我正在学习 Windows Server 2008 R2 的 NAP 功能。我了解网络访问控制 (NAC) 是什么以及 NAP 在其中扮演什么角色,但我想知道它有哪些限制和问题,人们希望在推出它之前知道这些限制和问题。
其次,我想知道是否有人成功地在中型(多城市企业网络,大约有 15 台服务器、200 台台式机)环境中推广了它,其中大多数(99%)是 Windows XP SP3 和较新的 Windows 客户端(Vista 和 Win7)。它与您的防病毒软件兼容吗?(我猜 NAP 与大牌防病毒产品配合得很好,但我们使用的是 Trend micro。)我们假设服务器都是 Windows Server 2008 R2。我们的 VPN 是思科的产品,有自己的 NAC 功能。
NAP 是否真的使您的组织受益?推行它是否明智?或者它只是 Windows Server 2008 R2 众多功能中的一项,但是如果您确实将服务器迁移到它,您可能不会想使用它。
在哪些具体方面内置 NAP 解决方案可能是最佳解决方案,以及在哪些具体方面根本没有解决方案(NAP 之前的现状)或第三方端点安全或 NAC 解决方案可能被认为更合适?
我找到了一篇文章,其中 2007 年一组安全专家表示 NAC 可能是“不值得“。现在有了 Win Server 2008 R2,2010 年的情况会好一些吗?
答案1
说实话,我认为现在这样做不值得,因为有几个主要的规定。
首先,DirectAccess 是 NAP 的一大亮点。然而,DirectAccess 只能在 IPSec 安全的内部网络上使用,使用 IPv6,并且只能与 2008 R2 和 Windows 7 客户端配合使用。
因此,旧版操作系统已被淘汰,这很不幸,因为大多数企业尚未全面采用 Windows 7。
第二个原因,这个原因更加个人化,因为这实际上是微软在这类技术上的第一次尝试(也许是第二次),而微软通常直到第三次迭代才会确定可用性和可安装性因素。
我的建议是?现在就远离它。给它一些时间让它发展成为一种产品和技术。
答案2
一定要尝试一下,因为随着时间的推移,此功能(以及 DirectAccess)将变得更加强大和可靠。
当您考虑 NAP 时,不要想着全有或全无。问问自己“您想保护什么场景”。Wifi、VPN 或所有网络连接。最终目标是在所有交换机端口上使用 802.1x,这样您的计算机在启动时就会在网络上被隔离,但这通常是一项艰巨的任务,存在各种陷阱(交换机兼容性、操作系统部署等)。
假设你有一个坚如磐石的补丁/WSUS 系统,并且你的 AV 支持 NAP,你可以尝试为 VPN 用户测试它……您信任的计算机从谁也不知道的地方进入您的网络,这是“高风险”的情况。也许您只是想先担心它们,如果它们没有更新,则在初始连接时隔离它们。如果您的 VPN 解决方案是纯 Microsoft 的,那么仅为 VPN 测试和部署它的工作量就不会很大,因为您已经拥有 95% 的解决方案(IAS、RRAS、WSUS 等)。
2-3 年前,当 Server 2008 刚发布时,我们就对它进行了概念验证,准备部署到几千台笔记本电脑上,但预算不足以支持将其投入生产所需的测试和培训。不过我们在实验室里进行了测试。