Применение защиты доступа к сети и ограничение доступа к сети

Защиту доступа к сети можно настроить так, чтобы клиентские компьютеры, не соответствующие политикам, не могли получить доступ к сети или могли получить только ограниченный доступ. Сеть с ограниченным доступом должна содержать ключевые службы NAP, такие как серверы центра регистрации работоспособности и серверы обновлений, чтобы клиенты NAP, не соответствующие требованиям, могли обновить свои конфигурации в соответствии с требованиями к работоспособности.

Параметры применения защиты доступа к сети позволяют или ограничить доступ к сети для клиентов, не соответствующих требованиям, или просто включить отслеживание и регистрацию состояния работоспособности клиентских компьютеров, поддерживающих защиту доступа к сети.

Используя указанные ниже параметры, можно ограничить доступ, отложить ограничение доступа или разрешить доступ.

•Разрешить полный доступ к сети. Этот вариант используется по умолчанию. Клиенты, которые отвечают условиям политики, считаются соответствующими требованиям к работоспособности и получают неограниченный доступ к сети, если запрос на подключение проходит проверку подлинности и авторизацию. При этом регистрируется соответствие клиентов с поддержкой NAP требованиям к работоспособности.

•Разрешить полный доступ к сети в ограниченное время. Клиентам, которые соответствуют требованиям политики, временно предоставляется неограниченный доступ к сети. Защита доступа к сети не применяется до заданных даты и времени.

•Разрешить ограниченный доступ. Клиентские компьютеры, которые отвечают условиям политики, не считаются соответствующими требованиям к работоспособности и помещаются в сеть с ограниченным доступом.

Обновление

Клиентские компьютеры, не соответствующие требованиям и помещенные в сеть с ограниченным доступом, могут пройти процедуру обновления.

Обновлением называется процесс обновления клиентского компьютера для приведения его характеристик в соответствие с текущими требованиям к работоспособности. Например, сеть с ограниченным доступом может содержать FTP-сервер, предоставляющий новые сигнатуры вирусов, чтобы клиентские компьютеры, не соответствующие требованиям, могли обновить устаревшие сигнатуры.

Параметры защиты доступа к сети можно использовать в политиках сети сервера политики сети для настройки автоматического обновления, чтобы клиентские компоненты защиты доступа к сети автоматически пытались обновить клиентский компьютер, если он не соответствует требованиям политики. Для настройки автоматического обновления можно использовать параметр политики сети, указанный ниже.

•Автообновление. Если задан параметр Включить автообновление клиентских компьютеров, автоматическое обновление включено и компьютеры с поддержкой NAP, не соответствующие требованиям к работоспособности, автоматически пытаются выполнить обновление.

Постоянное наблюдение для обеспечения соответствия требованиям

Защита доступа к сети может обеспечивать соответствие клиентских компьютеров, уже подключенных к сети, требованиям к работоспособности. Эта возможность полезна, если требуется обеспечить постоянную защиту сети независимо от изменений политик работоспособности и характеристик работоспособности клиентских компьютеров. Например, если политика работоспособности требует, чтобы брандмауэр Windows был включен, а пользователь случайно отключил его, компоненты защиты доступа к сети могут определить, что компьютер уже не соответствует требованиям, и поместить его в сеть с ограниченным доступом до тех пор, пока брандмауэр Windows снова не будет включен.

Если автоматическое обновление включено, клиентские компоненты защиты доступа к сети могут автоматически включить брандмауэр Windows без участия пользователя.