Защита доступа к сети Network Access Protection (NAP) в Windows 2008 Server
ОГЛАВЛЕНИЕ
Когда я работал сетевым администратором, одна из вещей, которая меня очень расстраивала, заключалась в том, что у меня был очень слабый контроль над удаленными пользователями. Согласно бизнес требованиям моей организации, у удаленных пользователей должна была существовать возможность подключения к корпоративной сети из любого места вне офиса. Проблема заключалась в том, что хотя я предпринимал экстремальные меры для защиты корпоративной сети, у меня не было абсолютно никакого контроля над компьютерами, который пользователи могли бы использовать для удаленного подключения к сети. В конце концов, домашний компьютер сотрудника не является собственностью компании.
Причина, по которой это так сильно меня расстраивало, заключалась в том, что я никогда не знал, в каком состоянии находится компьютер пользователя. Иногда, удаленные пользователи могли подключаться к сети с помощью компьютера, который заражен вирусами. Иногда, компьютер удаленного пользователя мог работать на устаревшей версии операционной системы Windows. Хотя я предпринимал шаги по защите корпоративной сети, я всегда боялся, что удаленный пользователь с неадекватной защитой может инфицировать файлы в сети вирусом, или случайно открыть важную корпоративную информацию, потому что его компьютер может быть заражен трояном.
Однако несколько лет назад появился луч надежды. Компания Microsoft подготовилась к выпуску операционной системы Windows Server 2003 R2, в которой велся разговор о новом инструменте под названием NAP. Чтобы немного сократить историю, расскажу лишь, что чтобы настроить безопасность сети с помощью более ранних версий этого инструмента, необходимо было иметь ученую степень в области компьютерной безопасности. И поэтому инструмент NAP был удален из окончательной версии R2.
Компания Microsoft проделала большой объем работы по усовершенствованию инструмента NAP с того времени, и теперь инструмент NAP одним из основных инструментов для безопасности в операционной системе Windows 2008 Server. Хотя версия инструмента NAP для операционной систем Windows 2008 будет гораздо более простой в настройке, чем невышедшая версия для Windows Server 2003, она по-прежнему остается весьма сложной. Поэтому целью написания этой статьи было то, чтобы предоставить вам описание инструмента NAP, а также показать вам, как он работает еще до выхода официальной версии операционной системы Windows 2008 Server.
Для начала
Перед тем как я продолжу, я хочу объяснить еще одну вещь относительно инструмента NAP. Назначение инструмента NAP заключается в том, чтобы убедиться, что компьютер удаленного пользователя удовлетворяет требованиям безопасности вашей организации. NAP ничего не делает, чтобы предотвратить неавторизованный доступ к вашей сети. Если у злоумышленника есть компьютер, который удовлетворяет требованиям по безопасности вашей компании, то NAP ничего не сделает, чтобы попытаться остановить злоумышленника. Защита от злоумышленников, которые пытаются получить доступ к сетевым ресурсам – это задача других механизмов безопасности. NAP спроектирован для того, чтобы просто запретить вход в вашу сеть разрешенным пользователям, которые используют небезопасные компьютеры.
Еще одну вещь, о которой я хочу упомянуть, перед тем как продолжить свой рассказ дальше, заключается в том, что инструмент NAP отличается от инструмента Network Access Quarantine Control, который присутствует в операционной системе Windows Server 2003. Инструмент Network Access Quarantine Control использует ограниченные политики для контроля удаленных компьютеров, но он подчиняется NAP.