西拉免费代理IP

你当前的位置:西拉免费代理IP   >   新闻中心   >   了解Microsoft的网络访问保护的内部和外部组件

了解Microsoft的网络访问保护的内部和外部组件

来源: 西拉IP   作者: 张祁无   2018年12月19日 14:41

Microsoft的网络访问保护是一种复杂的安全解决方案,而不是简单的“下一步,下一步完成”IT项目。它需要集成多个组件,并了解这些组件 - 以及它们连接的方式和原因 - 将为您设计最适合您业务的系统做好准备。

有许多文章详细介绍了简单的网络访问保护(NAP)安装,包括去年我写的“ 为Windows Server 2008实现简单的网络访问保护 ”。Microsoft拥有自己的一组文档,用于使用其任何强制机制创建启用NAP的基础架构。但是,NAP组件的全局视图比逐步安装指南更重要。

各个组件如何相互协作具有强大的力量。通过分离出不同的功能元素,Microsoft创建了一个可从最小的IT商店扩展到最大型企业需求的产品。

什么是NAP的组件?

NAP实施的核心功能作为网络策略和访问服务(NPAS)角色的一部分到达,该角色安装在Windows Server 2008计算机上。

NPAS可用于完成多种功能,这可能会导致混淆。NPAS能够根据其网络策略服务器(NPS)角色服务处理NAP强制执行,但它也可以处理路由和远程访问服务(RRAS)。

为了进一步增加混淆,NPS角色服务可用于NAP以及传统的远程身份验证拨入用户服务(RADIUS)服务。实际上,许多NAP实现都使用RADIUS作为身份验证点 - 实际上是一个纠结的Web。

因此,让我们专注于NAP功能所需的内容。

了解Microsoft的网络访问保护的内部和外部组件

外部NAP组件

任何NAP规划过程的第一步是确定网络执行安全策略的位置。

正如我在本系列的第一部分(“ NAP在您的安全基础架构中的作用 ”)中提到的那样,执行点可以如下:

1、动态主机配置协议(DHCP)服务器通过DHCP强制实施 IP地址
2、交换机基础设施使端口能够通过802.1x实施。
3、计算机尝试通过IPsec强制与域中的资源进行通信。
4、外部计算机尝试通过VPN实施连接到内部资源。
5、外部计算机尝试通过RD网关实施连接到内部远程桌面服务基础结构。

根据网络的需要,可以选择这些执行点中的一个或多个(执行点也可以通过第三方添加,这将在本系列的第三部分中讨论)。

不同的执法机制的工作方式不同,有些机制比其他机制复杂得多。

DHCP强制实施需要启用NAP的DHCP服务器,当找到不符合要求的客户端时,该服务器会将不同的IP地址分发给特殊网络。

802.1x强制执行要求使用支持802.1x身份验证的交换机,当发现客户端不符合安全设置时,会将客户端重定向到不同的网络位置。

IPSec强制实施需要就地证书基础结构以及NPAS健康注册机构角色服务,因为它使用服务器和域隔离来隔离不符合要求的计算机。

对于外部客户端,VPN身份验证要求RRAS角色服务处理入站客户端请求。

RD网关身份验证需要在RD网关服务器后面保护远程桌面基础结构,这是进入客户端的强制执行点。在Windows Server 2008 R2的管理工具中,RD网关实施得到了显着改进。

一个完全实现的NAP基础设施需要一个让客户在被认为不合规时去的地方。此网络位置通常是单独的虚拟LAN或包含特殊保护的子网。

在此修复位置中,定位不符合要求的客户端,以便可以重新配置它们以满足安全策略,这是一个或多个补救服务器的任务 - 域控制器,防病毒服务器,第三方服务器等。

这些组件代表核心NAP角色服务外部的技术。虽然实施外部需求可能很复杂,但请记住,NAP的组件化使其能够轻松扩展到企业。例如,如果没有这种程度的组件化,NAP就无法强制执行特定网络的自定义要求。

了解Microsoft的网络访问保护的内部和外部组件

内部NAP组件

NPS角色服务内部的NAP组件也分为多个元素,可以以不同方式组合以创建所需的策略。

首先是政策本身,分为以下三个部分:

连接请求策略指定哪些服务器处理每种类型的连接客户端的入站身份验证。

网络策略确定哪些客户端可以连接到网络,以及允许它们连接的环境,被拒绝访问或被强制修复。

健康策略确定客户端被视为合规所需的客户端配置。

这三项政策携手合作,以确定“谁进入?”的完整批准途径。“为什么他们进去?” “谁打电话?”

但请注意,与识别客户进入网络的原因相关的各个条件尚未记录在案。

通过使用一个或多个系统健康验证程序(SHV)来完成合规性定义。合规性状态可以基于防火墙设置,防病毒和反恶意软件设置,和/或已安装补丁的级别( 如本系列的第1部分所述 )。第三方也可以创建自己的SHV来验证其他自定义设置。

如果SHV中的“规则”与健康策略中可用的“策略”之间的分离令人困惑,请将Microsoft的组策略视为一种比喻:在组策略管理编辑器中配置单个设置并捆绑到组策略对象中。然后,该组策略对象将链接到组策略管理控制台中的组织单位。通过将策略设置与策略分离,您可以更灵活地确定哪些客户端最终获得哪些设置。

了解Microsoft的网络访问保护的内部和外部组件

这个难题的最后几个部分是客户端组件本身。

到目前为止讨论的元素仅涉及在客户端进入网络时处理客户端的服务器和网络基础设施。每个客户端还需要能够验证合规性并向NAP基础架构报告结果的组件。

首先,有NAP强制执行客户端,它有助于客户端的执行责任。存在多个强制客户端,其中一个与NAP服务器基础结构中启用的每种强制类型相匹配。

系统健康代理(SHA)也安装到客户端。这些SHA负责扫描客户端以验证是否存在兼容配置。SHA通常与需要管理的元素相关,例如防病毒与防火墙设置。

Microsoft提供默认SHA。当还必须验证自定义配置时,第三方可以构建自己的部署到客户端。

将这两个部分组合在一起的胶水是NAP代理。该代理促进了各个SHA及其相关执行客户之间的通信。通过将NAP代理与其他两个组件分离,Microsoft创建了一个可扩展的体系结构,允许第三方进行大量的自定义。

NAP的客户端组件通常通过组策略启用,这意味着客户端通常需要初始配置一段时间的网络连接。

值得庆幸的是,对于始终处于高流量状态的环境,可以为不支持NAP的客户端以及客户端定义NAP策略,具体取决于其合规性状态。这种第三种状态设置可确保未配置的客户端 - 或那些不能参与NAP的客户端(如其他操作系统) - 不会被冷落。

微软关于NAP的文档非常出色,是任何希望实施该技术的组织的第一站。但是,来自Microsoft的NAP组件只是一个部分。大多数企业使用其他公司开发的安全软件。确保其合规配置是整体方法的重要组成部分。

阅读 376   

相关推荐

逆向 | 指针、数组、结构体与对象 逆向 | 指针、数组、结构体与对象
逆向 | 指针、数组、结构体与对象

从逆向的角度去理解数组与指针,并学习怎样识别它们,从而能以多个角度去理解C语言中较为复杂的指针问题。 我们先看一段分别以数组下标和指针方式访问数据的代码,如代码清单1所示。 . . .

2018年12月20日
使用查询来记录SQL Server数据库

您是否知道可以使用查询来记录SQL Server数据库?这个关于系统表的简单查询就是这样做的。您可以轻松地将结果剪切并粘贴到Word文档中,并改善外观。想象一下你将节省的打字数量!我使用此查询 . . .

2018年12月20日
将数据库从开发迁移到研发

如果您在一家小公司工作,那么您的开发,测试和生产数据库可能位于同一台服务器上。但是,大多数组织都意识到与此类设置相关的风险。如果您的服务器因磁盘故障或停电而变得无法使用,您不仅会损失当前客户的 . . .

2018年12月20日
如何使用SQL查询来记录数据库

您是否知道可以使用SQL查询来记录SQL Server 2000数据库?这个关于系统表的简单查询就是这样做的。您可以轻松地将结果剪切并粘贴到Word文档中,并改善外观。想象一下你将节省的打字数 . . .

2018年12月20日
Microsoft的网络访问保护可以确保安全合规性

计算机安全一直是关于更新和限制的。更新确保计算机具有适当的补丁和软件版本以防止恶意代码,而限制(无论是通过网络还是系统控制)确保只允许在计算环境中发生预先批准的行为。 但安全 . . .

2018年12月19日
Microsoft网络策略和访问服务(Microsoft NPAS)

Microsoft网络策略和访问服务(Microsoft NPAS)是Windows Server 2008和Windows Server 2012中的服务器角色,允许管理员提供本地和远程网络 . . .

2018年12月19日
MX记录(邮件交换记录)

MX记录(邮件交换记录)是域名系统(DNS)服务器记录,其中包含有关域用于接收邮件的邮件服务器的信息。 当存在托管邮件过滤过程时,MX记录可指向邮件服务器或 代理 . . .

2018年12月19日
listserv(邮件列表服务器) listserv(邮件列表服务器)
listserv(邮件列表服务器)

与Majordomo一样,Listserv是一个小程序,可以自动将电子邮件重新分发到邮件列表中的名称。用户可以通过向他们了解的邮件列表发送电子邮件通知来订阅邮件列表; listse . . .

2018年12月19日
邮件转发 邮件转发
邮件转发

我们都知道您可以在Domino中为特定人员设置转发地址。但是,如果从Domino Administrator(“个人文档属性/邮件”选项卡)执行此操作,则此人的邮件文件不会保留转发邮件的副本。 . . .

2018年12月18日
邮件服务器(邮件传输/传输代理,MTA,邮件路由器,Internet邮件) 邮件服务器(邮件传输/传输代理,MTA,邮件路由器,Internet邮件)
邮件服务器(邮件传输/传输代理,MTA,邮件路由器,Internet邮件)

邮件服务器(也称为邮件传输代理或MTA,邮件传输代理,邮件路由器或Internet邮件程序)是接收来自本地用户(同一域内的人)和远程发件人的传入电子邮件的应用程序。转发传出的电子邮件以进行传递 . . .

2018年12月18日

新闻中心 代理分享 | 蜘蛛地图

全网最大的免费网页代理ip平台,提供大量免费http代理服务器免费ip代理地址

© 2016 - 2021. 西拉免费代理ip, All rights reserved. 鄂ICP备18017015号-4

在线客服