En NAP- (Network Access Protection) infrastruktur omfatter NAP-klientdatamaskiner, NAP-håndhevelsespunkter og NAP-tilstandspolicyservere. Valgfrie komponenter omfatter utbedringsservere og tilstandskravservere.
NAP-klientdatamaskiner
Hvis du vil ha tilgang til nettverket, samler en NAP-klient først informasjon om nettverkets tilstand fra lokalt installert programvare kalt systemtilstandsagenter (SHAer). Hver installert SHA på klientdatamaskinen tilbyr informasjon om gjeldende innstillinger eller aktivitet som den er utformet for å overvåke. Informasjon fra SHAer samles av NAP-agenten, som er en tjeneste som kjører på den lokale datamaskinen. NAP-agenttjenesten oppsummerer datamaskinens sikkerhetstilstand og overfører denne informasjonen til en eller flere NAP-håndhevelsesklienter. En håndhevelsesklient er programvare som kommuniserer med NAP-håndhevelsespunkter for å få tilgang til eller kommunisere på nettverket.
NAP-håndhevelsespunkter
Et NAP-håndhevelsespunkt er en server- eller maskinvareenhet som tilbyr et nivå av nettverkstilgang til NAP-klientdatamaskinen. Hver NAP-håndhevelsesteknologi bruker en annen type NAP-håndhevelsespunkt. Se følgende tabell.
NAP-håndhevelsesmetode | NAP-håndhevelsespunkt |
---|---|
Internet Protocol-sikkerhet (IPSec) |
HRA- (Health Registration Authority) server og NPS (Network Policy Server) |
802.1X |
Svitsj (kablet) eller trådløst tilgangspunkt (trådløst) |
VPN |
RRAS |
DHCP |
DHCP og NPS |
Gateway for eksternt skrivebord (RD Gateway) |
RD Gateway og NPS |
Når et NAP-håndhevelsespunkt kjører Windows Server 2008 eller Windows Server 2008 R2, kalles det en NAP-håndhevelsesserver. Alle NAP-håndhevelsesservere må kjøre Windows Server 2008 eller Windows Server 2008 R2. I NAP med 802.1X-håndhevelse er NAP-håndhevelsespunktet en IEEE 802.1X-kompatibel svitsj eller et trådløst tilgangspunkt. NAP-håndhevelsesservere for håndhevelsesmetodene IPsec, DHCP og RD Gateway må også kjøre NPS konfigurert som enten en RADIUS-proxy eller som en NAP-tilstandspolicyserver. NAP med VPN-håndhevelse krever ikke at NPS er installert på VPN-serveren.
NAP-tilstandspolicyservere
En NAP-tilstandspolicyserver er en datamaskin som kjører Windows Server 2008 eller Windows Server 2008 R2 med NPS- (Network Policy Server) rolletjenesten installert og konfigurert for å evaluere tilstanden til NAP-klientdatamaskinene. Alle NAP-håndhevelsesteknologier krever minst én tilstandspolicyserver. En NAP-tilstandspolicyserver bruker policyer og innstillinger for å evaluere forespørsler om nettverkstilgang som stammer fra NAP-klientdatamaskiner.
NAP-utbedringsservere
NAP-utbedringsservere tilbyr oppdateringer og tjenester til ikke-samsvarende klientdatamaskiner. Avhengig av designen til utbedringsnettverket kan en utbedringsserver også være tilgjengelig for samsvarende datamaskiner. Noen eksempler på NAP-utbedringsservere omfatter:
-
Antivirussignaturservere. Hvis tilstandspolicyer krever at datamaskiner må ha en nylig antivirussignatur, må ikke-samsvarende datamaskiner ha tilgang til en server for å tilby disse oppdateringene.
-
Windows Server Update Services. Hvis tilstandspolicyer krever at datamaskiner har nylige sikkerhetsoppdateringer eller andre programvareoppdateringer, kan du tilby disse ved å plassere WSUS på utbedringsnettverket.
-
Systemsenter-komponentservere. Administrasjonspunkter for System Center Configuration Manager, programvareoppdateringspunkter og distribusjonspunkter er vert for programvareoppdateringer som kreves for å gjøre datamaskiner samsvarende. Når du implementerer NAP med Configuration Manager, krever NAP-kapable datamaskiner tilgang til datamaskiner som kjører disse lokale systemrollene for å laste ned sin klientpolicy, søke etter programvareoppdateringssamsvar og laste ned nødvendige programvareoppdateringer.
-
Domenekontrollere. Ikke-samsvarende datamaskiner kan kreve tilgang til domenetjenester på det ikke-samsvarende nettverket for godkjenningsformål, for å laste ned policyer fra Gruppepolicy eller for å vedlikeholde domeneprofilinnstillinger.
-
DNS-servere. Ikke-samsvarende datamaskiner må ha tilgang til DNS for å løse vertsnavn.
-
DHCP-servere. Ikke-samsvarende datamaskiner må ha tilgang til en DHCP-server hvis klientens IP-profil endres i det ikke-samsvarende nettverket eller hvis DHCP-leasingen utløper.
-
Feilsøke servere. Når du konfigurerer en utbedringsservergruppe, har du mulighet til å tilby en feilsøkings-URL med instruksjoner for hvordan du gjør datamaskiner samsvarende med tilstandspolicyene dine. Du kan angi en forskjellig URL-adresse for hver nettverkspolicy. Disse URL-adressene må være tilgjengelige i utbedringsnettverket.
-
Andre tjenester. Du kan tilby tilgang til Internett på utbedringsnettverket slik at ikke-samsvarende datamaskiner kan nå utbedringstjenester som Windows Update og andre Internett-ressurser.
NAP-tilstandskravservere
En tilstandskravserver er en datamaskin som tilbyr tilstandspolicykrav og tilstandsevalueringsinformasjon til en eller flere systemtilstandsvalidatorer (SHVer). Hvis tilstandsstatusen som rapporteres av NAP-klientdatamaskiner, kan valideres av NPS uten å konsultere en annen enhet, er en tilstandskravserver ikke påkrevd. WSUS anses for eksempel ikke som en tilstandskravserver når den brukes sammen med en Windows-sikkerhetstilstandsvalidator (WSHV). Selv om en administrator kan bruke WSUS til å angi hvilke oppdateringer klientdatamaskiner må ha, er det klientdatamaskinen som rapporterer om den har installert disse oppdateringene. I dette scenariet er WSUS en utbedringsserver, ikke en tilstandskravserver.
En tilstandskravserver brukes hvis du implementerer NAP med Konfigurasjonsbehandlings SHV. Konfigurasjonsbehandlings SHV kontakter en global katalogserver for å validere klientens sikkerhetstilstand ved å kontrollere tilstandsreferansen som publiseres i Active Directory Domain Services (AD DS). En domenekontroller er derfor en tilstandskravserver hvis du har implementert Configuration Manager SHV. Andre SHVer kan kanskje også bruke tilstandskravservere.