Защита доступа к сети - это технология создания, применения и обновления политик работоспособности клиентов, включенная в операционные системы Windows Vista®, Windows Server® 2008, Windows® 7 и Windows Server® 2008 R2. При использовании защиты доступа к сети можно создавать политики работоспособности, определяющие требования к программному обеспечению, обновлению системы безопасности, а также параметрам конфигурации для подключающихся к сети компьютеров.

Политики работоспособности применяются в защите доступа к сети путем проверки и оценки работоспособности клиентских компьютеров, ограничения доступа к сети для клиентских компьютеров, которые не удовлетворяют требованиям политики работоспособности, а также обновления, не удовлетворяющие требованиям клиентских компьютеров, с целью привести их в соответствие политике работоспособности до предоставления им полного доступа к сети. Технология NAP обеспечивает принудительное применение требований к работоспособности для клиентских компьютеров, подключающихся к сети. Кроме того, она обеспечивает текущую проверку соответствия требованиям к работоспособности для подключенных к сети компьютеров.

Защита доступа к сети - это расширяемая платформа, которая предоставляет инфраструктуру и набор API. С ее помощью можно добавлять компоненты, которые обеспечивают проверку работоспособности компьютера, применение политики работоспособности сети и обновление компьютеров в соответствие с политикой работоспособности, для клиентов защиты доступа к сети и серверов, на которых выполняется сервер политики сети.

Сама по себе защита доступа к сети не предоставляет компоненты для проверки или исправления работоспособности компьютера. Проверка состояния работоспособности компьютера, создание отчетов о работоспособности, сравнение показателей работоспособности клиентского компьютера с параметрами политики работоспособности, а также настройка параметров клиентского компьютера в соответствие с требованиями политики работоспособности осуществляются другими компонентами, которые называются агентами работоспособности системы и средствами проверки работоспособности системы.

Агент работоспособности системы безопасности Windows включен в Windows Vista и Windows 7 как компонент операционной системы. Соответствующее средство проверки работоспособности системы безопасности Windows включено в Windows Server 2008 и Windows Server 2008 R2 как компонент операционной системы. С помощью набора API защиты доступа к сети другие продукты также могут реализовать агенты работоспособности системы и средства проверки работоспособности системы, интегрируемые с защитой доступа к сети. Например, поставщик антивирусного программного обеспечения может использовать данный набор API для создания собственного агента работоспособности системы и средства проверки работоспособности системы. Эти компоненты можно интегрировать в решения для защиты доступа к сети, развертываемые заказчиками данного поставщика программного обеспечения.

Если администратор сети или системный администратор планирует развернуть защиту доступа к сети, он может сделать это с использованием агента работоспособности системы безопасности Windows и средства проверки работоспособности системы безопасности Windows, которые включены в операционную систему. Помимо этого, можно узнать у других поставщиков программного обеспечения, предоставляют ли они агенты работоспособности системы и средства проверки работоспособности системы для своих продуктов.

Обзор защиты доступа к сети

В большинстве организаций созданы политики сети, определяющие тип оборудования и программного обеспечения, которое может быть развернуто в сети этой организации. Эти политики зачастую включают правила настройки клиентских компьютеров перед их подключением к сети. Например, во многих организациях для подключения клиентского компьютера к сети требуется, чтобы на нем выполнялось антивирусное программное обеспечение с установленными свежими обновлениями, а также был установлен и включен программный брандмауэр. Клиентский компьютер, настроенный в соответствии с политикой сети организации, считается соответствующим политике. Компьютер, чьи параметры настройки не соответствуют политике сети организации, считается несоответствующим этой политике.

Защита доступа к сети позволяет создавать политики, определяющие работоспособность клиентского компьютера, с использованием сервера политики сети. Кроме того, защита доступа к сети позволяет применять создаваемые политики работоспособности клиента, а также автоматически обновлять клиентские компьютеры с поддержкой защиты доступа к сети, чтобы привести их в соответствие политике работоспособности клиента. Защита доступа к сети обеспечивает непрерывную проверку работоспособности клиентского компьютера, чтобы предотвратить ситуации, в которых клиентский компьютер при подключении к сети организации является соответствующим политике, однако в ходе работы в сети утрачивает соответствие.

Защита доступа к сети предоставляет двустороннюю защиту клиентского компьютера и корпоративной сети, обеспечивая соответствие подключающихся к сети компьютеров требованиям действующих в организации политики сети и политики работоспособности клиента. Это защищает сеть от вредоносных элементов, таких как компьютерные вирусы, попадающих в сеть с клиентских компьютеров, а также защищает клиентские компьютеры от вредоносных элементов, которые могут попасть к ним из сети.

В дополнение к этому функция автоматического обновления защиты доступа к сети сокращает объем времени, в течение которого несоответствующим клиентским компьютерам запрещен доступ к сетевым ресурсам организации. Если настроено автоматическое обновление, и клиентские компьютеры находятся в состоянии несоответствия, клиентские компоненты защиты доступа к сети могут оперативно обновлять такие компьютеры с использованием ресурсов, доступных в сети обновлений, что позволяет несоответствующему клиентскому компьютеру быстрее пройти авторизацию и подключиться к сети.

Сервер политики сети и защита доступа к сети

Сервер политики сети может выступать в качестве сервера политики защиты доступа к сети для всех методов принудительной защиты доступа к сети.

При настройке сервера политики сети в качестве сервера политики защиты доступа к сети, сервер политики сети оценивает сведения о статусе работоспособности, направляемые клиентскими компьютерами с поддержкой защиты доступа к сети, которые пытаются подключиться к сети. На сервере политики сети можно настроить политики защиты доступа к сети, обеспечивающие обновление конфигурации клиентских компьютеров в соответствии с сетевой политикой организации.

Работоспособность клиентского компьютера

Работоспособность задается в виде сведений о клиентском компьютере, которые используются защитой доступа к сети для определения возможности доступа данного клиента к сети. Оценка состояния работоспособности клиентского компьютера отражает состояние конфигурации клиентского компьютера по сравнению с состоянием, необходимым в соответствии с политикой работоспособности.

К примерным характеристикам работоспособности относятся следующие:

  • Операционный статус брандмауэра Windows. Включен ли брандмауэр или отключен?

  • Статус обновления сигнатур вирусов. Являются ли сигнатуры вирусов наиболее свежими доступными на данный момент?

  • Статус установки обновлений системы безопасности. Установлены ли на клиентском компьютере самые свежие обновления системы безопасности?

Сведения о работоспособности клиентского компьютера объединяются в состояние работоспособности, которое создается клиентскими компонентами защиты доступа к сети. Клиентские компоненты защиты доступа к сети направляют данное состояние работоспособности в серверные компоненты защиты доступа к сети для оценки, определения степени соответствия клиента принятия решения о предоставлении ему полного доступа к сети.

В терминах защиты доступа к сети проверка соответствия компьютера определенным требованиям к работоспособности называется проверкой соответствия политике работоспособности. Проверка по политике работоспособности для защиты доступа к сети осуществляется сервером политики сети.

Принцип действия применения защиты доступа к сети

Политики работоспособности применяются в защите доступа к сети с использованием компонентов клиентской стороны, которые проверяют и оценивают работоспособность клиентских компьютеров, компонентов серверной стороны, которые ограничивают доступ к сети для несоответствующих клиентских компьютеров, а также одновременно компонентов клиентской и серверной стороны, обеспечивающих обновление несоответствующих клиентских компьютеров для предоставления им полного доступа к сети.

Ключевые процессы защиты доступа к сети

В обеспечении защиты доступа к сети основную роль играют три процесса: проверка по политике, применение защиты доступа к сети и ограничение доступа, а также обновление и непрерывная проверка соответствия.

Проверка по политике

При использовании защиты доступа к сети можно создавать политики работоспособности клиента с использованием средств проверки работоспособности системы, которые позволяют выявлять, применять и исправлять конфигурации клиентских компьютеров в защите доступа к сети.

Агент работоспособности системы безопасности Windows и средство проверки работоспособности системы безопасности Windows обеспечивают следующие возможности для компьютеров с поддержкой защиты доступа к сети:

  • На клиентском компьютере установлен и включен программный брандмауэр.

  • На клиентском компьютере установлено и включено антивирусное программное обеспечение.

  • На клиентском компьютере установлены текущие обновления антивирусного ПО.

  • На клиентском компьютере установлено и включено антишпионское программное обеспечение.

  • На клиентском компьютере установлены текущие обновления антишпионского ПО.

  • На клиентском компьютере включены службы обновления Microsoft.

В дополнение к этому, если на клиентских компьютерах с поддержкой защиты доступа к сети выполняется агент центра обновления Windows, и они зарегистрированы на сервере Windows Server Update Service, защита доступа к сети может проверить наличие наиболее свежих обновлений программного обеспечения системы безопасности на базе одного из четырех возможных значений, которые соответствуют уровням угрозы системы безопасности, получаемым с веб-сайта Microsoft Security Response Center.

При создании политик, которые определяют статус работоспособности клиентского компьютера, эти политики проверяются защитой доступа к сети. Компоненты защиты доступа к сети клиентской стороны направляют состояние работоспособности на сервер политики сети в процессе подключения к сети. Сервер политики сети изучает состояние работоспособности и сравнивает его с политиками работоспособности.

Применение защиты доступа к сети и ограничение сети

При использовании защиты доступа к сети несоответствующим клиентским компьютерам запрещается доступ к сети или предоставляется доступ только к специальной сети ограниченного доступа, которая называется сетью обновлений. В сети обновлений клиентским компьютерам предоставляется доступ к серверам обновлений, которые содержат обновления программного обеспечения, а также к другим ключевым службам защиты доступа к сети, таким как серверы центра регистрации работоспособности, необходимым для приведения несоответствующих клиентов защиты доступа к сети в соответствие политике работоспособности.

Параметр применения защиты доступа к сети в политике сети сервера политики сети позволяет использовать защиту доступа к сети для ограничения доступа к сети или наблюдения за состоянием клиентских компьютеров с защитой доступа к сети, которые не соответствуют требованиям действующей политики работоспособности.

При помощи параметров политики сети можно задать ограничение доступа, отложенное ограничение доступа или разрешение доступа.

Обновление

Несоответствующие клиентские компьютеры, помещенные в сеть с ограниченным доступом, могут пройти процедуру обновления. Обновлением называется процесс автоматического обновления клиентского компьютера в соответствии с параметрами текущих политик работоспособности. Например, сеть с ограниченным доступом может содержать FTP-сервер, который автоматически обновляет сигнатуры вирусов для клиентских компьютеров с устаревшими сигнатурами.

Непрерывное обеспечение соответствия

Защита доступа к сети может применять обеспечение соответствия политике работоспособности в отношении клиентских компьютеров, уже подключенных к сети. Эта функциональность полезна, если требуется обеспечить постоянную защиту сети, поскольку возможны изменения как в политиках работоспособности, так и в характеристиках работоспособности клиентских компьютеров. Например, защита доступа к сети определит, что клиентский компьютер находится в состоянии несоответствия, если политика работоспособности предусматривает наличие включенного брандмауэра Windows, а администратор ненамеренно отключил брандмауэр на клиентском компьютере. В результате защита доступа к сети отключит данный клиентский компьютер от корпоративной сети и подключит его к сети обновлений, пока брандмауэр Windows не будет снова включен.

Параметры защиты доступа к сети можно использовать в политиках сети сервера политики сети для настройки автоматических обновлений, чтобы клиентские компоненты защиты доступа к сети автоматически пытались обновить клиентский компьютер, если он не соответствует требованиям политики. Как и в случае с параметрами применения защиты доступа к сети, автоматическое обновление настраивается при помощи параметров политики сети.