Entre las características de Windows Server 2008, la Protección de acceso a la red (NAP), que se puede usar para ayudar a las empresas a fortalecer la administración de seguridad de las computadoras personales, es uno de los proyectos más deseables, especialmente la red. Seguridad de la información en estas dos áreas. En pocas palabras, para evitar que las computadoras no cumplan con las políticas de seguridad corporativas, se puede restringir el NAP mediante la aprobación de las conexiones. El estado de estas políticas no conformes incluye: la actualización automática no se inicia, los parches del sistema no se corrigen con regularidad y el software antivirus no está instalado. O habilite el firewall personal, la firma del software antivirus /el motor antivirus superó la fecha límite y no se actualizó. Integración del control de políticas y la autenticación y autorización de identidades Para iniciar NAP, debe comenzar con una nueva función de servidor en el Administrador del servidor, cuyo nombre es Servicios de acceso y políticas de red (NPAS). Después de completar una serie de pasos de instalación, la herramienta del sistema en el ensamblaje "Inicio" agregará un acceso directo — — Servidor de políticas de red (NPS). Cuando ejecuta la consola del Servidor de políticas de red, aparecen inmediatamente tres opciones estándar, que le permiten aplicar configuraciones rápidamente. Al presionar Configurar NAP se iniciará el asistente de instalación para ayudar al administrador a completar la configuración paso a paso. De hecho, el predecesor de NPS es Internet Autentication Services (IAS) en Windows Server 2003, con mecanismos centralizados de autenticación, autorización y grabación RADIUS, y continúa cubriendo redes cableadas, inalámbricas y VPN, en lugar de crear un nuevo servidor. Entorno de ejecución. Por lo tanto, también puede reenviar mensajes de autenticación y estadísticas a otros servidores RADIUS para su uso como un servidor proxy RADUIS. En general, NAP es un nombre de función, pero para Windows Server 2008, esta función se proporciona principalmente mediante la función de servidor mencionada anteriormente. Incluyendo el servidor de políticas y el servidor de verificación obligatorio Cuando instalamos el NPAS por primera vez, podemos ver que incluye NPS, Servicio de acceso remoto (RAS), Enrutamiento (enrutamiento) y Autoridad de registro de salud (HRA). HRA es bastante especial, se usa principalmente en la arquitectura impuesta por la política de IPsec de NAP. En el área de red de área local protegida por IPsec, cuando se considera que la computadora personal cumple con la política de seguridad de la red, obtendrá un certificado que representa el estado de salud, si es otro. Si se conecta una computadora personal conectada a la misma red, el certificado se verificará simultáneamente. Si no se verifica la política, no se puede obtener el certificado de salud y la autenticación del punto final de IPsec fallará. No se puede usar esta computadora. Otras comunicaciones informáticas. NPS también se puede subdividir en cuatro componentes principales: Clientes y servidores RADIUS: se refiere a otros dispositivos personales RADIUS, el servidor se refiere a otros servidores NPS, cuando el usuario de la empresa configura el servidor NPS como un servidor proxy RADIUS, Los requisitos de conexión de autenticación y autorización se reenvían a otros servidores RADIUS. Si el entorno de red de la empresa utiliza varios dominios o múltiples sistemas de árbol, se puede guiar a través de este mecanismo. Política: dividida en tres tipos de configuración de políticas: requisitos de conexión, red y estado de mantenimiento. La política de requisitos de conexión se usa para manejar la conexión a un servidor NPS remoto u otro servidor RADIUS, lo que hace que el NPS sea un dispositivo de puerta de enlace que verifique el cumplimiento con la autenticación del protocolo RADIUS, como los APs inalámbricos habilitados para 802.1x y los conmutadores de autenticación, y los servicios de enrutamiento y acceso remoto.
(RRAS) se convierte en un servidor para una red VPN o de acceso telefónico, y una puerta de enlace de Servicios de Terminal Server. El dominio local y el dominio de confianza se pueden configurar con una política predeterminada. Las políticas de red se pueden dividir en más de seis formas, incluidos servidores de acceso remoto no especificados, redes Ethernet, puertas de enlace de servicios de Terminal Server, puntos de acceso inalámbricos, HRA, servidores HCAP y servidores DHCP. En cuanto a la estrategia de estado de salud, en general, se puede configurar para que "pase todas las comprobaciones" o "una de ellas falla". También puede elegir otras cinco opciones, como todas las fallas, pases parciales y se considera que están infectadas con programas maliciosos. Si no puede decidir, puede encontrar la situación correspondiente para aplicar la estrategia. Protección de acceso a la red: el único responsable de verificar el estado de la computadora de la consola (validador del estado del sistema, SHV) y la configuración del Servidor de remediación (Servidor de remediación). El llamado servidor de remediación, incluido el servidor DNS, la estación de control del dominio, el servidor de archivos donde se encuentra la firma antivirus, el servidor de actualización de software, etc., tiene la oportunidad de corregir las computadoras que no pueden pasar la verificación de estado. Si desea realizar otro trabajo después de que se complete la verificación, debe tomar una decisión estratégica. El SHV puede definir el estado de salud de Windows XP y Vista, por ejemplo, si habilitar el Firewall de Windows, la actualización automática, si instalar o no el software antivirus, el antispyware (el SHV de Windows XP no admite esta comprobación) y si las firmas de ambos están actualizadas. Estado, y se puede configurar para completar las actualizaciones de seguridad en unas pocas horas. Si la empresa ha configurado previamente Microsoft para proporcionar el servidor de actualización de Windows Server Update Services (WSUS), también puede configurarlo aquí para obtener información y archivos actualizados. Con respecto al soporte de software antivirus, Microsoft afirma poder identificar su propio Forefront Client Secuirty, así como el código de firma de Symantec, Trends, McAfee y otro software antivirus de marca, ya que los programas anti-spyware actualmente solo admiten Windows Defender. Contabilidad: responsable de generar archivos de registro, que se pueden guardar como IAS.log o archivos de registro que SQL Server puede leer y escribir. Si la empresa tiene un nivel de auditoría estricto, como la industria financiera, esta información se puede transferir a SQL Server. NPS es responsable de la estrategia y la evaluación. De hecho, ¿cómo autentica NPS cada terminal controlada? El usuario enciende la computadora en Internet y tiene la intención de acceder a la red. Por lo tanto, el dispositivo de red y el servidor de políticas de red requieren que el usuario presente un certificado de salud, como que el sistema actualice el estado automáticamente. Si el firewall, el software antivirus está habilitado, etc., si el estado del sistema declarado por el Agente de mantenimiento del sistema (SHA) en la computadora personal pasa la verificación de SHV y la política de NAP, estos dispositivos y sistemas pasarán el certificado y los detalles de la conexión al servidor de políticas. . Después de evaluar los detalles de la conexión, el servidor de políticas de red pasa el certificado de autorización del usuario a Active Directory para su autorización. Si se cumplen los requisitos de la política y se pasa la autorización del usuario, se permite el acceso a la red y luego se aprueba el acceso del usuario o del dispositivo. Es importante tener en cuenta que el NPS solo es responsable de evaluarlo con su propia configuración de políticas y no maneja acciones autorizadas. Todas las autorizaciones de acceso a la red y la administración de la cuenta deben coincidir con la estación de control de dominio.