Ochrona dostępu do sieci na serwerze zasad sieciowych (NPS)

Ochrona dostępu do sieci (NAP, Network Access Protection) to technologia korygowania oraz wymuszania i tworzenia zasad kondycji klienta dołączana do systemów Windows Vista®, Windows Server® 2008, Windows® 7 oraz Windows Server® 2008 R2. Za pomocą ochrony dostępu do sieci można ustanawiać zasady kondycji definiujące takie elementy jak wymagania dotyczące oprogramowania, aktualizacji zabezpieczeń oraz ustawień konfiguracji dla komputerów łączących się z daną siecią.

Ta usługa wymusza zasady kondycji, sprawdzając i oceniając kondycję komputerów klienckich, ograniczając dostęp do sieci, gdy komputery klienckie są niezgodne z zasadami kondycji, oraz korygując niezgodne komputery klienckie w celu zapewnienia ich zgodności z zasadami kondycji przed udzieleniem im pełnego dostępu do sieci. Funkcja ochrony dostępu do sieci wymusza zasady dotyczące kondycji na komputerach klienckich, które próbują połączyć się z siecią. Zapewnia także ciągłe wymuszanie kondycji, gdy komputer kliencki jest połączony z siecią.

Ochrona dostępu do sieci to rozszerzalna platforma udostępniająca infrastrukturę oraz zestaw interfejsów programowania aplikacji (API). Korzystając z zestawu interfejsów API funkcji ochrony dostępu do sieci, można dodawać składniki do klientów ochrony dostępu do sieci oraz serwerów z uruchomioną usługą serwera zasad sieciowych, które sprawdzają kondycję komputera, wymuszają sieciowe zasady kondycji oraz korygują niezgodne komputery, aby zapewnić im zgodność z zasadami kondycji.

Sama usługa ochrony dostępu do sieci nie udostępnia składników do weryfikowania ani korygowania kondycji komputera. Inne składniki, nazywane agentami kondycji systemu (SHA) oraz modułami sprawdzania kondycji systemu (SHV), umożliwiają kontrolę i raportowanie stanu kondycji komputera klienckiego, umożliwiają sprawdzanie stanu kondycji komputera klienckiego na tle zasad kondycji oraz oferują ustawienia konfiguracyjne pozwalające na osiągnięcie przez komputer kliencki stanu zgodności z zasadami kondycji.

Agent kondycji zabezpieczeń systemu Windows (WSHA) stanowi część systemu operacyjnego Windows Vista i Windows 7. Odpowiadający mu moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) stanowi część systemów operacyjnych Windows Server 2008 i Windows Server 2008 R2. Dzięki zestawowi interfejsów API ochrony dostępu do sieci można zaimplementować agentów SHA i moduły SHV także w innych produktach w celu umożliwienia im integracji z usługą ochrony dostępu do sieci. Na przykład dostawca programu antywirusowego może za pomocą zestawu interfejsów API utworzyć niestandardowego agenta kondycji systemu i moduł sprawdzania kondycji systemu. Te składniki mogą następnie zostać zintegrowane z rozwiązaniami ochrony dostępu do sieci wdrażanymi przez użytkowników oprogramowania tego dostawcy.

Administrator systemu lub sieci planujący wdrażanie usługi ochrony dostępu do sieci może w tym celu skorzystać z agenta WSHA i modułu WSHV, dołączonych do systemu operacyjnego. Może też sprawdzić, czy inni dostawcy oprogramowania udostępniają agentów SHA i moduły SHV dla swoich produktów.

Większość organizacji tworzy zasady sieciowe określające typy sprzętu i oprogramowania, które mogą być wdrażane w sieci organizacji. Te zasady często zawierają reguły określające wymagania dotyczące konfiguracji komputerów klienckich, które muszą zostać spełnione, zanim taki komputer będzie mógł połączyć się z siecią. Na przykład wiele organizacji wymaga, aby komputery klienckie, które podejmują próby połączenia się z siecią organizacji, miały programy antywirusowe z zainstalowanymi najnowszymi aktualizacjami oraz miały zainstalowane i włączone oprogramowanie zapory. Komputer kliencki skonfigurowany według zasad sieciowych organizacji jest postrzegany jako zgodny z zasadami, natomiast komputer, którego konfiguracja nie odpowiada tym zasadom - jako niezgodny z zasadami.

Usługa ochrony dostępu do sieci pozwala używać serwera zasad sieciowych do tworzenia zasad definiujących kondycję komputera klienckiego. Umożliwia też egzekwowanie utworzonych zasad kondycji klienta oraz automatyczne aktualizowanie lub korygowanie komputerów klienckich z włączoną usługą ochrony dostępu do sieci w celu uczynienia ich zgodnymi z zasadami kondycji klienta. Usługa ochrony dostępu do sieci oferuje ciągłą obserwację kondycji komputera klienckiego w celu uniknięcia przypadków, w których komputer kliencki będący w momencie nawiązywania połączenia z siecią organizacji zgodny z jej zasadami przestaje być z nimi zgodny w trakcie trwania tego połączenia.

Przez zapewnienie, że komputery łączące się z siecią są zgodne z zasadami kondycji klienta i sieci organizacji, usługa ochrony dostępu do sieci oferuje ochronę zarówno sieci organizacji, jak i komputera klienckiego. Sieć jest chroniona przed szkodliwymi elementami pochodzącymi z komputerów klienckich, takimi jak wirusy komputerowe, ale ochrona obejmuje też komputery klienckie narażone na działanie szkodliwych elementów pochodzących z sieci, z którą nawiązują połączenia.

Ponadto automatyczne korygowanie w usłudze ochrony dostępu do sieci pozwala skrócić okres, w którym niezgodne komputery klienckie spotykają się z odmową dostępu do zasobów sieci organizacji. Po skonfigurowaniu automatycznego korygowania komputer kliencki uznany za niezgodny może zostać szybko zaktualizowany przez składniki klienta ochrony dostępu do sieci przy użyciu zasobów umieszczonych w sieci korygującej. Dzięki temu doprowadzony do stanu zgodności klient może zostać szybciej autoryzowany przez serwer NPS i połączyć się z siecią.

Ochrona dostępu do sieci jest realizowana w ramach trzech procesów: procesu sprawdzania zasad, procesu ograniczania dostępu do sieci i wymuszania ochrony dostępu do sieci oraz procesu korygowania i zapewniania ciągłości zgodności.