NAP (Network Access Protection) är en teknik för att skapa, upprätthålla och reparera klienthälsoprinciper som ingår i Windows Vista®, Windows Server® 2008, Windows® 7 och Windows Server® 2008 R2. Med NAP kan du upprätta hälsoprinciper som innehåller definitioner av sådant som programkrav, säkerhetsuppdateringskrav och nödvändiga konfigurationsinställningar för datorer som ansluts till nätverket.

NAP upprätthåller datorhälsoprinciperna genom att undersöka och utvärdera datorernas hälsostatus, begränsa datorernas tillgång till nätverket när de inte uppfyller hälsoprincipen och göra datorerna kompatibla med hälsoprincipen innan de får fullständig tillgång till nätverket. NAP upprätthåller hälsoprinciper på klientdatorer som försöker ansluta till ett nätverk. NAP ser också till att datorsäkerhetskraven upprätthålls under den tid som en klientdator är ansluten till nätverket.

NAP är en omfattande plattform som utgör en infrastruktur och en API-uppsättning. Genom att använda NAP API-uppsättningen kan du lägga till komponenter till NAP-klienter och -servrar som kör Network Policy Server (NPS) och som kontrollerar datorernas skydd, upprätthåller hälsoprinciper i nätverket och reparerar icke-kompatibla datorer så att de uppfyller hälsoprinciper.

NAP innehåller inga komponenter för verifiering eller reparation av en dators hälsostatus. I stället är det andra komponenter, s.k. systemhälsoagenter (SHA) och systemhälsoverifierare (SHV), som står för inspektion och rapportering av klientdatorernas hälsostatus, verifiering av klientdatorhälsostatus i förhållande till hälsoprincipen och konfigurationsinställningarna som gör att klientdatorerna uppfyller hälsoprincipen.

Säkerhetshälsoagenten ingår i Windows Vista och Windows 7 som en del av operativsystemet. Motsvarande säkerhetshälsoverifierare ingår i Windows Server 2008 och Windows Server 2008 R2 som en del av operativsystemet. Genom att använda API-uppsättningen i NAP kan andra produkter också integrera systemhälsoagenter och systemhälsoverifierare med NAP. Exempelvis kan en leverantör av antivirusprogram skapa en anpassad systemhälsoagent och systemhälsoverifierare med hjälp av API-uppsättningen. Dessa komponenter kan sedan integreras i de NAP-lösningar som distribueras av kunder till programvaruleverantören.

Om du är nätverks- eller systemadministratör och ska distribuera NAP kan du göra det med hjälp av säkerhetshälsoagenten och säkerhetshälsoverifieringen som ingår i operativsystemet. Du kan också undersöka om andra programvaruleverantörer tillhandahåller systemhälsoagenter och systemhälsoverifierare för sina produkter.

Översikt över NAP

De flesta organisationer skapar nätverksprinciper där det anges vilken typ av maskinvara och programvara som kan distribueras i organisationens nätverk. Dessa principer innehåller ofta regler för hur klientdatorer kan konfigureras innan de ansluts till nätverket. Exempelvis kräver många organisationer att antivirusprogram med de senaste antivirusuppdateringarna ska köras på klientdatorerna och att datorerna ska ha en programvarubrandvägg innan de ansluts till organisationens nätverk. En klientdator som har konfigurerats enligt organisationens nätverksprincip anses uppfylla, eller vara kompatibel med, principen, medan en dator som inte har konfigurerats enligt principen anses vara icke-kompatibel med principen.

NAP innebär att du kan använda NPS när du vill skapa principer där klientdatorernas hälsoskydd definieras. NAP innebär också att du kan upprätthålla klienthälsoprinciperna du skapar och att det går att automatiskt uppdatera, eller justera, NAP-kompatibla klientdatorer för att göra dem kompatibla med hälsoprincipen. Med hjälp av NAP går det också att kontinuerligt identifiera klientdatorernas hälsostatus för att kunna skydda nätverket mot fall där en dator är kompatibel när den ansluts till nätverket, men upphör att vara kompatibel efter att den har anslutits.

NAP tillhandahåller kompletterande nätverksskydd för klientdatorer och organisationer genom att garantera att datorer som är anslutna till nätverket uppfyller organisationens hälsoprinciper. Det skyddar nätverket mot skadliga element som kan införas av klientdatorerna, t.ex. virus, och det skyddar även klientdatorerna mot skadliga element från nätverket som datorerna ansluts till.

Tack vara den automatiska reparationen i NAP tar det dessutom kortare tid för icke-kompatibla datorer att kunna ansluta till nätverksresurserna. När den automatiska reparationen har konfigurerats och klientdatorer inte är kompatibla kan klientkomponenterna i NAP snabbt uppdatera datorerna med hjälp av resurser som du tillhandahåller i ett reparationsnätverk. På så sätt kvalificerar NPS icke-kompatibla datorer snabbare för att de ska kunna ansluta till nätverket.

NPS och NAP

NPS kan fungera som en NAP-principserver för alla upprätthållande NAP-metoder.

När du konfigurerar NPS som en NAP-principserver utvärderar NPS SoH-meddelanden (Statements of Health) från NAP-kompatibla klientdatorer som vill ansluta till nätverket. Du kan konfigurera NAP-principer i NPS som gör att klientdatorernas konfigurationer uppdateras så att de blir kompatibla med organisationens nätverksprincip.

Klientdatorhälsa

Hälsa definieras som information om en klientdator. I NAP används informationen för att kunna bestämma om klientdatorn ska få tillgång till nätverket. En utvärdering av en klientdators hälsostatus innebär en jämförelse av klientdatorns konfiguration och konfigurationen som anges i hälsoprincipen.

Exempelmätningar av hälsa omfattar:

  • Windows-brandväggens driftsstatus Är brandväggen aktiv eller inaktiv?

  • Uppdateringsstatusen på antivirussignaturer. Är antivirussignaturerna de absolut senaste?

  • Säkerhetsuppdateringarnas installationsstatus. Är de senaste säkerhetsuppdateringarna installerade på klientdatorn?

Klientdatorns hälsostatus innefattas i ett Soh-meddelande (Statement of Health) som skickas av NAP-klientkomponenter. NAP-klientkomponenter skickar SoH-meddelandet till NAP-serverkomponenter för utvärdering för att kunna bestämma om klientdatorn är kompatibel och kan få fullständig tillgång till nätverket.

Att verifiera att en dator uppfyller de definierade hälsokraven kallas i NAP-terminologin hälsoprincipsverifiering. NPS utför hälsoprincipsverifieringen för NAP.

Så här fungerar tvingande NAP

NAP upprätthåller hälsoprinciper med hjälp av komponenter på både klientsidan och serversidan. Komponenterna på klientsidan inspekterar och utvärderar hälsostatusen på klientdatorerna, medan komponenterna på serversidan begränsar tillgången till nätverket när klientdatorerna inte är kompatibla. Dessutom reparerar komponenterna på båda sidorna tillsammans icke-kompatibla klientdatorer så att de får fullständig tillgång till nätverket.

Viktiga processer i NAP

Nätverkstillgången skyddas av tre processer i NAP: principverifiering, tvingande NAP och nätverksbegränsning samt reparation och kontinuerlig kompatibilitet.

Principverifiering

Med NPS kan du skapa klienthälsoprinciper med hjälp av systemhälsoverifieringar som gör att NAP kan identifiera, upprätthålla och reparera klientdatorernas konfigurationer.

Säkerhetshälsoagenten och säkerhetshälsoverifieraren i Windows innehåller följande funktioner för NAP-kompatibla datorer:

  • Klientdatorn har en aktiv programvarubrandvägg.

  • Klientdatorn har en aktiv antivirusprogramvara.

  • Klientdatorn har de senaste antivirusuppdateringarna.

  • Klientdatorn har en aktiv antispionprogramvara.

  • Klientdatorn har de senaste antispionuppdateringarna.

  • Microsoft Update Services är aktivt på klientdatorn.

Om NAP-kompatibla klientdatorer kör Windows Update Agent och är registrerade med en WSUS-server (Windows Server Update Service) kan dessutom NAP verifiera att de senaste säkerhetsuppdateringarna har installerats på grundval av ett av fyra möjliga värden som stämmer med säkerhetsallvarlighetsklassificeringar från MSRC (Microsoft Security Response Center).

När du skapar principer som definierar klientdatorernas hälsostatus verifieras principerna av NPS. Komponenterna på NAP-klientsidan skickar ett SoH-meddelande till NPS-servern under nätverksanslutningen. NPS undersöker meddelandet och jämför det med hälsoprinciperna.

Tvingande NAP och nätverksbegränsning

NAP nekar icke-kompatibla klientdatorer att ansluta till nätverket och ger dem bara tillgång till ett särskilt begränsat nätverk som kallas reparationsnätverk. I ett reparationsnätverk får klientdatorerna tillgång till uppdateringsservrar som tillhandahåller programvaruuppdateringar och till övriga NAP-tjänster, t.ex. HRA-servrar (Health Registration Authority) som är nödvändiga för att kunna göra icke-kompatibla NAP-klienter kompatibla med hälsoprincipen.

Inställningen för tvingande NAP i NPS-nätverksprincipen gör att du kan använda NAP till att begränsa tillgången till nätverket och undersöka statusen på NAP-kompatibla klientdatorer som inte uppfyller nätverkshälsoprincipen.

Du kan välja att begränsa tillgången, senarelägga tillgångsbegränsningen och tillåta tillgången med nätverksprincipinställningar.

Reparation

Icke-kompatibla klientdatorer som har placerats i ett begränsat nätverk kan justeras. Reparation innebär att en klientdator automatiskt uppdateras så att den uppfyller de aktuella hälsoprinciperna. Ett begränsat nätverk kan t.ex. innehålla en FTP-server som automatiskt uppdaterar virussignaturerna på icke-kompatibla klientdatorer som har för gamla signaturer.

Kontinuerlig kompatibilitet

NAP kan upprätthålla hälsokompatibiliteten på klientdatorer som redan har anslutits till nätverket. Det är praktiskt för att kunna garantera att ett nätverk alltid är skyddat eftersom hälsoprinciperna och klientdatorernas hälsostatus kan ändras. NAP kan t.ex. upptäcka att en klientdator inte är kompatibel om en hälsoprincip anger att Windows-brandväggen ska vara aktiv och en administratör av misstag inaktiverar brandväggen på datorn. Datorn kopplas bort från nätverket och ansluts till reparationsnätverket tills Windows-brandväggen aktiveras igen.

Du kan använda NAP-inställningar i NPS-principer när du vill ställa in automatisk reparation som innebär att NAP-klientkomponenter automatiskt försöker uppdatera klientdatorn när den inte är kompatibel. Den automatiska reparationen konfigureras i nätverksprincipinställningarna, på samma sätt som inställningarna för tvingande NAP.


Innehåll