NAP还没有实施在任何产品中,不过这项方案得到了60多家厂商的支持,其中许多厂商为了保险起见,同时支持NAC。
NAP把安全策略管理和执行功能集成到了Windows Server中——自活动目录的早期以来,Windows Server就多少缺乏这种功能。
微软公司负责NAP的Windows Server事业部的集团产品经理Mike Schutz说:“NAP将会提供通过各种机制来执行策略的功能,使用验证主机的IPSec、802.1X,或者通过VPN或DHCP。”
与NAC一样,NAP也使用客户软件:隔离代理(Quarantine Agent),把信息传送到微软的网络策略服务器;与思科的ACS一样,网络策略服务器也与第三方服务器一起检查遵从策略的情况。NAP承诺会提供多种执行选项,包括DHCP、IPSec VPN和802.1X。
NAP最初将单单支持XP SP2、Longhorn Server和Windows Vista,需要在每个设备上安装NAP更新。这将给使用旧版本Windows的公司带来问题,而且需要使用新的操作系统,还要测试及管理XP升级。另外,验证和执行服务器即DHCP和RADIUS服务器将需要Longhorn,这就需要进一步升级,NAP的专有性因而更明显了。
Schutz说:“我们并不认为NAC和NAP是两者择一的情况。我们已宣布,我们将开展互操作性解决方案方面的合作,那样客户就可以选择满足自身需求的最佳方案。”不过,微软和思科目前都还没有与TCN解决方案兼容,眼下也没有这方面的计划。
佐治亚州富尔顿县政府已经在试用NAP,使用早期版本的微软服务器和Vista桌面电脑及笔记本电脑。
负责管理该县IT部门部署NAP的Keith Dickie说:“一切都仍处于测试中。不过我们的几名IT员工正在生产环境的机器上使用NAP,没有任何问题,包括把赛门铁克的诺顿反病毒软件与微软的SMS和Windows服务器集成起来。”
该县在使用IPSec验证,部署的NAP可以检查一系列健康要求,包括确保诺顿反病毒软件的版本最新。
可信计算组织的TNC
TNC由支持一批开放标准的几十家业界重量级公司(思科除外)组成。好消息就是,标准或多或少符合之前提到的网络访问控制安全的五个要求:策略定义、检测、评估、执行及补救。坏消息是,不是所有标准都已经得到了定义;糟糕的是,也没有多少产品支持真正实施解决方案所需要的大部分标准。
TNC的关键要素是支持RADIUS和802.1X验证服务器和协议的功能,另外还有端点上的可信硬件芯片和软件。
TNC的联合主席、Juniper Networks公司的产品经理Steve Hanna说:“这可不是需要全面改动的叉车式升级(forklift upgrade)。”它与思科采用的方案有着尤其明显的区别,后者使用思科的ACS验证服务器。
名为可信平台模块(TPM)的一种公钥基础设施(PKI)芯片增强了验证功能,有助于通过硬件实现方案来防止软件遭到潜在破坏,从而保护笔记本电脑的安全,远离未授权用户,比如窃贼或者仅仅捡到丢失笔记本电脑的人。
Hanna说:“如今你根本没法信任软件,因为PC可能遭到了零日漏洞(zero-day vulnerability)或者用户通过互联网下载的东西的破坏。要发现这个问题,惟一的办法就是借助可信硬件。”许多笔记本电脑厂商已经把可信硬件模块添加到了各自的产品线当中,包括戴尔、富士通、惠普和联想。
一旦验证检查获得通过,可信硬件里面的程序就会把控制权交给第三方软件代理,由代理检查设备遵从策略的情况,与负责处理网络验证和登录访问的TNC架构协同工作。作为一项开放标准,TNC有望使用任何一种执行机制。
思科的竞争对手Juniper已经在提供符合TNC的产品,这不足为怪。Juniper之前收购了开发RADIUS服务器产品的Funk软件公司。
文章地址: http://www.qqread.com/net-saft/a401227.html
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
相关专题
- 三年不重装 令Windows百毒不侵13妙招 (239次浏览)
- 另类的杀毒 Windows的安全模式下杀毒 (41次浏览)
- 十二种常用的密码破解法 (37次浏览)
- “艳照门”事件的启示 电脑安全防范手册 (36次浏览)
- 系统刚重装后 避免病毒攻击的十招 (36次浏览)
- 过年、生意两不误 侠诺教您防攻击(网吧篇) (35次浏览)
- 网络安全中能起重大作用的三条Windows命令 (35次浏览)
- 内网中快速解决ARP引致的掉线 (35次浏览)
- 五步保障:高效安全维护局域网经验分享 (32次浏览)
- 基础知识 黑客域名劫持攻击详细步骤 (30次浏览)
