Portal Zarządzających Bezpieczeństwem

Czym jest Network Policy Server (NPS) w Windows Server 2008, jak zastępuje on usługę IAS (Internet Authentication Service), jak go pobrać oraz w jaki sposób może on pomóc.

Zazwyczaj kiedy chciałem dokonać jednego z tych zadań w Windows 2000 albo 2003 Server, mogłem użyć usługi Microsoftu Internet Authentication Service (IAS). Jednak w Windows Server 2003, zorientujesz się szybko, że IAS został zastąpiony przez Network Policy Server (NPS).

Więc co to jest NPS i jak może on pomóc?

Czym jest Microsoft Server 2008 Network Policy Server?

NPS nie tylko zastępuje IAS, ale potrafi od niego sporo więcej. Wielu z nas może oczekiwać w Windowsie 2003 tego samego co w IAS, jednak kiedy zainstalujemy NPS, przekonamy się, że posiada on sporo więcej nowych funkcjonalności.

Oto w czym NPS jest TAKI SAM jak IAS:

• Trasowanie LAN i WAN.
• Zezwalanie na dostęp do lokalnych zasobów poprzez Wirtualną Sieć Prywatną (VPN) albo poprzez połączenia modemowe.
• Stworzenie i wprowadzenie dostępu do sieci poprzez Wirtualną Sieć Prywatną (VPN) albo poprzez połączenia modemowe.

Przykładowo NPS dostarcza poniższych funkcji:

• Usługi VPN
• Usługi połączeń modemowych
• Chroniony dostęp 802.11
• Trasowanie i Dostęp Zdalny (RRAS)
• Uwierzytelnianie poprzez Windows Active Directory
• Kontrola dostępu do sieci poprzez polityki

To, co jest nowego w NPS, to wszystkie jego funkcje związane z ochroną dostępu do sieci (Network Access Protection – NAP). Na przykład: System Health Validators, Remediation Server Groups, Health Policies i inne.

NPS jest składnikiem Windows 2008 Server. Oznacza to, że instaluje się go poprzez „dodanie składnika”, jak poniżej:

Rys. 1: Dodawanie składnika NPS

Następnie wybierz Network Policy and Access Services:

Rys. 2: Wybieranie roli NPS

Rys. 3: Ekran z przeglądem informacji o NPS

Teraz wybierz usługi, które chcesz zainstalować. Zauważ, że jeśli wybierzesz Health Registration Authority albo protokół Host Credential Authorization, dostaniesz wskazówki, aby zainstalować więcej zadań dla swojego serwera (takich jak serwer sieciowy IIS). Obie te usługi są związane z NAP Microsoftu albo NAC Cisco.

Żeby wejść w tę listę nieco głębiej, dodam, że usługa Network Policy Service jest w gruncie rzeczy serwerem RADIUS, który poprzednio widziałeś w IAS. Usługi RRAS są drugą częścią tych tradycyjnie występujących w IAS. Skoro teraz występują oddzielnie, masz wybór co zainstalujesz.

Rys.4: Wybieranie opcji instalacyjnych NPS

Po wybraniu opcji i naciśnięciu „Next”, zobaczysz ostatni ekran potwierdzenia, na którym możesz nacisnąć „Install”.

Jak zarządzać NPS?

Jeśli szukasz tradycyjnych funkcji IAS, najłatwiejszym sposobem zarządzania usługami nowego NPS jest skorzystanie z Windows 2008 Server Manager. W jego wnętrzu zobaczysz Roles, a wewnątrz znajdziesz Network Policy and Access Services, jak poniżej:

Jak widać, znajdują się tu 3 usługi związane z NPS: network policy server (nazwany IAS), remote access connection manager (RasMan), oraz usługa routing and remote access (nazywana RemoteAccess). Dla tych, którzy używają IAS, nazwy tych usług będą wydawać się znajome.

Aby skonfigurować i zarządzać odzielną usługą Network Policy Server (NPS), istnieje nowe narzędzie administracyjne w Windows 2008 Server, zwane Network Policy Server.

Jak łatwo zauważyć, dział RADIUS Clients and Servers jest znajomy, tak samo jak dział Policies. Zmianie uległo to, że stary IAS „Remote Access Loging” został nazwany „Accounting” oraz występuje nowy plik Network Access Protection.

Jednak to, że interfejs i nazwa dla IAS są nowe, nie jest najistotniejsze. Zasadnicza różnica polega na funkcji ochrony dostępu do sieci (Network Access Protection), którą zapewnia NPS.

Architektura Serwera Polityki Sieciowej

Istnieje wiele części składowych architektury Serwera Polityki Sieciowej. Poniższy rysunek po raz pierwszy został opublikowany przez Microsoft TechNet w artykule zatytułowanym „Network Policy Server Infrastructure”.

Jak widać na powyższym rysunku, serwer NPS, który zainstalowaliśmy w tym artykule, jest jednym z wielu składników w całej infrastrukturze NPS. Nie wszystkie te składniki są wymagane. Wymagane składniki infrastruktury zależą od funkcji, którą próbujesz wykonać.

Na przykład: we wstępie mówiłem o tym, jak chciałbym używać NPS do uwiarygodniania urządzeń Cisco w sieci, używając usługi RADIUS. W tym celu wszystko czego potrzebuję, to serwer NPS RADIUS oraz serwer NPS. Router Cisco (albo inne urządzenie sieciowe) mógłby być kientem NPS RADIUS. Serwer NPS RADIUS akceptuje prośby użytkowników sieci o ich uwierzytelnienie. Serwer NPS RADIUS zwykle sprawdza z serwerem Network Policy Server, czy on akceptuje prośbę uwierzytelnienia pochodzącą od klienta RADIUS oraz czy kryterium polityki jest spełnione. Jeżeli tak, wtedy uwierzytelnienia są przesłane, zwykle do Windows Active Directory (AD) do zatwierdzenia. Jeśli zostaną one zatwierdzone, taka uwierzytelniona prośba jest odsyłana do klienta NPS RADIUS (sieciowe urządzenie, takie jak router Cisco, w moim przykładzie).

W połączeniu z klientem NAP Microsoftu, Microsoft nazywa Network Policy Server „platformą wprowadzenia polityki zdrowia systemu“ (ang: „system health policy enforcement platform”). Ja jednak ciągle uważam, że NPS to serwer AAA (authentication, authorization, accounting). Jeśli potrzebujesz jedynie tradycyjnego serwera RADIUS, nie zauważysz specjalnej różnicy przy korzystaniu z NPS. Jednak zachęcam do przyglądnięcia się jak NPS może pomóc w całkowitym rozwiązaniu Network Access Protection (NAP) w firmie. Dopuszczając do sieci jedynie te komputery, które mają odpowiednie aktualizacje, aktualne definicje antywirusowe, jak i odpowiednio ustawioną zaporę sieciową, cała firma będzie bezpieczniejsza.

Źródło: www.windowsnetworking.com

Tłumaczenie: Monika Palonek, Bielsko-Biała