Федералбное агенство по образованию

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ДОНСКОЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

КАФЕДРА «ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ»

Вычислительные системы, сети и телекоммуникации

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

Лабораторная работа №4

Тема: «Настройка компоненты Network Policy Server. Настройка NAP для использования на основе DHCP»

Ростов-на-Дону

2011

Краткая теория

Network Policy Server (сервер сетевой политики, NAP)

Причины развертывания NAP

Технология защиты сетевого доступа была разработана в ответ на опасности, подстере гающие компьютеры, на которых не установлены самые свежие исправления безопасности или отсутствуют другие элементы защиты — например, свежие версии антивирусного ПО или локальный программный брандмауэр. Такие системы являются первоочередными кан­дидатами на компрометацию и зачастую становятся объектами атак шпионского ПО — т. е. особо уязвимыми.

Предоставление этим клиентам неограниченного доступа к сети недопустимо. Скомпрометированные системы во внутренней сети представляют собой весьма большой риск безопасности, т. к. злоумышленники могут легко управлять ими и скомпрометировать важные данные. Поэтому так важны методы управления подобными клиентами, и именно поэтому Microsoft разработала концепцию NAT в Windows Server 2008 R2.

Обзор компонентов NAP

У NAP имеются три основные характеристики, и все они включены в Windows Server 2008 R2.

• Соответствие политике работоспособности. Основой платформы NAP является возможность устранения проблемы. Поэтому функции соответствия политике рабо­тоспособности в платформе NAP выполняют такие механизмы проверки соответст­вия, как служба обновления Windows Server (Windows Server Update Services — WSUS), агенты центра управления конфигурацией системы (System Center Configuration Manager) 2007 и другие службы исправления. Windows Server 2008 R2 может автома­тически адресовать клиенты на сервер исправления, прежде чем предоставить им полный доступ к сети. Например, клиент без свежих исправлений может быть от­правлен на сервер WSUS для установки нужных исправлений.

• Проверка состояния работоспособности. Агенты в клиентских системах позво­ляют отслеживать и протоколировать конкретное состояние отдельных клиентов. Администратор платформы NAP всегда может сказать, сколько систем в сети не со­держат последних исправлений, работают без включенных брандмауэров, а также узнать множество другой статистики состояния работоспособности. В некоторых случаях состояние работоспособности просто отмечается, в других случаях таким клиентам блокируется сетевой доступ.

• Ограничение доступа. Базовым принципом эффективной работы платформы NAP является возможность ограничения доступа к сетям на основе результатов проверки состояния работоспособности. Степень разрешаемого доступа может быть очень раз­личной. К примеру, клиенты могут иметь доступ к отдельным системам для выполне­ния исправлений безопасности, но не к другим клиентам. В NAP Windows Server 2008 R2 имеются возможности настраиваемого ограничения доступа, что позволяет адми­нистраторам создавать гибкие политики.