Защита доступа к сети отключена как включить? zhitsoboy.ru

Защита доступа к сети отключена как включить?

Защита доступа к сети. Начало

Как вы, скорее всего, заметили, в последнее время большинство моих статей посвящается технологии групповой политики, которую, по моему мнению, необходимо знать и понимать, так как именно благодаря этой технологии вы можете оградить пользователей, компьютеры и сеть своей компании от многих бед. Групповые политики тесно связаны практически с каждыми технологиями, которые можно разворачивать в организации. Но в любом случае, даже если вы будете использовать сценарии с каждым параметром групповой политики, парк компьютеров вашей организации все еще будет уязвим по многим причинам.

Практически в каждой организации, одной из основных задач системного администратора, а иногда и отдельного администратора по безопасности, связанной с обслуживанием парка компьютеров является обеспечение безопасности. В организациях чаще всего для обеспечения безопасности внедряют следующие решения:

  • Установка антивирусного программного обеспечения на клиентские компьютеры, файловые и почтовые сервера, а также консоли управления антивирусным программным обеспечением на выделенном сервере. К ключевым продуктам для бизнеса по обеспечению антивирусной безопасности можно отнести продукты Microsoft ForeFront, Kaspersky Enterprise Space Security, а также Symantec Endpoint Protection;
  • Настройка брандмауэров на рабочих станциях и серверах в организации. Например, брандмауэр Windows в режиме повышенной безопасности позволяет фильтровать входящий и исходящий трафик, используя настраиваемые правила для определения законных и небезопасных коммуникаций;
  • Развертывание межсетевых экранов в демилитаризованных зонах, которые могут быть комплексными решениями для обеспечения безопасности в сети, позволяющие защитить внутреннюю сеть организации от угроз из Интернета. Например, межсетевой экран Microsoft Forefront Threat Management Gateway 2010 предлагает единый простой способ обеспечения безопасности периметра благодаря интегрированному межсетевому экрану, VPN, предотвращению вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.
  • Обеспечение безопасности обмена данных между компьютерами при помощи протокола IPSec, который чаще всего применяется для защиты трафика через Интернет при использовании виртуальных частных сетей;
  • Настройка политики безопасности групповой политики. К таким политикам можно отнести политики паролей и блокировки учетных записей, политики открытого ключа, политики ограниченного использования программ и многое другое;
  • Использование шифрования дисков, позволяющее защитить данные, расположенные на клиентских компьютерах в том случае, если пользовательский компьютер украден или во избежание раскрытия данных, находившихся на потерянных, украденных или неправильно списанных персональных компьютерах.

Как видите, не существует единого комплексного решения, позволяющего полностью защитить всех ваших пользователей от различных ситуаций и атак и, разумеется, перечисленный выше список решений не является окончательным. Но при помощи всех указанных выше решений обеспечения безопасности вы сможете лишь защитить сеть своей организации от атак злоумышленниками извне, то есть из сети Интернет. Также вы можете защитить свою интрасеть от человеческого фактора, так как при правильном использовании функционала групповой политики можно ограничить пользователей от выполнения многих действий, а также от внесения большинства изменений в систему. Но не стоит исключать возможность, когда сотрудники вашей компании разъезжают по командировкам. Будучи на вокзале, в аэропорту, интернет кафе или в партнерской организации, ваш пользователь мог подключать свой ноутбук к сети Интернет или к внутренней сети другой компании. А так как в расположении, где пользователь подключался к сети Интернет, могут быть не соблюдены требования безопасности, ноутбук вашего сотрудника может быть заражен и по возвращении в свой офис, вирус, расположенный на ноутбуке приехавшего сотрудника может начать распространяться на уязвимые компьютеры. Описанный выше сценарий является наиболее распространяемым и во избежание подобных ситуаций, в операционной системе Windows Server 2008 была анонсирована новая технология «Защита доступа к сети». Эта технология содержит как клиентские, так и серверные компоненты, позволяющие создавать и применять определенные политики требований к работоспособности, определяющие характеристики конфигурации программного обеспечения и системы при подключении компьютеров к внутренней сети организации. Когда клиентские компьютеры подключаются к сети организации, их компьютеры должны соответствовать определенным требованиям состояния и если компьютер не соответствует таким требованиям (например, установка последних обновлений операционной системы), то они будут помещены в сетевой карантин, где смогут загрузить последние обновления, установить антивирусное обеспечение и выполнить другие требуемые действия. В этой вводной статье я вкратце расскажу о данной технологии.

Технология защиты доступа к сети и методы принудительной защиты

Как уже было упомянуто немного ранее, защита доступа к сети (Network Access Protection, NAP) является расширяемой платформой, предоставляющей определенную инфраструктуру. Защита доступа к сети требует выполнения полной проверки и оценивает работоспособность клиентских компьютеров, при этом ограничивая сетевой доступ для клиентских компьютеров, не соответствующих этим требованиям. В защите доступа к сети применяются политики работоспособности, проверяющие и оценивающие клиентские компьютеры, приводя их в соответствие политике работоспособности до предоставления им полного доступа к сети. Несмотря на то, что технология защиты доступа к сети обеспечивает богатый функционал, такие компоненты как проверка состояния работоспособности компьютера, создание отчетов о работоспособности, сравнение показателей работоспособности клиентского компьютера с параметрами политики работоспособности, а также настройка параметров клиентского компьютера в соответствие с требованиями политики работоспособности осуществляются другими компонентами, которые называются агентами работоспособности системы и средствами проверки работоспособности системы. Агенты работоспособности по умолчанию включены как компоненты системы в операционных системах, начиная с Windows Vista и Windows Server 2008. Но для интеграции защиты доступа к сети, разработчики стороннего программного обеспечения также могут использовать набор API для написания своих собственных агентов работоспособности. Стоит обратить внимание на то, что защита доступа к сети предоставляет двухстороннюю защиту клиентских компьютеров и внутренней сети организации, обеспечивая соответствие подключающихся к сети компьютеров действующих в организации требованиям политики сети, а также политики работоспособности клиента.

Сами по себе политики работоспособности применяются с использованием компонентов клиентской стороны, которые уже проверяют и оценивают работоспособность, согласно которым ограничивается доступ к сети для несоответствующих клиентских компьютеров, а также одновременно компонентов клиентской и серверной стороны, обеспечивающих обновление несоответствующих клиентских компьютеров для предоставления им полного доступа к сети. А работоспособность задается в виде сведений о клиентском компьютере, которые используются защитой доступа к сети для определения возможности доступа данного клиента к внутренней сети организации. К примерам характеристик, которые проверяются при оценке состояния работоспособности состояния конфигурации клиентского компьютера, по сравнению с состоянием, необходимым в соответствии с политикой работоспособности можно отнести статус установки обновлений операционной системы и обновлений сигнатур антивирусного программного обеспечения, установку обновлений антишпионского программного обеспечения, работоспособность брандмауэра на клиентском компьютере и прочее. В том случае, если конфигурация клиентского компьютера не будет соответствовать необходимому состоянию, таким компьютерам или будет полностью запрещен доступ к сети организации, или им будет предоставлен доступ только к специальной сети карантина, где клиенту будут предоставлены обновления программного, антивирусного и антишпионского обеспечения.

Когда клиентские компьютеры пытаются получить доступ к сети организации через такие серверы доступа к сети как VPN-серверы, к ним применяется принудительная защита доступа к сети. Способ применения такой принудительной защиты напрямую зависит от выбранного метода применения. Политики работоспособности защиты доступа к сети могут быть применены к следующим сетевым технологиям:

  • Протоколу DHCP. При использовании этого типа принудительной защиты используется серверная роль DHCP, установленная на компьютере под Windows Server 2008, обеспечивающая автоматическое предоставление IP-адресов клиентским компьютерам. Если для этого типа включена защита NAP, то IP-адреса, предоставляющие сетевой доступ могут получить лишь компьютеры, которые полностью соответствуют требованиям безопасности, а все остальные компьютеры будут получать адреса в подсети 255.255.255.255 без основного шлюза. Несмотря на то, что клиенты не могут получить доступ к сети организации, они будут обеспечены маршрутами узла, направляющих трафик на сетевые ресурсы в группе восстановления работоспособности, где они смогут установить все необходимые обновления безопасности;
  • Безопасным подключениям IPSec. Этот метод включения принудительной защиты развертывается для того, чтобы клиенты проверяли актуальность защиты системы перед получением сертификата работоспособности. В свою очередь, сервер сертификации выдает клиентам NAP сертификат X.509 для проверки подлинности, который необходим для обеспечения безопасности IPSec перед подключением клиентов к сети, когда они обмениваются данными по протоколу IPsec с другими клиентами организации. При использовании текущего метода вместе с поддержкой защиты доступа к сети вам предстоит еще развернуть сервер сертификации;
  • Проводным и беспроводным сетям IEEE 802.1X. Метод принудительной защиты на основании проводных или беспроводных сетей IEEE 802.1X реализуется совместно с точками беспроводного доступа или коммутаторами Ethernet с поддержкой проверки подлинности 802.1X. При этой реализации сервер NAP дает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X команду перемещать несоответствующих требованиям клиентов в зону карантина или вообще не подключать к сети организации. Текущий метод защиты обеспечивает гарантии соответствия требованиям системы безопасности для компьютеров, которые могут находиться в сети продолжительное время;
  • VPN-серверам и подключениям. Применение данного метода принудительной защиты предназначается для работы с виртуальными частными сетями и предусматривает развертывание VPN-сервера Windows Server 2008 и компонента «Маршрутизация и удаленный доступ». Соответственно, при использовании NAP, клиенты, подключающиеся к виртуальной частной сети должны проходить проверку работоспособности, и неограниченный сетевой доступ будут получать лишь те клиентские компьютеры, которые соответствуют требованиям системы безопасности;
  • Шлюзу удаленных рабочих столов. Несмотря на то, что в большинстве случаев к серверам удаленных рабочих столов могут подключаться лишь определенные авторизированные пользователи, отслеживание состояния работоспособности клиентских компьютеров позволяет подключаться к серверам или удаленным рабочим столам только соответствующим требованиям безопасности компьютерам.
Читать еще:  Основной шлюз для локальной сети

Заключение

В целом, как вы уже поняли, технология «Защита доступа к сети» обеспечивает дополнительную степень безопасности, предоставляющую допуск к ресурсам внутренней сети только тем компьютерам, которые соответствуют отведенным требованиям безопасности. Но не стоит забывать и о том, что, несмотря на обеспечение гарантии технологии защиты доступа к сети, ваши пользователи не смогут подключиться к внутренней сети без соответствия требований безопасности, работа NAP может не значительно препятствовать опытному хакеру, все равно подключиться к сети вашей организации. На этом первая статья из цикла статей по технологии защиты доступа к сети NAP подходит к концу. В следующих статьях данного цикла вы узнаете о развертывании технологии NAP, об устранении неполадок, связанных с это технологией, обо всех методах принудительной защиты, а также о многих других нюансах.

Для системного администратора

Введение в защиту доступа к сети Network Access Protection. Часть 7

В заключительном разделе шестой части этой статьи я показал вам, как настроить неработающее VPN соединение с клиентом, работающим под управлением операционной системы Windows Vista. В этой статье я завершу эту статью и покажу вам, как закончить процесс настройки клиента.

Начнем процесс настройки с запуска Панели управления (Control Panel), и нажатия на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network and Sharing Center (сеть и центр доступа). Когда откроется окно Network and Sharing Center, нажмите на ссылку Manage Network Connections (управление сетевыми подключениями). Вы должны увидеть окно, в котором отображены все ваши сетевые подключения, а также VPN подключение, которое вы создали в последней части этой статьи.

Щелкните правой кнопкой мыши на VPN соединении и выберите команду Properties (свойства) из выпадающего контекстного меню. После этого появится окно свойств соединения. Перейдите на закладку Security (безопасность) и выберите радио-кнопку Advanced (Custom Settings), как показано на рисунке A.

Рисунок A : Вы должны настроить ваше соединение, чтобы использовать дополнительные настройки безопасности Advanced (Custom Settings)

Теперь нажмите на кнопку Settings (настройки), чтобы появилось диалоговое окно Advanced Security Settings (дополнительные настройки безопасности). Т.к. мы уже настроили VPN соединение на использование открытого протокола для аутентификации (Extensible Authentication Protocol), то вы должны выбрать радио-кнопку Use Extensible Authentication Protocol (EAP). После этого станет активным выпадающий список, расположенный под этой радио-кнопкой. Выберите пункт Protected EAP (PEAP – защищенный EAP) (Encryption Enabled-шифрование включено), как показано на рисунке B.

Рисунок B : Вы должны настроить безопасность вашего VPN соединения и использовать Protection EAP (PEAP) (Encryption Enabled)

Теперь щелкните на кнопку Properties (свойства), чтобы открыть диалоговое окно Protected EAP Properties (свойства защищенного EAP). Поставьте галочку в поле Validate Server Certificate (проверять сертификат сервера) и уберите галочку из поля Connect to these Servers (подключаться к серверам). Вы также должны выбрать пункт Secured Password (EAP-MSCHAP V2) из выпадающего списка Select Authentication Method (выбор метода аутентификации). Наконец, уберите галочку из поля Enable Fast Reconnect (включить быстрое переподключение) и поставьте галочку в поле Enable Quarantine Checks (включить карантинные проверки), как показано на рисунке C.

Рисунок C : Страница свойств Protected EAP Properties позволяет вам настроить параметры для открытого протокола для аутентификации (Extensible Authentication Protocol)

После этого нажмите на кнопку OK в каждом открытом диалоговом окне, чтобы их закрыть. Теперь вы настроили соединение VPN connection, чтобы оно удовлетворяло необходимым требованиям. Но еще не все сделано. Для того, чтобы Network Access Protection (защита доступа к сети) начала работать, необходимо сделать так, чтобы служба Network Access Protection service стартовала автоматически. По умолчанию, в операционной системе Windows Vista все службы настроены на ручной запуск, поэтому вы должны изменить способ запуска этой службы.

Для этого откройте панель управления (Control Panel) и нажмите на ссылку System and Maintenance (система и поддержка), а затем на ссылку Administrative Tools (администрирование). Теперь перед вами появится список различных административных инструментов. Дважды щелкните на иконке Services (службы), чтобы открыть Service Control Manager (менеджер управления службами).

Найдите в списке служб службу Network Access Protection Agent service. Дважды щелкните на этой службе, а затем измените тип запуска (startup type) на Automatic (автоматически) и нажмите на кнопку OK. Помните, что изменение типа запуска службы на Automatic (автоматически) не запустит эту службу. Это лишь гарантирует, что эта служба будет автоматически запущена после перезагрузки компьютера. Однако, вы можете запустить службы без перезагрузки, нажав правой кнопкой мыши на службе и выбрав команду Start (пуск) из контекстного меню. Если у вас возникли проблемы с запуском службы, то проверьте, чтобы была запущена служба Remote Procedure Call (RPC удаленный вызов процедур) и службы DCOM Server Process Launcher. Агент службы защиты доступа к сети Network Access Protection Agent service не может работать без этих вспомогательных служб.

Проверка защиты доступа к сети (Network Access Protection)

Верите ли вы или нет, но мы, наконец, закончили настройку защиты доступа к сети (Network Access Protection). Теперь пришло время выполнить некоторые простые тесты, чтобы убедиться, что все работает так, как мы хотим.

Как вы помните, мы изменили настройку нашего сервера сетевых политик (network policy server) таким образом, чтобы компьютеры, неудовлетворяющие политике, автоматически исправлялись. Мы также настроили наш сервер сетевых политик (network policy server) таким образом, чтобы единственным критерием был включенный брандмауэр Windows firewall. Таким образом, вы должны отключить брандмауэр (firewall) на клиентской машине, а затем подключиться к серверу сетевой политики (network policy server), который использует созданное вами VPN соединение. После этого, брандмауэр на клиентской машине должен быть автоматически включен.

Давайте начнем с отключения брандмауэра на клиентском компьютере. Для этого откройте панель управления (Control Panel) и нажмите на ссылку Security (безопасность). Теперь выберите ссылку Windows Firewall (брандмауэр), чтобы открыть диалоговое окно Windows Firewall. Предполагая, что брандмауэр Windows Firewall уже запущен, нажмите на ссылку Turn Windows Firewall On or Off. Теперь вы увидите диалоговое окно, которое позволяет вам включить или отключить брандмауэр. Выберите радио-кнопку Off (not recommended), как изображено на рисунке D, и нажмите на кнопку OK. Теперь брандмауэр Windows firewall должен быть отключен.

Рисунок D : Выберите радио-кнопку Off (Not Recommended) и нажмите на кнопку OK, чтобы отключить брандмауэр Windows firewall

Теперь, когда вы отключили брандмауэр Windows Firewall, нужно установить VPN соединение с вашим сервером RRAS / NAP server. Для этого откройте Control Panel (Панель управления) и нажмите на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network and Sharing Center (сеть и центр доступа). Когда откроется окно Network and Sharing Center, нажмите на ссылку Manage Network Connections (управление сетевыми подключениями). Теперь вы должны увидеть список локальный соединений вашей рабочей станции и существующие VPN подключения.

Дважды щелкните на VPN соединение, которое вы создали, а затем нажмите на кнопку Connect (подключиться). Вам необходимо будет ввести имя пользователя, пароль и название домена. Нажмите на кнопку OK после вводе этой информации, и после этого будет установлено соединение с вашим сервером VPN / NAP server.

Через небольшой промежуток времени после установления соединений, вы должны увидеть следующее сообщение на экране:

This Computer Does Not Meet Corporate Network Requirements. Network Access is Limited (Этот компьютер на удовлетворяет корпоративным требованиям к сети. Доступ к сети ограничен).

Вы можете увидеть это сообщение на рисунке E.

Рисунок E : Если брандмауэр (firewall) отключен, то вы должны увидеть это сообщение после установления VPN соединения

Сразу же после этого, вы увидите, что иконка брандмауэра Windows Firewall измениться и будет указывать на то, что брандмауэр включен. Как только это случиться, вы увидите еще одно сообщение:

This Computer Meets Corporate Network Requirements. You Have Full Network Access (Это компьютер удовлетворяет корпоративным требованиям к сети. У вас полный доступ к сети).

Вы можете увидеть это сообщение на рисунке F.

Рисунок F : Когда сервер NAP Server подключит брандмауэр Windows Firewall, появится это сообщение

Сообщение, изображенное на рисунке F также появится, когда ваш компьютер, полностью удовлетворяющий корпоративным требованиям, подключиться к серверу NAP, используя VPN соединение.

Заключение

В этой статье я показал вам, как настроить сервер NAP server, который позволит гарантировать, что клиенты VPN удовлетворяют вашим требования к безопасности сети. Однако, не забывайте, что к моменту написания этой статьи операционная система Longhorn Server все еще находилась в режиме тестирования. И поэтому, некоторые этапы этого процесса могут претерпеть небольшие изменения после выхода окончательной версии Longhorn, но я не ожидаю каких-либо больших изменений. Вы также должны помнить, что защита доступа к сети Network Access Protection способен проверять лишь рабочие станции, работающие под управлением операционной системы Windows Vista. Я слышал слухи, что операционная система Windows XP может быть немного переделано для поддержки NAP.

Читать еще:  Оптимизация оперативной памяти Windows 7

Защита доступа к сети отключена как включить

Защиту Windows 7 от сетевых угроз обеспечивает специальная системная служба — брандмауэр. Иногда он также называется файрволом или персональным межсетевым экраном. Microsoft не рекомендует отказываться от использования защитника, но если вы установили сторонний файрвол, можно отключить брандмауэр в Windows 7. Иногда также может потребоваться внесение некоторых программ в «белый список» защитника сети.

Что такое брандмауэр и зачем он нужен

Основное предназначение этой встроенной утилиты — фильтрация интернет-трафика. Для определения подозрительной активности она использует набор предварительно заданных правил. Потенциально опасные соединения блокируются, не позволяя злоумышленникам получить доступ к компьютеру пользователя. Ограничения могут быть применены и к отправке исходящих пакетов. Таким образом обеспечивается конфиденциальность данных, хранящихся на жёстком диске.

Похожий функционал присутствует не только в операционной системе, но и на большинстве моделей роутеров. Между встроенным защитником Windows и сетевым экраном маршрутизатора есть принципиальное отличие. При активации этой функции на роутере обеспечивается сетевая безопасность всех домашних устройств, а не только одного ПК. Существуют и отдельные программы с аналогичными функциями, не входящие в прошивку маршрутизатора и комплект поставки «семёрки».

Обратите внимание! Не следует путать файрвол и антивирус. Второй тип приложений имеет другой функционал, так как он анализирует не сетевую активность, а пользовательские файлы и код запущенных программ. В системах Microsoft есть отдельная антивирусная служба — «Защитник Windows».

Как включить и настроить брандмауэр

Этот компонент системы автоматически включается после её установки. Поэтому никаких дополнительных действий для активации службы совершать не требуется. При этом, вы можете легко проверить её текущий статус. Достаточно открыть панель управления, затем выбрать пункт «Брандмауэр Windows». В этом разделе можно выполнить и другие действия:

  • Отключить брандмауэр в Windows 7.
  • Ознакомиться с текущими настройками.
  • Восстановить рекомендуемые свойства сетевого защитника.
  • Изменить порядок вывода уведомлений о деятельности службы.

Если служба выключена, на главной странице настроек её статус будет отображаться красным цветом. Чтобы включить защиту, нажмите кнопку «Использовать рекомендуемые параметры». Для более тонкой конфигурации перейдите в меню по ссылке, позволяющей включить/отключить защитник. Такая настройка заключается в разделении параметров файрвола при подключении к домашним и общественным сетям. Второй тип подключений обычно требует более строгих подходов по безопасности передачи данных.

Важно! Если блокировка соединений мешает корректной работе нужного вам приложения, внесите его в список исключений. Это делается на отдельной странице, которую можно включить через меню в левой части окна. Напротив названия программы установите галочки, затем сохраните параметры.

Как отключить брандмауэр в Windows 7

Отключить утилиту можно через тот же пункт панели управления, в котором настраивается защитник сети. Система позволяет полностью отключить файрвол или остановить его работу только в частных/общественных сетях. После выключения защитника ОС будет регулярно отображать предупреждения и предложения его включить. Чтобы избавиться от этих сообщений, воспользуйтесь разделом настройки уведомлений.

Для ускорения работы компьютера рекомендуется также отключить аналогичную службу в операционной системе. Чтобы это сделать, нужно включить меню «Пуск» и набрать «msconfig». Далее откройте предложенную программу и перейдите на вкладку «Службы». Здесь отображаются все фоновые процессы, автоматически запускаемые при загрузке ОС. Найдите службу с соответствующим названием и уберите флажок напротив неё. Затем примените изменения при помощи кнопки в нижней части окна.

Важный совет! Утилиту системной конфигурации также можно включить нажатием комбинации клавиш «Win+R» (выполнить). В появившемся окне введите название «msconfig» и кликните «ОК».

Полезное видео: Отключение защиты в Windows 7

В общем плохо не будет, но вам нужно будет прочитать это, ну и прицепом это(чтоб понимать, что делаете)Вообще там много про это написано, если хватит время и терпения читайте всё

Mакс, загляни в личку.

Да нет, не волнуйтесь, домашняя сеть это не страшно. просто не обращайте на это внимание.

max-02 дал пару ссылок, они самые-самые грамотные, а потому для

понимания обычного человека — человека, т.с. «с улицы» — ну. мало-

переносимые.

Прелагаю, для знакомства: что же это такое — NAP

(Network Access Protection),

статью из журнала «Хакер» № 12/08 (120):

Из которой будет понятно: включишь — сетевая безопасность повысится;

но, с другой стороны, могут возникнуть и сложности.

Спасибо за «Хакер»! В нём я понял хоть что-то. Во всех остальных источниках не понял вообще ничего.

Систему я, очевидно, получил вместе с ОС Windows 7, которую установил недавно.

Буду изучать статью из «Хакера» дальше, с одного раза всё не осилить.

Не могу разобраться о какой же сети идёт разговор. Локальную сеть я отключил давно, т.к. от неё был в

ужасе мой Касперский.

К сожалению, с семёркой не знаком. Увы. увы.

А как ЭТО вообще-то попало на твой комп?

Когда-то решил поэспериментировать с прогой обеспечивающей

повышенную безопасность?

Сие мне не ведомо. Нашёл, то, что уже было. Я точно ничего не добавлял.

Я только искал, как избавиться от квартирантов.

Эта «Новая технология NAP» на комп поадает, похоже, лишь

тогда, когда проводится установка консоли NPS ( Network Policy

Server) и появляется новая служба обеспечивающая ей

функционирование на компе: «служба агента защиты доступа к сети

(NAP). Загляни на панель «Установка и удаление. » — если эту

технологию там отыщешь — удали её к .

А вообще-то, самым внимательным образом прочти выше указанные

статьи и, что желательно, прочти несколько раз; поскольку названная

технология вещь весьма и весьма перспективная и будет встречаться

в будущем не раз.

Удачи!

Но коли она перспективная, зачем же её удалять?

Это инструмент системного администратора, организующего

и управляющего работой большой локальной системой.

Эта « Network Access Protection» представляет собой

надстройку над системой безопасности локальной сети,

которая её (систему) курирует в автоматическом режиме по

заданным системным админом параметрам, т.е. плитикам.

Как говорят в Одессе: «оно вам нужно?», — то бишь эта

Со своей стороны, я все-таки настоятельно рекомендую

внимательно (с карандашом) прочесть названные статьи,

и многое прояснится. А эту умную «бяку», найти и. к той

самой матери. Но! Но, это сугубо моё мнение.

Сейчас я попытаюсь выяснить:

а) попала ли эта система ко мне в составе OC Windows 7, тогда я её оставлю ( всё равно она

б) скачал ли я её сам по какой-либо причине, тогда я её сотру;

в) не закачали ли её мне со стороны, та самая группа или админ. В этом случае я тоже от неё избавлюсь.

Насколько возможен вариант «в»?

а) К сожалению, с семёркой не знаком; мой

ноутбук стар и не в состоянии усвоить эту

требовательную ОС, увы.

б) Вполне возможно, иногда сам нахожу у себя вот

такое же забытое. Вполне допускаю, особенно

если есть любопытство и склонность к познанию,

что на домашнем компе может только приветствоваться.

в) Это навряд ли. но, и вот так, категорически,

сказать — НЕТ! я бы не рискнул. Из собственного

опыта: до недавнего времени в качестве firewal’a

использовал PC Tools Firewal, (эта прога -free);

запущенную мною ради любопытства, этот

файрвол у меня не прошёл. Крохотная прожка и

найти её можно поадресу:

Перешёл на C.O.M.O.D.O internet Security

PREMIUM, кстати, тоже free. И при запуске

этой тест-программы: Leak tests’a — она была

этим firewal’ом заблокирована.

P.S. Для общего образования, забей в поисковик

что-нибудь про фаерволы — найдёшь много чего

любопытного и даже неожиданного.

Удачи!

Провайдер сказал, что это люди, живущие на одной со мной улице, и ничего страшного в этом нет Здорово!Это значит, что комп с правами админа головной, а остальные ведомые. Хм. Ну а если админ отключен, как они это обошли?

На моём компе — я администратор. Разве не так?

Я что теперь должен спрашивать разрешения попользоваться собственным компом?

на твоём -да! А в вашей связке,с людьми живущими на одной улице, наверное комп провайдера ну или подведомственного ему администратора :), у вас скорее всего VPN, и видимо ничего не отключите- это у вас сеть такая

Представленные ниже сведения позволяют выявлять проблемы в реестре, которые следует учитывать при включении или выключении защиты доступа к сети на сайте Configuration Manager 2007.

Включение защиты доступа к сети в Configuration Manager

Чтобы включить на сайте Configuration Manager 2007 защиту доступа к сети (NAP), необходимо включить агент клиента защиты доступа к сети. В результате на сайте сразу же будут включены все политики защиты доступа к сети Configuration Manager, как унаследованные от родительского сайта с включенным доступом к сети, так и ранее созданные на сайте, прежде чем на нем была отключена защита доступа к сети. Политики защиты доступа к сети Configuration Manager являются средствами, с помощью которых клиенты Configuration Manager с поддержкой защиты доступа к сети получают доступ к выбранным обновлениям.

Читать еще:  Как настроить домашнюю сеть на Windows 7?

После включения на сайте защиты доступа к сети диспетчер Configuration Manager может создавать отчеты о компьютерах с поддержкой защиты доступа к сети, которые назначены сайту. В этих отчетах приводится число компьютеров, на которых обновляются агенты работоспособности системы, использующиеся в развертывании защиты доступа к сети.

Если защита доступа к сети в Configuration Manager включена, на центральном или основном сайте можно создать политики защиты доступа к сети Configuration Manager. Дочерние сайты наследуют эти политики защиты доступа к сети Configuration Manager с родительских сайтов.

Отключение защиты доступа к сети в Configuration Manager

Если защита доступа к сети в Configuration Manager 2007 больше не нужна, выполните описанные ниже процедуры.

    Необходимо перенастроить или удалить политики на серверах политики сети Windows, чтобы они не ссылались на средство проверки работоспособности системы Configuration Manager. Это достигается за счет перенастройки политик работоспособности или выбора в политиках сети другой политики работоспособности, которая не содержит средство проверки работоспособности системы Configuration Manager.

Если защита доступа к сети отключена для всех иерархий Configuration Manager, удалите все политики защиты доступа к сети Configuration Manager на центральном или основном сайте, где они были созданы.

Отключите агент клиента защиты доступа к сети. Эта настройка вступит в действие на клиентах при следующей загрузке политики клиента. Это произойдет через установленный в расписании промежуток времени (который по умолчанию равен 60 минутам, но может быть изменен с помощью параметра Интервал опроса политики на вкладке Свойства агента клиента компьютера: вкладка «Общие»). При необходимости последнюю политику клиента также можно загрузить локально на клиент Configuration Manager или с помощью сценария. Дополнительные сведения см. в разделе Инициация получения политики для клиента Configuration Manager.

Пока клиент, на котором отключен агент клиента защиты доступа к сети, не получит новую политику клиента, он будет продолжать устанавливать соответствие с политиками защиты доступа к сети Configuration Manager.

Удалите точку средства проверки работоспособности системы в роли системы сайта на компьютерах с сервером политики сети Windows.

После отключения защиты доступа к сети на начальной странице по-прежнему будут отображаться данные, пока они не устареют, и узел Политики в разделе Защита доступа к сети будет видимым, пока не будет обновлен узел Защита доступа к сети или перезагружена консоль Configuration Manager.

10 фактов, которые нужно знать о технологии защиты сетевого доступа NAP системы Vista

Технология защиты сетевого доступа Microsoft Network Access Protection (NAP) встроена в клиентские операционные системы Windows Longhorn Server и Windows Vista, она расширяет функциональность службы Network Access Quarantine Control в Windows Server 2003. Эта технология позволяет администраторам проверять состояние всех клиентов (а не только постоянных удалённых), подключённых к сети компьютеров в соответствие с принятым требованиям политики безопасности.

Несоответствующие тем или иным требованиям машины будут направляться в специальную сеть с ограниченным доступом, где смогут снабдить свои системы недостающими для нужного уровня соответствия ресурсами.

Ниже перечислены 10 основных фактов, которые необходимо узнать перед тем, как внедрить NAP в сеть.

NAP — добавочная функция

NAP не занимает нишу таких защитных механизмов сети, как брандмауэры, приложения по борьбе с вредоносным ПО и системы обнаружения вторжений. Эта технология ни в коей мере не способна предотвратить несанкционированный доступ в сеть. Вместо этого она помогает защитить от атак и действий вредоносных программ подключённые к сети компьютеры, система защита и конфигурация которых оставляет желать лучшего.

NAP может работать в режиме мониторинга или в режиме изоляции

В режиме мониторинга авторизированные пользователи получают доступ к сети даже в том случае, если их состояние их систем не удовлетворяют требованиям безопасности. Этим машинам присваивается соответствующий статус и администраторы могут дать пользователям необходимые инструкции. В изоляционном режиме неудовлетворяющие требования безопасности компьютеры переводятся в специальную карантинную сеть, где смогут установить все недостающие для утверждения ресурсы.

Можно выбирать критерии соответствия

Критерии соответствия включают наличие обновлений, «заплаток» и последних защитных патчей, антивирусных и антишпионских программ, брандмауэров и включенной службы автоматических обновлений Windows. Настроить эти критерии можно при помощи серверного средства оценки состояния систем System Health Validator (SHV).

NAP-сервер должен быть встроен в Windows Longhorn Server

NAP-сервер — это Сервер политики безопасности (Network Policy Server, NPS). NPS заменит в Longhorn службу аутентификации Internet Authentication Service (IAS), которая является частью Windows Server 2003 и отвечает за аутентификацию и авторизацию. В состав NAP входят сервер управления и координации политики NAP Administration Server и сервер определения соответствия NAP Enforcement Server. Компонент System Health Validator (SHV) запускается на сервере.

NAP требует от клиентских компьютеров наличия клиентского приложения NAP

Клиенты NAP для Windows Vista и Windows XP должны появиться с выходом Windows Longhorn Server. Агент System Health Agent (SHA) запускается на клиентских системах. Если машины сети работают на операционных системах, не поддерживающих NAP, можно внести их в список исключений, чтобы позволить им дальше работать в сети. Если же этого не сделать, не поддерживающие NAP компьютеры смогут получить доступ только к специальной карантинной сети.

SHA представляет заявление о работоспособности Statement of Health (SoH), основанное на состоянии клиентской системы

Приложение NAP добавляет SoH к SHV. SHV подключается к серверу политики безопасности Policy Server и определяет, соответствует ли описанный в SoH статус работоспособности клиентской системы требованиям принятой политики. Если да, то компьютер получает полный доступ к ресурсам сети. Если нет (в режиме изоляции), то компьютер получает доступ только к карантинной сети, где на специальных серверах коррекции (Remediation servers) содержатся все необходимые обновления и программы, наличие которых требуется для получения полного доступа.

Использование сертификатов работоспособности для оптимизации процесса проверки

Чтобы сервер Longhorn мог выполнять функции центра сертификации CA и выдавать сертификаты работоспособности, необходимо наличие служб Internet Information Services (IIS) и служб сертификации Certificate Services. Такой компьютер будет называться сервером авторизации работоспособности (Health Registration Authority, HRA). Клиент NAP будет отправлять заявление SoH серверу HRA, который в свою очередь будет посылать его на NPS-сервер. NPS-сервер будет связываться с сервером политики безопасности Policy Server, чтобы проверить SoH. Если проверка пройдёт успешно, сервер HRA выдаст клиенту сертификат работоспособности, который впоследствии можно использовать для идентификации по протоколу IPSec.

Четыре механизма ограничения доступа NAP

Для ограничения по протоколу IPSec (IPSec enforcement) используются сервер HRA и сертификаты X.509. Для ограничения по стандарту 802.1x (802.1x enforcement) используется компонент EAPHost NAP EC для проверки клиентов, подключающихся через точку доступа 802.1x (это может быть точка беспроводного доступа или Ethernet-коммутатор). Профили ограниченного доступа могут состоять из набора IP-фильтров или идентификаторов виртуальной локальной сети VLAN, предназначенные для направления компьютера в карантинную сеть. Для ограничения по идентификатору VPN (VPN enforcement) используются VPN-сервера в момент попытки подключения через виртуальную частную сеть. Для ограничения по протоколу DHCP (DHCP enforcement) используются DHCP сервера в момент, когда компьютер пытается арендовать или обновить конфигурацию IP-адреса в сети. Можно использовать как один, так и все методы ограничения доступа.

Доступ ограничен только тем компьютерам, которые входят в сеть по одному из вышеописанных методов

DHCP enforcement — самый простой и самый дорогой метод ограничения доступа, потому что все клиентские компьютеры DHCP должны будут арендовать IP-адреса (за исключением тех машин, которым присвоены статические адреса). Но самым надёжным методом является ограничение по IPSec. Даже при ограниченном доступе компьютер моет подключаться к DNS и DHCP-серверам, равно как и к серверам коррекции. Можно также разместить дополнительные DNS-серверы или включить их в карантинную сеть с ограниченным доступом вместо основных.

NAP отличается от службы защиты сетевого доступа Network Access Quarantine Control в Windows Server 2003

NAP можно применять абсолютно ко всем, а не только к подключенным удалённым системам сети. То есть с помощью NAP можно проверять и управлять состоянием как временно подключающихся к сети ноутбуков, так и местных настольных систем. NAP легко внедрить, поскольку в отличие от NAQC для её развёртывания не требуется создавать произвольные коды и производить настройку вручную посредством инструментов командной строки. Вдобавок сторонние производители ПО могут использовать интерфейс NAP для создания NAP-совместимых компонентов проверки состояния системы и ограничения сетевого доступа. NAP и NAQC можно использовать одновременно, но в большинстве случаев NAP удачно заменит NAQC.

Ссылка на основную публикацию
Adblock
detector