Infrastruktura ochrony dostępu do sieci składa się z komputerów klienckich ochrony dostępu do sieci, punktów wymuszania ochrony dostępu do sieci oraz serwerów zasad dotyczących kondycji ochrony dostępu do sieci. Składniki opcjonalne to serwery korygujące i serwery wymagań dotyczących kondycji.

Komputery klienckie ochrony dostępu do sieci

Aby uzyskać dostęp do sieci, klient ochrony dostępu do sieci najpierw gromadzi informacje na temat kondycji, korzystając z lokalnie zainstalowanych programów nazywanych agentami kondycji systemu. Każdy agent kondycji systemu zainstalowany na komputerze klienckim dostarcza informacji na temat bieżących ustawień lub działań, które ma monitorować. Informacje uzyskane od agenta kondycji systemu są gromadzone w agencie ochrony dostępu do sieci, który jest usługą uruchomioną na komputerze lokalnym. Agent ochrony dostępu do sieci podsumowuje stan kondycji komputera i przekazuje te informacje do jednego lub kilku klientów wymuszania ochrony dostępu do sieci. Klient wymuszania to oprogramowanie współdziałające z punktami wymuszania ochrony dostępu do sieci w celu udostępnienia sieci lub umożliwienia komunikacji sieciowej.

Punkty wymuszania ochrony dostępu do sieci

Punkt wymuszania ochrony dostępu do sieci to serwer lub urządzenie sprzętowe, które zapewnia określony poziom dostępu sieciowego do komputera klienckiego ochrony dostępu do sieci. Każda technologia wymuszania ochrony dostępu do sieci korzysta z innego typu punktu wymuszania ochrony dostępu do sieci. Zobacz poniższą tabelę.

Metoda wymuszania ochrony dostępu do sieci Punkt wymuszania ochrony dostępu do sieci

Zabezpieczenia protokołu internetowego (IPsec)

Urząd rejestrowania kondycji i serwer zasad sieciowych

802.1x

Przełącznik (dostęp przewodowy) lub punkt dostępu bezprzewodowego (dostęp bezprzewodowy)

Wirtualne sieci prywatne (VPN)

Usługa RRAS

DHCP

Protokół DHCP i serwer zasad sieciowych

Brama usług pulpitu zdalnego

Brama usług pulpitu zdalnego i serwer zasad sieciowych

Gdy w punkcie wymuszania ochrony dostępu do sieci jest uruchomiony system Windows Server 2008 lub Windows Server 2008 R2, jest on określany jako serwer wymuszania ochrony dostępu do sieci. Na wszystkich serwerach wymuszania ochrony dostępu do sieci musi być uruchomiony system Windows Server 2008 lub Windows Server 2008 R2. W przypadku ochrony dostępu do sieci z wymuszaniem metodą 802.1X punkt wymuszania ochrony dostępu do sieci to przełącznik zgodny ze standardem IEEE 802.1X lub bezprzewodowy punkt dostępu. Serwery wymuszania ochrony dostępu do sieci korzystające z metod wymuszania za pomocą protokołów IPsec i DHCP oraz bramy usług pulpitu zdalnego muszą mieć także uruchomiony serwer zasad sieciowych skonfigurowany jako serwer proxy usługi RADIUS lub serwer zasad dotyczących kondycji ochrony dostępu do sieci. Ochrona dostępu do sieci za pomocą wymuszania sieci VPN nie wymaga zainstalowania serwera zasad sieciowych na serwerze sieci VPN.

Serwery zasad dotyczących kondycji ochrony dostępu do sieci

Serwer zasad dotyczących kondycji ochrony dostępu do sieci to komputer z systemem Windows Server 2008 lub Windows Server 2008 R2 i usługą roli serwera zasad sieciowych zainstalowaną i skonfigurowaną do oceny kondycji komputerów klienckich ochrony dostępu do sieci. Wszystkie technologie wymuszania ochrony dostępu do sieci wymagają co najmniej jednego serwera zasad dotyczących kondycji. Serwer zasad dotyczących kondycji ochrony dostępu do sieci korzysta z zasad i ustawień do oceny żądań dostępu do sieci przesyłanych przez komputery klienckie ochrony dostępu do sieci.

Serwery korygujące ochrony dostępu do sieci

Serwery korygujące ochrony dostępu do sieci udostępniają aktualizacje i usługi niezgodnym komputerom klienckim. W zależności od architektury sieci korygującej serwer korygujący może być dostępny także dla zgodnych komputerów. Przykładowe serwery korygujące ochrony dostępu do sieci:

  • Serwery sygnatur programu antywirusowego. Jeśli zasady dotyczące kondycji wymagają, aby na komputerach była obecna aktualna sygnatura programu antywirusowego, niezgodne komputery muszą mieć dostęp do serwera, aby korzystać z tych aktualizacji.

  • Windows Server Update Services. Jeśli zasady dotyczące kondycji wymagają, aby na komputerach były obecne najnowsze aktualizacje zabezpieczeń lub inne aktualizacje oprogramowania, można je dostarczyć, umieszczając program WSUS w sieci korygującej.

  • Serwery składników programu System Center. Punkty zarządzania, punkty aktualizacji oprogramowania i punkty dystrybucji programu System Center Configuration Manager obsługują aktualizacje oprogramowania wymagane do osiągnięcia zgodności komputerów. W przypadku wdrażania ochrony dostępu do sieci za pomocą Menedżera konfiguracji komputery z obsługą ochrony dostępu do sieci wymagają dostępu do komputerów z tymi rolami systemowymi do pobierania zasad klienta, skanowania w celu sprawdzenia zgodności aktualizacji oprogramowania i pobierania wymaganych aktualizacji oprogramowania.

  • Kontrolery domeny. Niezgodne komputery mogą wymagać dostępu do usług domenowych w niezgodnej sieci do uwierzytelniania, pobierania zasad z zasad grupy lub do obsługi ustawień profilu domeny.

  • Serwery DNS. Niezgodne komputery muszą mieć dostęp do serwerów DNS, aby rozpoznawać nazwy hostów.

  • Serwery DHCP. Niezgodne komputery muszą mieć dostęp do serwera DHCP, jeśli profil IP klienta w niezgodnej sieci zmienia się lub wygasa dzierżawa DHCP.

  • Rozwiązywanie problemów z serwerami. Podczas konfigurowania grupy serwerów korygujących można podać adres URL rozwiązywania problemów wraz z instrukcjami dotyczącymi sposobu zapewniania zgodności komputerów z zasadami dotyczącymi kondycji. Dla każdej zasady sieciowej można określić inny adres URL. Te adresy URL muszą być dostępne w sieci korygującej.

  • Inne usługi. W sieci korygującej można zapewnić dostęp do Internetu, aby niezgodne komputery mogły korzystać z usług korygujących, takich jak Windows Update, oraz innych zasobów internetowych.

Serwery wymagań dotyczących kondycji ochrony dostępu do sieci

Serwer wymagań dotyczących kondycji to komputer udostępniający wymagania w zakresie zasad dotyczących kondycji oraz informacje umożliwiające ocenę kondycji jednemu lub większej liczbie modułów sprawdzania kondycji systemu. Jeśli poprawność stanu kondycji zgłoszonego przez komputery klienckie ochrony dostępu do sieci może zostać sprawdzona przez serwer zasad sieciowych bez konsultacji z innym urządzeniem, wówczas serwer wymagań dotyczących kondycji nie jest wymagany. Na przykład program WSUS nie jest uznawany za serwer wymagań dotyczących kondycji, jeśli jest używany z modułem sprawdzania kondycji zabezpieczeń systemu Windows. Wprawdzie administrator może korzystać z programu WSUS do określania aktualizacji wymaganych dla komputerów klienckich, ale to komputer kliencki zgłasza, czy te aktualizacje zostały zainstalowane. W tym scenariuszu program WSUS jest serwerem korygującym, a nie serwerem wymagań dotyczących kondycji.

Serwer wymagań dotyczących kondycji jest używany, jeśli ochrona dostępu do sieci jest wdrażana za pomocą modułu sprawdzania kondycji systemu Menedżera konfiguracji. Moduł sprawdzania kondycji systemu Menedżera konfiguracji kontaktuje się z serwerem wykazu globalnego w celu sprawdzenia poprawności stanu kondycji klienta, analizując dane o stanie kondycji opublikowane w usługach domenowych w usłudze Active Directory (AD DS). Dlatego jeśli został wdrożony moduł sprawdzania kondycji systemu Menedżera konfiguracji, kontroler domeny jest serwerem wymagań dotyczących kondycji. Inne moduły sprawdzania kondycji systemu również mogą korzystać z serwerów wymagań dotyczących kondycji.

Dodatkowe informacje


Spis treści