NAP (Network Access Protection) is een technologie voor het maken, afdwingen en herstellen van het statusbeleid op clients in Windows Vista®, Windows Server® 2008, Windows® 7 en Windows Server® 2008 R2. Met NAP kunt u het statusbeleid instellen voor bijvoorbeeld softwarevereisten, beveiligingsupdatevereisten en vereiste configuratie-instellingen voor computers die verbinding maken met het netwerk.
Dit statusbeleid wordt door NAP afgedwongen door de status van clientcomputers te inspecteren en te beoordelen, de toegang tot het netwerk te beperken wanneer clientcomputers als niet-compatibel worden beschouwd en te proberen niet-compatibele clientcomputers weer af te stemmen op het statusbeleid alvorens deze weer volledige netwerktoegang te verlenen. Door NAP wordt het statusbeleid afgedwongen op clientcomputers die proberen verbinding te maken met een netwerk. Bovendien zorgt NAP voor het afdwingen van de beveiligingsstatus terwijl een clientcomputer verbinding heeft met een netwerk.
NAP is een uitbreidbaar platform dat een infrastructuur en een reeks API's (Application Programming Interface) bevat. Met de API's van NAP kunt u NAP-clients en -servers met NPS (Network Policy Server) voorzien van onderdelen die de computerstatus controleren, het statusbeleid voor het netwerk afdwingen en onbetrouwbare clientcomputers afstemmen op het statusbeleid.
Deze onderdelen voor het controleren of herstellen van het statusbeleid worden niet zelfstandig door NAP geleverd. Andere onderdelen, genaamd SHA's (System Health Agents) en SHV's (System Health Validators), kunnen de status van clientcomputers controleren en in kaart brengen, de status van clientcomputers valideren ten opzichte van het statusbeleid en configuratie-instellingen leveren om clientcomputers geschikt te maken voor het statusbeleid.
De WSHA (Windows Security Health Agent) maakt deel uit van het besturingssysteem in Windows Vista en Windows 7. De bijbehorende WSHV (Windows Security Health Validator) is als onderdeel van het besturingssysteem inbegrepen bij Windows Server 2008 en Windows Server 2008 R2. U kunt de API's van NAP gebruiken om SHA's en SHV's te maken voor andere producten die u wilt integreren met NAP. De leverancier van antivirussoftware kan de API-set bijvoorbeeld gebruiken om aangepaste SHA's en SHV's te maken. Deze onderdelen kunnen worden geïntegreerd in de NAP-oplossingen die worden geïmplementeerd door klanten van de softwareverkoper.
Netwerk- of systeembeheerders die NAP willen implementeren, kunnen de onderdelen WSHA en WSHV van het besturingssysteem gelijktijdig implementeren. U kunt ook bij andere softwareleveranciers navragen of ze SHA's en SHV's bij hun producten leveren.
NAP - overzicht
In de meeste organisaties is een netwerkbeleid van kracht dat bepaalt welk type hardware en software kan worden geïnstalleerd op het netwerk. Dit beleid bestaat doorgaans uit regels voor de configuratie waaraan clientcomputers moeten voldoen voordat ze op het netwerk worden aangesloten. Een gangbare eis is bijvoorbeeld dat de antivirussoftware op de clientcomputers over de meest recente virusbeveiliging beschikt, en dat de geïnstalleerde firewall op de clientcomputers is ingeschakeld voordat er verbinding met het netwerk wordt gemaakt. Een clientcomputer die is geconfigureerd conform het netwerkbeleid van de organisatie, wordt aangeduid als compatibel met het beleid, terwijl een computer die niet voldoet aan het netwerkbeleid van de organisatie, als niet-compatibel of onbetrouwbaar wordt beschouwd.
NAP maakt het gebruik van NPS mogelijk om beleidsregels te maken die de status van clientcomputers definiëren. NAP maakt het ook mogelijk om het ingestelde statusbeleid voor clients af te dwingen, en NAP-clientcomputers automatisch bij te werken of te herstellen om deze compatibel te maken met het statusbeleid. NAP zorgt voor een permanente detectie van de status van clientcomputers om te voorkomen dat een client die als compatibel op het netwerk wordt aangesloten, tijdens de verbinding niet-compatibel wordt.
NAP biedt een extra beveiliging voor clientcomputers en netwerken door te controleren of de aangesloten computers op het netwerk voldoen aan het statusbeleid voor netwerk en clients. Zo wordt het netwerk beveiligd tegen schadelijke elementen afkomstig van clientcomputers, zoals virussen, en worden clientcomputers beveiligd tegen schadelijke elementen die mogelijk aanwezig zijn op het netwerk waarmee de client verbinding heeft.
Bovendien zorgt de automatische herstelfunctie van NAP ervoor dat de uitval van niet-compatibele clients op het netwerk slechts van korte duur is. Wanneer automatisch herstel is ingesteld en clients een niet-compatibele status krijgen, kunnen NAP-clientonderdelen de computer snel bijwerken met behulp van bronnen die u beschikbaar stelt op een herstelnetwerk. Zo kan de weer betrouwbare client sneller worden geautoriseerd door NPS en opnieuw op het netwerk worden aangesloten.
NPS en NAP
NPS kan worden ingezet als NAP-beleidsserver voor alle NAP-afdwingmethoden.
Wanneer u NPS configureert als een NAP-beleidsserver, evalueert NPS de statusverklaringen afkomstig van NAP-clientcomputers die met het netwerk willen communiceren. U kunt NAP-beleidsregels configureren in NPS die clientcomputers toestaan hun configuratie bij te werken zodat deze compatibel is met het netwerkbeleid van uw organisatie.
Clientstatus
De status heeft betrekking op informatie over een clientcomputer op basis waarvan NAP bepaalt of de client al dan niet toegang krijgt tot een netwerk. De beoordeling van de status van een clientcomputer geeft aan welke configuratiestatus de client heeft in vergelijking tot de vereiste status voor het beleid.
De volgende statuswaarden worden bijvoorbeeld gemeten:
-
De bedrijfsstatus van Windows Firewall. Is de firewall ingeschakeld of uitgeschakeld?
-
De updatestatus van antivirushandtekeningen. Zijn de meest recente antivirushandtekeningen aanwezig?
-
De installatiestatus van beveiligingsupdates. Zijn de meest recente beveiligingsupdates geïnstalleerd op de client?
De status van de client wordt ingekapseld in een statusverklaring, die door NAP-clientonderdelen wordt verstrekt. Deze verzenden de statusverklaring ter evaluatie naar NAP-serveronderdelen, zodat kan worden bepaald of de client compatibel is en volledige netwerktoegang mag hebben.
Het controleren of een computer voldoet aan de gedefinieerde statusvereisten, wordt in NAP-termen statusbeleidvalidatie genoemd. De statusbeleidvalidatie voor NAP wordt uitgevoerd door NPS.
De werking van NAP-afdwinging
NAP dwingt het statusbeleid af met behulp van clientonderdelen die de status van clients inspecteren en beoordelen, met behulp van serveronderdelen die de netwerktoegang beperken wanneer clientcomputers als niet-compatibel worden beschouwd, en met behulp van client- en serveronderdelen die niet-compatibele clientcomputers weer volledige netwerktoegang proberen te geven.
Belangrijkste NAP-processen
NAP gebruikt drie processen voor het beveiligen van de netwerktoegang: beleidsvalidatie, NAP-afdwinging en netwerkbeperking, alsmede herstel en permanente naleving.
Beleidsvalidatie
U kunt met NPS statusbeleid maken voor clients door het gebruik van SHV's, waarmee NAP clientconfiguraties kan detecteren, afdwingen en herstellen.
WSHA en WSHV verrichten de volgende controle op NAP-computers:
-
De client beschikt over geïnstalleerde en ingeschakelde firewallsoftware.
-
De client beschikt over geïnstalleerde en actieve antvirussoftware.
-
De antivirussoftware op de client is bijgewerkt.
-
De client beschikt over een geïnstalleerd en actief antispywareprogramma.
-
Het antispywareprogramma op de client is bijgewerkt.
-
Microsoft Update Services is ingeschakeld op de client.
Als Windows Update Agent is geactiveerd op de clientcomputers en de clients zijn geregistreerd bij een WSUS-server (Windows Server Update Service), kan NAP bovendien controleren of de meest recente updates voor beveiligingssoftware zijn geïnstalleerd. Dit gebeurt op basis van een van de vier mogelijke waarden voor de beveiligingsclassificaties van het MSRC (Microsoft Security Response Center).
Wanneer u een beleid maakt voor de beleidsstatus van clients, worden de beleidsregels gevalideerd door NPS. Tijdens het verbindingsproces met het netwerk sturen de NAP-onderdelen op de client een statusverklaring naar de NPS-server. Deze statusverklaring wordt door NPS onderzocht en vergeleken met het statusbeleid.
NAP-afdwinging en netwerkbeperking
NAP geeft niet-compatibele clients geen netwerktoegang of alleen toegang tot een speciaal beperkt netwerk, dat een herstelnetwerk wordt genoemd. In een herstelnetwerk krijgen clientcomputers toegang tot herstelservers met software-updates, en tot andere belangrijke NAP-services, zoals HRA-servers voor de statusregistratieautoriteit. Op deze manier kunnen niet-compatibele NAP-clients weer worden afgestemd op het statusbeleid.
Met de NAP-afdwinginstelling in het NPS-netwerkbeleid kunt u NAP gebruiken om de netwerktoegang te beperken of de status van NAP-clients die niet voldoen aan het statusbeleid, te controleren.
U hebt de mogelijkheid om de toegang te beperken, de toegangsbeperking uit te stellen of toegang toe te staan via netwerkbeleidsinstellingen.
Herstel
Niet-compatibele clients die een beperkte netwerktoegang opgelegd krijgen, komen in aanmerking voor herstel. Tijdens dit herstelproces wordt de clientcomputer automatisch bijgewerkt, zodat deze voldoet aan het huidige statusbeleid. Op het beperkte netwerk kan bijvoorbeeld een FTP-server (File Transfer Protocol) worden aangesloten die de virushandtekeningen van niet-compatibele clientcomputers met verouderde handtekeningen, automatisch bijwerkt.
Permanente naleving
NAP kan naleving van de status afdwingen op clientcomputers die verbonden zijn met een netwerk. Zo weet u zeker dat het netwerk permanent beveiligd is, ook als het statusbeleid wordt gewijzigd of de status van clientcomputers verandert. NAP detecteert bijvoorbeeld een niet-compatibele status van de clientcomputer indien het beleid voorschrijft dat Windows Firewall ingeschakeld moet zijn, maar iemand de firewall per ongeluk heeft uitgeschakeld op de client. De client wordt vervolgens losgekoppeld van het bedrijfsnetwerk en aangesloten op het herstelnetwerk tot Windows Firewall opnieuw is ingeschakeld.
U kunt NAP-instellingen opnemen in het NPS-netwerkbeleid om automatisch herstel te configureren zodat een niet-compatibele computer automatisch wordt bijgewerkt door onderdelen op de NAP-client. Automatisch herstel wordt, net als NAP-afdwinging, geconfigureerd in de netwerkbeleidsinstellingen.