微软为windows专用商店提供免费、基本的NAC

尽管网络访问控制(NAC)尚未实现其最初的承诺,但NAC非常活跃,12家供应商参加了我们的NAC测试,其中包括业界领先的微软、惠普、瞻博、McAfee、赛门铁克和阿尔卡特朗讯。

供应商:Microsoft Network Access Protection (NAP),包括NAP客户端和网络策略服务器(NPS), NAP客户端包括所有版本的Windows (XP, Windows Vista和Windows 7);NPS是包含在Windows 2008服务器上的,免费到Windows商店,内置在产品中,大多数企业已经只有Windows,功能是相对原始的

产品:

定价(1000用户):

优点:

缺点:

点评:网络访问保护(NAP)是微软用于一套与终端安全遵从紧密相关的强制机制的术语。

NAC:哪里出了问题?

NAP基于一个windows客户端,它结合了端点安全检查和可选身份验证。开箱即用,微软NAP客户端使用Windows安全中心进行健康检查,提供一套相当基本的端点安全检查——反病毒、反间谍软件、防火墙、自动补丁。但是,可以将NAP客户端的健康检查替换为任何兼容NAP的第三方健康检查程序。

微软NAP将在全微软操作系统环境下工作得最好,所有设备都加入到Windows域。在这些情况下,可以通过正常的域配置工具来管理NAP客户机。没有域配置的便利,设置Microsoft NAP可能会很复杂,尽管有第三方供应商,比如Cloudpath Networks,他们已经在努力简化这一过程。

但是,即使有了这个额外的帮助,在NAP中仍然没有对专有门户、客户管理和基于mac的身份验证等工具的真正支持。如果您的NAC部署需要这些,您将不得不在Microsoft提供的基础上构建额外的机制。

Network Policy Server (NPS)是一个RADIUS服务器,它使NAP能够在具有网络边缘强制的802.1X环境中运行。尽管在802.1X场景中,NPS确实具有将VLAN和ACL信息传递给交换机的通用RADIUS功能,但在NPS中管理这些设置的设施相当原始,这使得它实际上只适合将VLAN分配作为一种访问控制强制技术。

阅读微软每日新闻

然而,NAP和NPS可以通过其他机制加强访问控制,因为NAP客户端和Windows之间的紧密联系。基于DHCP的强制执行(假设您正在使用Microsoft的DHCP服务器)仍然可用。微软自己的VPN服务器(路由和远程访问服务器)也与NAP绑定,因此通过RRAS连接的用户可以根据连接时的端点安全状态进行不同的访问。

而且,在LAN上的纯Windows环境中,每个人都遵守相同的规则,您可以使用IPsec作为一种强制机制。

微软的NAP肯定不是我们测试过的最实用的NAC策略,但它比其他策略有一个巨大的优势:它是Windows的内置策略。精明的网络管理人员会寻找绕过NAP弱点的方法,同时利用架构中强大的部分,如内置客户端和与Windows的轻松集成。

返回主测试。

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。

版权所有©2010 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题