西拉免费代理IP
你当前的位置:西拉免费代理IP > 新闻中心 > Microsoft的网络访问保护可以确保安全合规性
Microsoft的网络访问保护可以确保安全合规性
来源: 西拉IP 作者: 张祁无 2018年12月19日 14:43
计算机安全一直是关于更新和限制的。更新确保计算机具有适当的补丁和软件版本以防止恶意代码,而限制(无论是通过网络还是系统控制)确保只允许在计算环境中发生预先批准的行为。
但安全基础设施中缺少第三个组成部分:执法。在允许系统参与环境之前,网络管理员必须确保存在指定的配置。Microsoft网络访问保护(NAP)产品旨在验证网络是否符合安全策略。
如果不执行安全策略,修补和限制操作就像法律一样没有后果。管理员可以使用尽力而为的方法部署修补程序,希望合规性指标最终达到100%。限制可以在整个网络中传播,并假设客户端计算机最终会重新配置自己以适应。
“更新和祈祷”方法不适用于全面的系统安全性。例子比比皆是:销售人员Stan禁用他的防火墙,因为他认为这会阻止他访问应用程序。简在会计上改变了她的防病毒软件,因为她认为它破坏了她的电子表格。当Windows修补程序请求注意安装时,无处不在的用户会无限制地单击“推迟”按钮。
由于配置错误或者在提供更新时它们不在网络上,各个系统本身可能无法接收关键更新。
前门保护
还有更多问题。考虑另一种在当今的商业网络中日益普及的情景。绑定传统办公室的实体墙让位于远程办公,随处工作和远程工作空间。用户将笔记本电脑从内部局域网的安全区域中取出,并连接到跨越野外和毛茸茸的互联网环境的网络。这些计算机在安全管理员控制之外花费时间在夜间管理员的地方。一旦他们跨越组织的门槛并重新插入,笔记本电脑的过时配置就会导致恶意软件感染整个基础架构的可能性。
为此,想象一下世界上最强大的互联网防火墙。这样的防火墙可以扫描入站流量并预测恶意软件何时进入。防火墙的神似功能可以保护您的内部局域网免受各种可能的感染传播,包括蠕虫,病毒和复制恶意软件。它在桌面和外部世界之间的网络上的位置将是一个难以穿透的墙。
即使是世界上功能最强大的防火墙也无法保护您的网络免受未配置所需安全设置的笔记本电脑的影响。那台笔记本电脑可能包含世界上最强大的马其诺防线试图防范的恶意软件。智能企业认识到执行安全策略的必要性。
网络访问保护作为健康验证功能运行,内置于每个服务器和桌面操作系统中。NAP的主要工作是定期验证这些资产的某些配置。您可能希望确保您的桌面安装了正确级别的修补程序,或者安装,启用和更新了反恶意软件或防病毒软件。NAP可以监视这些和其他配置,当配置不符合规范时,它可以提醒您。
然而,NAP的真正力量在于如何实施这些配置。
当启用NAP的计算机发现它不符合公司安全策略时,可以将网络基础结构设置为将该资产重新定位到完全不同且受保护的网络以进行修复。位于该特殊网络中的是将计算机带回已建立的健康基准所需的基础架构组件(如域控制器,Windows Server Update Services服务器和反恶意软件服务器)。只有当计算机被认为是合规的时,才允许它返回常规网络。
NAP使用五种强制机制,可以组合使用以保护不同的入口点进入您的环境。它们是动态主机配置协议,802.1x和
IP
sec,通过在
IP地址
分配,交换机端口分配或安全关联点阻止其网络连接来保护您的内部LAN免受潜在客户端的影响。虚拟专用网络(VPN)和远程桌面网关实施将NAP基础架构扩展到通过外部源进入的其他基础架构,从而强制实施VPN和远程桌面连接的合规性。
开箱即用,NAP可以确定是否启用了客户端防火墙。它可以验证防病毒和防恶意软件应用程序是否处于打开状态且是最新的,是否已安装自动更新以及是否安装了特定关键性的安全修补程序。这只是执行的起点,因为NAP的可扩展基础架构旨在使第三方软件公司能够编写自己的自定义安全健康验证程序,以实施特定于产品的设置。
面临的挑战是安装NAP。NAP的最大限制更多地与复杂性的感知有关,而不是其部署中的实际复杂性。为了帮助您入门,这个由三部分组成的系列文章的第二部分介绍了不同的NAP如何组合在一起。
阅读 441
相关推荐
友情链接
全网最大的免费网页代理ip平台,提供大量免费http代理服务器和免费ip代理地址
© 2016 - 2021. 西拉免费代理ip, All rights reserved. 鄂ICP备18017015号-4
在线客服