Bespreking: NAP als volwaardige NAC?

De wereld van policygebaseerd netwerk- en systeembeheer heeft de afgelopen jaren een flinke evolutie doorgemaakt. Belangrijkste verandering is dat de verschillende standaarden van de Trusting Computing Group, Cisco en Microsoft samen zijn gesmolten tot een enkele set regels rond het beheren en het bekrachtigen van die policies. Hoewel er echt wel uitgebreidere en beter afgewerkte producten zijn die hetzelfde doen, zal Network Access Protection van Microsoft ondanks zijn duidelijke beperkingen ongetwijfeld zijn stempel drukken op homogene Windowsomgevingen.

NAP bestaat uit subsytemen voor clients en servers met een architectuur die is gebaseerd op ofwel 802.1X, ofwel DHCP, ofwel VPN's met VLAN-toewijzing om apparaten te isoleren indien nodig. Windows Server 2008 wordt geleverd met verschillende NAP-diensten, en Windows Server 2008 R2 zal die verder uitbreiden.

Clientondersteuning zit in Windows Vistas, Windows XP SP3 en Windows 7. Deze client-diensten verzamelen de statusgegevens van het systeem en sturen deze door naar de Windows Server, die de rapportages verder afhandelt. De NAP-componenten tonen de status van een apparaat in een scherm die lijkt op Windows Security Centre, met een systeemoverzicht, antivirus, de actieve firewall en andere beveiligingsgegevens die onder elkaar op het scherm staan.

De NAP-diensten analiseren vervolgens de algehele status van elk apparaat, vergelijken deze met de policies zoals gedefinieerd op de Network Policy Server en onderneemt op basis daarvan actie. NAP biedt ongeveer dezelfde toegangscontrole als andere NAC-producten, maar mist veel toeters en bellen die we elders wel hebben gezien.

NAP in R2

Microsoft gaat ondertussen rustig door met het ontwikkelen van nieuwe functies voor NAP en alles dat daarmee te maken heeft. Een paar verbeteringen in NAP voor Windows Server 2008 R2 moet vooral de uitrol beter laten verlopen. Zo kan de setup van de logging database geautomatiseerd worden, en worden er meerdere kant-en-klare configuraties geleverd voor de System Health Validator (SHV).

NAP vereist dat je meerdere databases instelt voor het beheer van het complete systeem, zoals dus die logging database. In de voorgaande versies betekende dat een uitgebreide en vaak tijdrovende SQL-gebaseerde configuratie. Dat is in R2 volledig geautomatiseerd, waardoor de beheerder dit monnikenwerk bespaard blijft.

Ook kreeg je voorheen slechts met één SHV-configuratie werken voor je hele omgeving, waardoor eventuele veranderingen aan de systeemeisen ook direct voor alle systemen moesten gaan gelden. Nu kun je verschillende policies toepassen op specifieke SHV-configuraties. Je kunt dus bijvoorbeeld differentiëren tussen systemen die direct aan het netwerk zijn gekoppeld en alleen een check van de antivirus krijgen, en systemen die via de VPN op je netwerk komen en waarvan je wellicht meer zou willen eisen.

Als R2 samen wordt gebruikt met Windows 7, krijg je daarnaast de beschikking over een gestroomlijnde omgeving voor remote access, waarmee beveiliging voor sessies voor Remote Workspace, Presentation Virtualization en Remote Desktop Gateway Services eenvoudiger kan worden ingesteld.