En NAP- (Network Access Protection) infrastruktur omfatter NAP-klientdatamaskiner, NAP-håndhevelsespunkter og NAP-tilstandspolicyservere. Valgfrie komponenter omfatter utbedringsservere og tilstandskravservere.

NAP-klientdatamaskiner

Hvis du vil ha tilgang til nettverket, samler en NAP-klient først informasjon om nettverkets tilstand fra lokalt installert programvare kalt systemtilstandsagenter (SHAer). Hver installert SHA på klientdatamaskinen tilbyr informasjon om gjeldende innstillinger eller aktivitet som den er utformet for å overvåke. Informasjon fra SHAer samles av NAP-agenten, som er en tjeneste som kjører på den lokale datamaskinen. NAP-agenttjenesten oppsummerer datamaskinens sikkerhetstilstand og overfører denne informasjonen til en eller flere NAP-håndhevelsesklienter. En håndhevelsesklient er programvare som kommuniserer med NAP-håndhevelsespunkter for å få tilgang til eller kommunisere på nettverket.

NAP-håndhevelsespunkter

Et NAP-håndhevelsespunkt er en server- eller maskinvareenhet som tilbyr et nivå av nettverkstilgang til NAP-klientdatamaskinen. Hver NAP-håndhevelsesteknologi bruker en annen type NAP-håndhevelsespunkt. Se følgende tabell.

NAP-håndhevelsesmetode NAP-håndhevelsespunkt

Internet Protocol-sikkerhet (IPSec)

HRA- (Health Registration Authority) server og NPS (Network Policy Server)

802.1X

Svitsj (kablet) eller trådløst tilgangspunkt (trådløst)

VPN

RRAS

DHCP

DHCP og NPS

Gateway for eksternt skrivebord (RD Gateway)

RD Gateway og NPS

Når et NAP-håndhevelsespunkt kjører Windows Server 2008 eller Windows Server 2008 R2, kalles det en NAP-håndhevelsesserver. Alle NAP-håndhevelsesservere må kjøre Windows Server 2008 eller Windows Server 2008 R2. I NAP med 802.1X-håndhevelse er NAP-håndhevelsespunktet en IEEE 802.1X-kompatibel svitsj eller et trådløst tilgangspunkt. NAP-håndhevelsesservere for håndhevelsesmetodene IPsec, DHCP og RD Gateway må også kjøre NPS konfigurert som enten en RADIUS-proxy eller som en NAP-tilstandspolicyserver. NAP med VPN-håndhevelse krever ikke at NPS er installert på VPN-serveren.

NAP-tilstandspolicyservere

En NAP-tilstandspolicyserver er en datamaskin som kjører Windows Server 2008 eller Windows Server 2008 R2 med NPS- (Network Policy Server) rolletjenesten installert og konfigurert for å evaluere tilstanden til NAP-klientdatamaskinene. Alle NAP-håndhevelsesteknologier krever minst én tilstandspolicyserver. En NAP-tilstandspolicyserver bruker policyer og innstillinger for å evaluere forespørsler om nettverkstilgang som stammer fra NAP-klientdatamaskiner.

NAP-utbedringsservere

NAP-utbedringsservere tilbyr oppdateringer og tjenester til ikke-samsvarende klientdatamaskiner. Avhengig av designen til utbedringsnettverket kan en utbedringsserver også være tilgjengelig for samsvarende datamaskiner. Noen eksempler på NAP-utbedringsservere omfatter:

  • Antivirussignaturservere. Hvis tilstandspolicyer krever at datamaskiner må ha en nylig antivirussignatur, må ikke-samsvarende datamaskiner ha tilgang til en server for å tilby disse oppdateringene.

  • Windows Server Update Services. Hvis tilstandspolicyer krever at datamaskiner har nylige sikkerhetsoppdateringer eller andre programvareoppdateringer, kan du tilby disse ved å plassere WSUS på utbedringsnettverket.

  • Systemsenter-komponentservere. Administrasjonspunkter for System Center Configuration Manager, programvareoppdateringspunkter og distribusjonspunkter er vert for programvareoppdateringer som kreves for å gjøre datamaskiner samsvarende. Når du implementerer NAP med Configuration Manager, krever NAP-kapable datamaskiner tilgang til datamaskiner som kjører disse lokale systemrollene for å laste ned sin klientpolicy, søke etter programvareoppdateringssamsvar og laste ned nødvendige programvareoppdateringer.

  • Domenekontrollere. Ikke-samsvarende datamaskiner kan kreve tilgang til domenetjenester på det ikke-samsvarende nettverket for godkjenningsformål, for å laste ned policyer fra Gruppepolicy eller for å vedlikeholde domeneprofilinnstillinger.

  • DNS-servere. Ikke-samsvarende datamaskiner må ha tilgang til DNS for å løse vertsnavn.

  • DHCP-servere. Ikke-samsvarende datamaskiner må ha tilgang til en DHCP-server hvis klientens IP-profil endres i det ikke-samsvarende nettverket eller hvis DHCP-leasingen utløper.

  • Feilsøke servere. Når du konfigurerer en utbedringsservergruppe, har du mulighet til å tilby en feilsøkings-URL med instruksjoner for hvordan du gjør datamaskiner samsvarende med tilstandspolicyene dine. Du kan angi en forskjellig URL-adresse for hver nettverkspolicy. Disse URL-adressene må være tilgjengelige i utbedringsnettverket.

  • Andre tjenester. Du kan tilby tilgang til Internett på utbedringsnettverket slik at ikke-samsvarende datamaskiner kan nå utbedringstjenester som Windows Update og andre Internett-ressurser.

NAP-tilstandskravservere

En tilstandskravserver er en datamaskin som tilbyr tilstandspolicykrav og tilstandsevalueringsinformasjon til en eller flere systemtilstandsvalidatorer (SHVer). Hvis tilstandsstatusen som rapporteres av NAP-klientdatamaskiner, kan valideres av NPS uten å konsultere en annen enhet, er en tilstandskravserver ikke påkrevd. WSUS anses for eksempel ikke som en tilstandskravserver når den brukes sammen med en Windows-sikkerhetstilstandsvalidator (WSHV). Selv om en administrator kan bruke WSUS til å angi hvilke oppdateringer klientdatamaskiner må ha, er det klientdatamaskinen som rapporterer om den har installert disse oppdateringene. I dette scenariet er WSUS en utbedringsserver, ikke en tilstandskravserver.

En tilstandskravserver brukes hvis du implementerer NAP med Konfigurasjonsbehandlings SHV. Konfigurasjonsbehandlings SHV kontakter en global katalogserver for å validere klientens sikkerhetstilstand ved å kontrollere tilstandsreferansen som publiseres i Active Directory Domain Services (AD DS). En domenekontroller er derfor en tilstandskravserver hvis du har implementert Configuration Manager SHV. Andre SHVer kan kanskje også bruke tilstandskravservere.

Flere referanser


Innholdsfortegnelse