ügyfélszámítógép rendelkezik telepített és engedélyezett tűzfal szoftverrel.
-
Az ügyfélszámítógép rendelkezik telepített és futó víruskereső szoftverrel.
-
Az ügyfélszámítógép rendelkezik a legújabb telepített vírusadatbázisokkal.
-
Az ügyfélszámítógép rendelkezik telepített és futó kémprogram-elhárító szoftverrel.
-
Az ügyfélszámítógép rendelkezik a legújabb telepített kémprogram-adatbázisokkal.
-
A Microsoft Update Services szolgáltatás engedélyezve van az ügyfélszámítógépen.
Továbbá, ha a hálózatvédelemre képes ügyfélszámítógépeken fut a Windows Update Agent ügynök, és regisztrálva vannak a Windows Server Update Service (WSUS) kiszolgálón, a hálózatvédelem négy, a Microsoft Security Response Center (MSRC) biztonsági értékelésének megfelelő érték alapján ellenőrizni tudja, hogy a legújabb szoftverbiztonsági frissítések telepítve vannak-e.
Az ügyfélszámítógépek állapotát meghatározó házirendek létrehozásakor a hálózati házirend-kiszolgáló érvényesíti a házirendeket. A hálózatvédelem ügyfél-oldali összetevői a hálózatra való kapcsolódás során rendszerállapot-kimutatást küldenek a hálózati házirend-kiszolgálónak. A hálózati házirend-kiszolgáló megvizsgálja a rendszerállapot-kimutatást, és összeveti az állapotházirendekkel.
NAP-kényszerítés és hálózati korlátozás
A hálózatvédelem a nem kompatibilis ügyfélszámítógépektől megtagadja a hálózathoz való hozzáférést, vagy csak egy speciális, korlátozott jogú hálózathoz, az úgynevezett szervizhálózathoz engedélyezi. A szervizhálózat az ügyfélszámítógépek számára hozzáférést biztosít a szoftverfrissítéseket és bármely más fontos hálózatvédelmi szolgáltatásokat nyújtó szervizkiszolgálókhoz, például az Állapotjegyző (HRA) kiszolgálókhoz, amelyek feladata a nem kompatibilis hálózatvédelmi ügyfelek összhangba hozása az állapotházirenddel.
A hálózati házirend-kiszolgáló NAP-kényszerítésének beállítása lehetővé teszi, hogy a hálózatvédelem korlátozza a hálózati hozzáférést, vagy figyelje a hálózatvédelemre képes, de a hálózat állapotházirendjével nem kompatibilis ügyfélszámítógépek állapotát.
A hálózati házirend beállításaival választhatja a hozzáférés korlátozását, a korlátozás késleltetését vagy a hozzáférés engedélyezését.
Szervizelés
A korlátozott jogú hálózatra irányított, nem kompatibilis ügyfélszámítógépek szervizelésre kerülhetnek. A szervizelés az a folyamat, amelynek során az ügyfélszámítógépek automatikusan frissülnek, hogy megfeleljenek az aktuális állapotházirendeknek. A korlátozott jogú hálózat például tartalmazhat egy FTP-kiszolgálót, amely automatikusan frissíti az elavult vírusadatbázissal rendelkező ügyfélszámítógépek adatbázisait.
Folyamatos kompatibilitás
A hálózatvédelem képes az állapotmegfelelés kényszerítésére a hálózathoz csatlakozó ügyfélszámítógépeken. Ez a funkció biztosítja a hálózat folyamatos védelmét, mivel mind az állapotházirendek, mind az ügyfélszámítógépek állapota változhat. A hálózatvédelem például meghatározhatja, hogy egy ügyfélszámítógép nem kompatibilis állapotban van, ha az állapotházirend szerint a Windows tűzfalnak bekapcsolva kell lennie, de az ügyfélszámítógépen a rendszergazda véletlenül kikapcsolta azt. A hálózatvédelem ekkor leválasztja az ügyfélszámítógépet a céges hálózatról, és azt a szervizhálózatra kapcsolja mindaddig, amíg a Windows tűzfal újra be nem lesz kapcsolva.
A hálózati házirend-kiszolgáló hálózati házirendjeinek hálózatvédelem beállításaival úgy konfigurálhatja az automatikus szervizelést, hogy a hálózatvédelem ügyféloldali összetevői automatikusan megpróbálják frissíteni az ügyfélszámítógépet, ha az nem kompatibilis. Mint a NAP-kényszerítés beállításainál, az automatikus szervizelés is a hálózati házirend beállításai között konfigurálható.