Федералбное агенство по образованию
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ДОНСКОЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
КАФЕДРА «ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ»
Вычислительные системы, сети и телекоммуникации
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
Лабораторная работа №4
Тема: «Настройка компоненты Network Policy Server. Настройка NAP для использования на основе DHCP»
Ростов-на-Дону
2011
Краткая теория
Network Policy Server (сервер сетевой политики, NAP)
Причины развертывания NAP
Технология защиты сетевого доступа была разработана в ответ на опасности, подстере гающие компьютеры, на которых не установлены самые свежие исправления безопасности или отсутствуют другие элементы защиты — например, свежие версии антивирусного ПО или локальный программный брандмауэр. Такие системы являются первоочередными кандидатами на компрометацию и зачастую становятся объектами атак шпионского ПО — т. е. особо уязвимыми.
Предоставление этим клиентам неограниченного доступа к сети недопустимо. Скомпрометированные системы во внутренней сети представляют собой весьма большой риск безопасности, т. к. злоумышленники могут легко управлять ими и скомпрометировать важные данные. Поэтому так важны методы управления подобными клиентами, и именно поэтому Microsoft разработала концепцию NAT в Windows Server 2008 R2.
Обзор компонентов NAP
У NAP имеются три основные характеристики, и все они включены в Windows Server 2008 R2.
Соответствие политике работоспособности. Основой платформы NAP является возможность устранения проблемы. Поэтому функции соответствия политике работоспособности в платформе NAP выполняют такие механизмы проверки соответствия, как служба обновления Windows Server (Windows Server Update Services — WSUS), агенты центра управления конфигурацией системы (System Center Configuration Manager) 2007 и другие службы исправления. Windows Server 2008 R2 может автоматически адресовать клиенты на сервер исправления, прежде чем предоставить им полный доступ к сети. Например, клиент без свежих исправлений может быть отправлен на сервер WSUS для установки нужных исправлений.
Проверка состояния работоспособности. Агенты в клиентских системах позволяют отслеживать и протоколировать конкретное состояние отдельных клиентов. Администратор платформы NAP всегда может сказать, сколько систем в сети не содержат последних исправлений, работают без включенных брандмауэров, а также узнать множество другой статистики состояния работоспособности. В некоторых случаях состояние работоспособности просто отмечается, в других случаях таким клиентам блокируется сетевой доступ.
Ограничение доступа. Базовым принципом эффективной работы платформы NAP является возможность ограничения доступа к сетям на основе результатов проверки состояния работоспособности. Степень разрешаемого доступа может быть очень различной. К примеру, клиенты могут иметь доступ к отдельным системам для выполнения исправлений безопасности, но не к другим клиентам. В NAP Windows Server 2008 R2 имеются возможности настраиваемого ограничения доступа, что позволяет администраторам создавать гибкие политики.