Ochrona dostępu do sieci (NAP, Network Access Protection) to technologia korygowania oraz wymuszania i tworzenia zasad kondycji klienta dołączana do systemów Windows Vista®, Windows Server® 2008, Windows® 7 oraz Windows Server® 2008 R2. Za pomocą ochrony dostępu do sieci można ustanawiać zasady kondycji definiujące takie elementy jak wymagania dotyczące oprogramowania, aktualizacji zabezpieczeń oraz ustawień konfiguracji dla komputerów łączących się z daną siecią.
Ta usługa wymusza zasady kondycji, sprawdzając i oceniając kondycję komputerów klienckich, ograniczając dostęp do sieci, gdy komputery klienckie są niezgodne z zasadami kondycji, oraz korygując niezgodne komputery klienckie w celu zapewnienia ich zgodności z zasadami kondycji przed udzieleniem im pełnego dostępu do sieci. Funkcja ochrony dostępu do sieci wymusza zasady dotyczące kondycji na komputerach klienckich, które próbują połączyć się z siecią. Zapewnia także ciągłe wymuszanie kondycji, gdy komputer kliencki jest połączony z siecią.
Ochrona dostępu do sieci to rozszerzalna platforma udostępniająca infrastrukturę oraz zestaw interfejsów programowania aplikacji (API). Korzystając z zestawu interfejsów API funkcji ochrony dostępu do sieci, można dodawać składniki do klientów ochrony dostępu do sieci oraz serwerów z uruchomioną usługą serwera zasad sieciowych, które sprawdzają kondycję komputera, wymuszają sieciowe zasady kondycji oraz korygują niezgodne komputery, aby zapewnić im zgodność z zasadami kondycji.
Sama usługa ochrony dostępu do sieci nie udostępnia składników do weryfikowania ani korygowania kondycji komputera. Inne składniki, nazywane agentami kondycji systemu (SHA) oraz modułami sprawdzania kondycji systemu (SHV), umożliwiają kontrolę i raportowanie stanu kondycji komputera klienckiego, umożliwiają sprawdzanie stanu kondycji komputera klienckiego na tle zasad kondycji oraz oferują ustawienia konfiguracyjne pozwalające na osiągnięcie przez komputer kliencki stanu zgodności z zasadami kondycji.
Agent kondycji zabezpieczeń systemu Windows (WSHA) stanowi część systemu operacyjnego Windows Vista i Windows 7. Odpowiadający mu moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) stanowi część systemów operacyjnych Windows Server 2008 i Windows Server 2008 R2. Dzięki zestawowi interfejsów API ochrony dostępu do sieci można zaimplementować agentów SHA i moduły SHV także w innych produktach w celu umożliwienia im integracji z usługą ochrony dostępu do sieci. Na przykład dostawca programu antywirusowego może za pomocą zestawu interfejsów API utworzyć niestandardowego agenta kondycji systemu i moduł sprawdzania kondycji systemu. Te składniki mogą następnie zostać zintegrowane z rozwiązaniami ochrony dostępu do sieci wdrażanymi przez użytkowników oprogramowania tego dostawcy.
Administrator systemu lub sieci planujący wdrażanie usługi ochrony dostępu do sieci może w tym celu skorzystać z agenta WSHA i modułu WSHV, dołączonych do systemu operacyjnego. Może też sprawdzić, czy inni dostawcy oprogramowania udostępniają agentów SHA i moduły SHV dla swoich produktów.
Omówienie ochrony dostępu do sieci
Większość organizacji tworzy zasady sieciowe określające typy sprzętu i oprogramowania, które mogą być wdrażane w sieci organizacji. Te zasady często zawierają reguły określające wymagania dotyczące konfiguracji komputerów klienckich, które muszą zostać spełnione, zanim taki komputer będzie mógł połączyć się z siecią. Na przykład wiele organizacji wymaga, aby komputery klienckie, które podejmują próby połączenia się z siecią organizacji, miały programy antywirusowe z zainstalowanymi najnowszymi aktualizacjami oraz miały zainstalowane i włączone oprogramowanie zapory. Komputer kliencki skonfigurowany według zasad sieciowych organizacji jest postrzegany jako zgodny z zasadami, natomiast komputer, którego konfiguracja nie odpowiada tym zasadom - jako niezgodny z zasadami.
Usługa ochrony dostępu do sieci pozwala używać serwera zasad sieciowych do tworzenia zasad definiujących kondycję komputera klienckiego. Umożliwia też egzekwowanie utworzonych zasad kondycji klienta oraz automatyczne aktualizowanie lub korygowanie komputerów klienckich z włączoną usługą ochrony dostępu do sieci w celu uczynienia ich zgodnymi z zasadami kondycji klienta. Usługa ochrony dostępu do sieci oferuje ciągłą obserwację kondycji komputera klienckiego w celu uniknięcia przypadków, w których komputer kliencki będący w momencie nawiązywania połączenia z siecią organizacji zgodny z jej zasadami przestaje być z nimi zgodny w trakcie trwania tego połączenia.
Przez zapewnienie, że komputery łączące się z siecią są zgodne z zasadami kondycji klienta i sieci organizacji, usługa ochrony dostępu do sieci oferuje ochronę zarówno sieci organizacji, jak i komputera klienckiego. Sieć jest chroniona przed szkodliwymi elementami pochodzącymi z komputerów klienckich, takimi jak wirusy komputerowe, ale ochrona obejmuje też komputery klienckie narażone na działanie szkodliwych elementów pochodzących z sieci, z którą nawiązują połączenia.
Ponadto automatyczne korygowanie w usłudze ochrony dostępu do sieci pozwala skrócić okres, w którym niezgodne komputery klienckie spotykają się z odmową dostępu do zasobów sieci organizacji. Po skonfigurowaniu automatycznego korygowania komputer kliencki uznany za niezgodny może zostać szybko zaktualizowany przez składniki klienta ochrony dostępu do sieci przy użyciu zasobów umieszczonych w sieci korygującej. Dzięki temu doprowadzony do stanu zgodności klient może zostać szybciej autoryzowany przez serwer NPS i połączyć się z siecią.
Serwer zasad sieciowych i ochrona dostępu do sieci
Serwer zasad sieciowych może działać jako serwer zasad ochrony dostępu do sieci na potrzeby wszystkich metod wymuszania stosowanych w usłudze ochrony dostępu do sieci.
Serwer NPS skonfigurowany jako serwer zasad ochrony dostępu do sieci będzie oceniał raporty o kondycji (SoH) wysyłane przez komputery klienckie z obsługą ochrony dostępu do sieci, które podejmują próby połączenia się z siecią. Na serwerze NPS można skonfigurować zasady ochrony dostępu do sieci, które będą umożliwiać komputerom klienckim aktualizowanie ich konfiguracji w sposób zapewniający im zgodność z zasadami sieciowymi organizacji.
Kondycja komputera klienckiego
Kondycja jest definiowana jako informacje o komputerze klienckim używane przez usługę ochrony dostępu do sieci w celu ustalenia, czy dany klient powinien uzyskać dostęp do sieci czy nie. Ocena stanu kondycji komputera klienckiego reprezentuje stan konfiguracji komputera klienckiego na tle stanu wymaganego przez zasady kondycji.
Do przykładowych wyznaczników kondycji należą:
-
Stan operacyjny Zapory systemu Windows. Czy zapora jest włączona czy wyłączona?
-
Stan aktualizacji sygnatur programu antywirusowego. Czy sygnatury programu antywirusowego są najnowszymi dostępnymi sygnaturami?
-
Stan instalacji aktualizacji zabezpieczeń. Czy na komputerze klienckim zainstalowano najnowsze aktualizacje zabezpieczeń?
Informacje o stanie kondycji komputera klienckiego są umieszczane w raporcie o kondycji tworzonym przez składniki klienta ochrony dostępu do sieci. Składniki klienta ochrony dostępu do sieci wysyłają raport o kondycji do składników serwera ochrony dostępu do sieci w celu dokonania jego oceny i ustalenia, czy klient jest zgodny i może uzyskać pełny dostęp do sieci.
W terminologii ochrony dostępu do sieci sprawdzanie, czy komputer spełnia zdefiniowane wymagania dotyczące kondycji, jest określane jako sprawdzanie zasad kondycji. Sprawdzanie zasad kondycji na rzecz usługi ochrony dostępu do sieci jest realizowane przez serwer NPS.
Sposób działania wymuszania w usłudze ochrony dostępu do sieci
Usługa ochrony dostępu do sieci wymusza zasady kondycji za pomocą składników po stronie klienta, które kontrolują i oceniają kondycję komputerów klienckich, oraz składników po stronie serwera, które ograniczają dostęp do sieci, gdy komputery klienckie zostaną uznane za niezgodne. Korygowanie niezgodnych komputerów klienckich w celu umożliwienia im uzyskania pełnego dostępu do sieci odbywa się z udziałem składników zarówno po stronie klienta, jak i serwera.
Najważniejsze procesy ochrony dostępu do sieci
Ochrona dostępu do sieci jest realizowana w ramach trzech procesów: procesu sprawdzania zasad, procesu ograniczania dostępu do sieci i wymuszania ochrony dostępu do sieci oraz procesu korygowania i zapewniania ciągłości zgodności.
Sprawdzanie zasad
Za pomocą serwera NPS można tworzyć zasady kondycji klienta przy użyciu modułów sprawdzania kondycji systemu, które umożliwiają usłudze ochrony dostępu do sieci wykrywanie, wymuszanie i korygowanie konfiguracji komputerów klienckich.
Agenci kondycji zabezpieczeń systemu Windows i moduły sprawdzania kondycji zabezpieczeń systemu Windows udostępniają komputerom z obsługą ochrony dostępu do sieci następującą funkcjonalność:
-
Komputer kliencki ma zainstalowane i włączone oprogramowanie zapory.
-
Komputer kliencki ma zainstalowany i uruchomiony program antywirusowy.
-
Komputer kliencki ma zainstalowane bieżące aktualizacje programu antywirusowego.
-
Komputer kliencki ma zainstalowany i uruchomiony program antyszpiegowski.
-
Komputer kliencki ma zainstalowane bieżące aktualizacje programu antyszpiegowskiego.
-
Na komputerze klienckim jest włączona usługa Microsoft Update Services.
Ponadto jeśli komputerach klienckich z obsługą ochrony dostępu do sieci działają agenci Windows Update Agent i komputery te są zarejestrowane na serwerze WSUS (Windows Server Update Service), usługa ochrony dostępu do sieci może sprawdzić, czy są zainstalowane najnowsze aktualizacje oprogramowania zabezpieczeń - na podstawie jednej z czterech możliwych wartości zgodnych z klasyfikacjami poziomów zagrożenia dla bezpieczeństwa ustalonej przez centrum MSRC (Microsoft Security Response Center).
Po utworzeniu zasad definiujących stan kondycji komputera klienckiego są one sprawdzane przez serwer NPS. Składniki usługi ochrony dostępu do sieci po stronie klienta wysyłają raport o kondycji do serwera NPS w trakcie procesu nawiązywania połączenia z siecią. Serwer NPS bada raport o kondycji i porównuje go z zasadami kondycji.
Ograniczanie dostępu do sieci i wymuszanie ochrony dostępu do sieci
Usługa ochrony dostępu do sieci odmawia niezgodnym komputerom klienckim dostępu do sieci lub udziela im dostępu tylko do specjalnej sieci z ograniczeniami nazywanej siecią korygującą. W sieci korygującej komputery klienckie mają dostęp do serwerów korygujących, z których mogą pobierać aktualizacje oprogramowania, oraz do innych najważniejszych usług ochrony dostępu do sieci, takich jak serwery urzędów rejestrowania kondycji (HRA), które są wymagane do uczynienia niezgodnych klientów ochrony dostępu do sieci zgodnymi z zasadami kondycji.
Ustawienie wymuszania ochrony dostępu do sieci w zasadach sieciowych serwera NPS umożliwia używanie usługi ochrony dostępu do sieci do ograniczania dostępu do sieci komputerom klienckim z obsługą tej usługi, które są niezgodne z obowiązującymi w sieci zasadami kondycji, lub do obserwowania stanu tych komputerów.
Za pomocą ustawień zasad sieciowych można ograniczać dostęp, wstrzymywać ograniczanie dostępu lub zezwalać na dostęp.
Korygowanie
Komputery uznane za niezgodne i umieszczone w sieci z ograniczeniami mogą być korygowane. Korygowanie to proces automatycznego aktualizowania komputera klienckiego, w wyniku którego będzie on spełniał wymagania bieżących zasad kondycji. Sieć z ograniczeniami może na przykład zawierać serwer FTP (File Transfer Protocol) automatycznie aktualizujący sygnatury wirusów na niezgodnych komputerach klienckich z przestarzałymi sygnaturami.
Zapewnianie ciągłości zgodności
Usługa ochrony dostępu do sieci może wymuszać zgodność z wymaganiami dotyczącymi kondycji na komputerach klienckich, które są już połączone z siecią. Ta funkcjonalność zapewnia ochronę sieci przez cały czas - z uwzględnieniem zmian zachodzących w zasadach kondycji i na komputerach klienckich. Usługa ochrony dostępu do sieci uznaje na przykład, że komputer kliencki jest w stanie niezgodności, gdy zasady kondycji wymagają, aby Zapora systemu Windows była włączona, a administrator przypadkowo wyłączył zaporę na tym komputerze klienckim. Usługa ochrony dostępu do sieci spowoduje rozłączenie tego komputera klienckiego z siecią organizacji i przyłączenie go do sieci korygującej do czasu ponownego włączenia Zapory systemu Windows.
Za pomocą ustawień ochrony dostępu do sieci w zasadach sieciowych serwera NPS można skonfigurować automatyczne korygowanie, tak aby składniki klienta ochrony dostępu do sieci automatycznie podejmowały próbę zaktualizowania komputera klienckiego uznanego za niezgodny. Automatyczne korygowanie jest konfigurowane za pomocą ustawień zasad sieciowych, podobnie jak w przypadku ustawień wymuszania ochrony dostępu do sieci.