Вход
Microsoft.com
 
TechNet - Только для профессионалов. Специально для Вас.
 
 
 
TechNet - Только для профессионалов. Специально для Вас. > Форумы > Форумы Серверные ОС Windows > Windows Server 2008 > FAQ по Network Access Protection (NAP)
Задайте вопросЗадайте вопрос
Поиск по форумам:
 

Общие обсужденияFAQ по Network Access Protection (NAP)

  • 10 июля 2008 г. 11:41Adminoff Медали пользователяМедали пользователяМедали пользователяМедали пользователяМедали пользователя
     
    Войдите в систему, чтобы проголосовать
    0
    Войдите в систему, чтобы проголосовать

    А что такое "сервер автовосстановления"? Чем он отличается от сервера для автоматического обновления? Каковы его функции и какое ПО может быть использована для этой роли?

    Василий Гусев: Это просто термин сервера, помогающего клиенту придти в соответствие с корпоративными политиками. Это может быть WSUS, SMS, или просто веб-сервер с выложенными обновлениями и дистрибутивом антивируса.

     

    Каким образом идет проверка необходимых обновлений или версий ПО? Возможно обойти это, подставив ложную информацию?

    Василий Гусев: Да, конечно. Теоретически, возможно сфабриковать. Как уже было сказано, NAP это не барьер безопасности, это лишь средство её повышения.

     

    Что есть "карантиная сеть"?

    Василий Гусев: В зависимости от метода принуждения. В случае DHCP это просто адрес из другого диапазона, в случае 802.1x - это отдельный VLAN, в случае IPSEC - незащищенная сеть, без доступа в защищенную.

     

    Проверка "здоровья" клиента происходит постоянно или только при подключении к сети? Что будет, если после успешного подключения клиент у себя отключит firewall, NAP переведет его в карантин?

    Василий Гусев: Да, переведет. Проверка производится в момент подключения и периодически.

     

    Каким образом я могу ввести машину в домен в случае IPSEC принуждения?

    карантин?

    Василий Гусев: С помощью отсроченного принуждения, то есть клиент будет изолирован только после некоторого времени, если не придет в соответствие с политиками.

     

    Что если сервер востановления подвергся DOS-атаке, есть ли вероятность, что все неверные клиенты сразу будут попадать в основную сеть?

    Василий Гусев: Они не получат адрес DHCP или Сертификат, соответственно никуда не попадут.

     

    "Нездоровый" клиент будет проинформирован в автоматическом режиме о том, что именно в его ПО не соответствует политике?

    Василий Гусев: Да, более того, при соответствующих настройках - причина может быть автоматически исправлена. Например, включится отключенный файрволл

     

    Будет ли реализован NAP client для Windows Server 2003?

    Василий Гусев: Да, - http://blogs.technet.com/nap/archive/2006/05/17/444119.aspx

     

    Может ли работать сервер 2008 одновременно с запущеными ролями NAP и AD?

    Андрей Бешков: Сможет. Но это не рекомендуется, т.к нарушает фундаментальный принцип дизайна. Предполагается что клиенты с неудовлетворительным здоровьем должны общаться только с NPS сервером и Remediation сервером, а не с AD