Microsoft NAP - rozwiązanie dla każdego?

Jakiś czas temu, kiedy konsorcjum TCG (Trusted Computing Group) powołało grupę TNC (Trusted Network Connect), wydawało się, że droga do zunifikowanej platformy dla rozwiązań NAC jest prosta. Jednak, jak to zwykle bywa, pojawiły się komplikacje: najwięksi gracze rynkowi (m.in. Cisco i Microsoft) mieli odmienne spojrzenia na pewne kwestie. Na szczęście, konkurenci podjęli współpracę i można nawet mówić o zrębach kompatybilności, co widać w rozwiązaniu, o którym do tej pory nie pisaliśmy zbyt wiele - Microsoft NAP. Technologia ta zaistniała na dobre wraz z pojawieniem się systemu Windows Server 2008 i dodatku SP3 dla Windows XP i powoli, ale dość skutecznie, ma szansę torować sobie drogę na nasze desktopy.

Popularyzacja NAP była i jest łatwiejszym zadaniem dla Microsoftu niż dla rywali - szczególnie ze względu na powszechność systemów Windows. Wkrótce pojawi się w sprzedaży Windows 7, który z pewnością zostanie rozprowadzony w wielokrotnie większym nakładzie niż nieudana Vista. Można zatem stwierdzić, że niemal każdy może mieć w swoim komputerze z Windows funkcje NAC bez konieczności instalacji dodatków czy agentów, i do tego w zasadzie za darmo. Takiej przewagi nie mają ani Cisco, ani Juniper, ani żaden inny producent rozwiązań NAC. Ponadto TCG oficjalnie potwierdziło, że klient NAP jest w pełni zgodny ze specyfikacją opracowaną przez grupę TCG-TNC, co z kolei sprawia, że konkurenci muszą uwzględniać NAP.

Co zatem kryje w sobie Microsoft NAP i jakie daje możliwości? Zasadniczo, z punktu widzenia architektury, mamy do czynienia z trzema warstwami: kliencką, serwerową i z tzw. punktami wymuszania zgodności z polityką (enforcement points), co jest typowym podejściem dla rozwiązań NAC.

Po stronie klienta...

Microsoft NAP - rozwiązanie dla każdego?

Architektura MS NAP

Klientem NAP może być każdy system Microsoft Windows - począwszy od XP z Service Pack 3, poprzez Vistę, a na Windows 7 kończąc. Dysponując takim Windowsem, mamy automatycznie wbudowanego klienta NAP. Jego zadaniem jest ewidencjonowanie czy też zbieranie informacji na temat konfiguracji stacji i raportowanie serwerowi o "znaleziskach". Sposób działania agenta NAP zbliżony jest do tego, co oferowało od dawna Centrum Zabezpieczeń Windows. Mamy tu możliwość weryfikacji aktualizacji, sprawdzania obecności lub aktualności oprogramowania antywirusowego czy stanu zapory ogniowej.

Nad klientem rozciąga się parasol w postaci serwera lub grupy serwerów naprawczych (Remediation Server). Jego zadaniem jest przywrócenie stacji do stanu zgodności z polityką w razie negatywnego wyniku sprawdzenia.

Pan i władca

Trzon NAP stanowi serwer, a w zasadzie zestaw usług udostępnianych przez system Windows Server 2008.

W ramach W2K8 dodano nową rolę, w ramach której serwer staje się centrum zarządzania NAP. Dodajemy ją standardowo z poziomu konsoli zarządzania serwerem. Rola ta to inaczej zbiór usług składających się na NAP, a jej punkt centralny stanowi NPS (Network Policy Server), który jest jednocześnie zmodyfikowanym serwerem RADIUS, proxy i serwerem polityki zdrowia dla usługi NAP. Z tego też względu często mówi się, że serwer NPS to inaczej health policy server. To on decyduje o podjęciu określonych działań wobec stacji, które są ukierunkowane albo na przywrócenie jej stanu zgodności (poprzez wspomniany Remediation Server) z polityką bezpieczeństwa, albo na odcięcie od zasobów. Komponent NPS analizuje informacje spływające od klientów i podejmuje pewne akcje.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200