Я изучаю возможности NAP в Windows Server 2008 R2. Я понимаю, что такое контроль доступа к сети (NAC) и какую роль в этом играет NAP, но я хотел бы знать, какие у него ограничения и проблемы, о которых люди хотели бы знать до того, как они его развернут.
Во-вторых, я хотел бы знать, удалось ли кому-нибудь развернуть его в среде среднего размера (корпоративная сеть с несколькими городами, около 15 серверов, 200 рабочих столов) с большинством (99%) Windows XP SP3 и более новых клиентов Windows ( Vista и Win7). Работал ли с вашим антивирусом? (Я предполагаю, что NAP хорошо работает с известными антивирусными продуктами, но мы используем Trend micro.). Предположим, что все серверы - это Windows Server 2008 R2. Наши VPN созданы cisco и имеют свои собственные функции NAC.
Действительно ли NAP принесла пользу вашей организации, и было ли целесообразно ее развернуть, или это еще одно из длинного списка того, что делает Windows Server 2008 R2, но если вы переместите на нее свои серверы, вы, вероятно, не собираюсь использовать.
В каких конкретных случаях встроенное решение NAP может быть лучшим, и в каких конкретных случаях вообще никакое решение (статус-кво до NAP), безопасность конечных точек сторонних производителей или решение NAC могут считаться более подходящими?
Я нашел статью, в которой группа экспертов по безопасности в 2007 году сказала, что NAC может быть "не стоит". С Win Server 2008 R2 в 2010 году дела обстоят лучше?
Играйте с этим демонстративно, поскольку эта функция (вместе с DirectAccess) со временем станет только более надежной и надежной.
Когда вы думаете о NAP, не думайте все или ничего. Спросите себя «какой сценарий вы хотите защитить». Wi-Fi, VPN или все сетевые подключения. Конечным вариантом является 802.1x на всех портах коммутатора, поэтому ваши компьютеры помещаются в карантин при запуске по сети, но обычно это огромная задача со всеми видами ловушек (совместимость коммутатора, развертывание ОС и т. Д.).
Допустим, у вас есть надежная система исправлений / WSUS, а ваш AV поддерживает NAP, вы мог попробуйте протестировать его для пользователей VPN ... это "повышенный риск" того, что ваши доверенные компьютеры попадают в вашу сеть неизвестно откуда. Возможно, вы просто хотите сначала побеспокоиться о них и поместить их в карантин при первоначальном подключении, если они не обновлены. Если бы ваше решение VPN было чисто Microsoft, не было бы огромного объема работы по тестированию и развертыванию его только для VPN, поскольку у вас уже было бы 95% решения (IAS, RRAS, WSUS и т. Д.).
Мы провели апробацию концепции 2–3 года назад, когда Server 2008 вышел для развертывания на нескольких тысячах ноутбуков, но не было бюджета на поддержку тестирования и обучения, необходимых для запуска его в производство. Хотя работал в лаборатории.
Честно говоря, я не думаю, что проблема того стоит прямо сейчас из-за нескольких важных условий.
Во-первых, DirectAccess - одна из ярких особенностей NAP. Однако DirectAccess будет работать только во внутренней сети, защищенной IPSec, с использованием IPv6 и только с клиентами 2008 R2 и Windows 7.
Итак, старые ОС больше не используются, что, к сожалению, так как большинство предприятий еще не внедрили Windows 7 в полную силу.
Вторая причина, которая носит более личный характер, заключается в том, что это действительно своего рода первый этап (возможно, второй) Microsoft в разработке подобных технологий, и Microsoft обычно не определяет факторы удобства использования и возможности установки до своей третьей итерации.
Мой совет? Держись подальше от этого прямо сейчас. Дайте ему время развиться как продукт и как технологию.