Bug Online

Zaštita mreže izazov je broj jedan u većini današnjih tvrtki. Ono što komplicira posao zaštite jest velik broj ljudi koji trebaju pristup računalnoj mreži, uključujući stalne zaposlenike koji rade na stolnim računalima, trgovačke putnike koji koriste prijenosna računala, radnike od kuće (teleworkers) te eventualne goste. Kontroliranje sigurnosnog stanja svakog računala koje se želi spojiti na mrežu izuzetno je teško, a dozvoljavanje pristupa mreži računalu koje je zaraženo malicioznim kôdom znači dozvoliti malicioznom kôdu pristup svim ostalim računalima unutar mreže.
U Windows Server 2008 ugrađena je platforma pod nazivom Network Access Protection (NAP), koja administratorima omogućava pojednostavljeno ispitivanje sigurnosnog stanja računala koje se želi spojiti na mrežu te dopuštanje ili odbijanje pristupa mreži na osnovu tog stanja. NAP nije dizajniran za zaštitu mreže i njegova namjena nije zamijeniti vatrozide, antivirusne programe ili druge sigurnosne elemente. NAP je dizajniran da radi zajedno s ovim elementima kako bi osigurao da uređaji na mreži ispunjavaju uvjete koje je definirao administrator.

Pretres gosta na ulazuNabildani izbacivač je poprilično inteligentan te pruža podršku za 4 procesa.
Provjera ispunjavanja sigurnosnih zahtjeva (health policy validation). NAP može provjeriti jesu li sigurnosne postavke računala koje želi pristupiti mreži u skladu sa sigurnosnim postavkama koje je odredio administrator. Na primjer, jedan od zahtjeva može biti da računalo ima instaliran vatrozid, ili da računalo ima instalirane najnovije zakrpe.
Zabrana pristupa mreži (network access limitation). NAP može limitirati ili potpuno zabraniti pristup mrežnim resursima onim računalima koja ne ispunjavaju postavljene zahtjeve. Limitiranje pristupa se može odnositi na zabranu pristupa svim ostalim računalima na mreži ili na stavljanje tog računala u karantenu u određenu podmrežu. Također je moguće dozvoliti računalu koje ne prođe provjeru potpuni pristup na mrežu, te samo pratiti njihovu prisutnost na mreži te raditi izvještaje.
Automatsko ispravljanje (automatic remediation). NAP može automatski popraviti računala koja ne prolaze sigurnosne kriterije. Na primjer, ako prijenosno računalo koje nema instalirane najsvježije sigurnosne zakrpe pokuša pristupiti mreži, NAP će to računalo prepoznati te ga staviti u karantenu, u podmrežu gdje ono može pristupiti samo serverima za ažuriranje (Windows Server Update Services - WSUS). Nakon toga, NAP će uputiti računalo na WSUS servere i reći mu da skine zakrpe sa njega. Nakon što računalo skine i instalira zakrpe, NAP će mu dopustiti pristup glavnoj mreži. Automatsko ispravljanje poput ovoga omogućava NAP-u ne samo zabranu pristupa mreži računalima koja ne ispunjavaju sigurnosne kriterije, nego mu omogućuje pomaganje tim računalima da instaliraju potrebne zakrpe i programe kako bi prošla sigurnosne zahtjeve. Naravno, moguće je isključiti automatsko ispravljanje te samo korisniku objasniti zašto mu je onemogućen pristup mreži te što treba učiniti kako bi prošao sigurnosne provjere.
Provjera u realnom vremenu (ongoing compliance). NAP ne provjerava računala samo onda kad ona zatraže pristup na mrežu, nego to radi čitavo vrijeme dok su ona priključena na mrežu. Na primjer, administrator je postavio uvjet da na računalima koja žele pristupiti mreži postoji instaliran i pokrenut vatrozid. Računalo na kojem je instaliran operacijski sustav Windows Vista želi pristup mreži te, budući da je na njemu pokrenut vatrozid, NAP mu to i dopušta. U nekom trenutku rada na mreži vlasnik računala odluči isključiti vatrozid. Ako je NAP ispravno konfiguriran, on će automatski ponovno uključiti vatrozid. Naravno, moguće je i isključiti automatsko uključivanje vatrozida te automatski zabraniti pristup mreži tom računalu.