我正在学习Windows Server 2008 R2的NAPfunction。 我知道networking访问控制(NAC)是什么,NAP在这方面扮演了什么angular色,但是我想知道他们有什么限制和问题,人们希望他们在推出之前知道这些限制和问题。
其次,我想知道是否有人成功地推出了一个中等规模(多城市企业networking,大约15个服务器,200个桌面)环境,大多数(99%)Windows XP SP3和更新的Windows客户端Vista和Win7)。 它与您的反病毒工作? (我猜NAP可以和大名鼎鼎的防病毒产品配合,但我们正在使用Trend micro。)。 假设服务器都是Windows Server 2008 R2。 我们的VPN是思科的东西,并有自己的NACfunction。
NAP实际上是否有利于您的组织,是否明智地推出,还是Windows Server 2008 R2所做的一大堆事情中的又一个,但是如果您确实将服务器移动到了该位置,那么很可能不想去用。
内置的NAP解决scheme可能以哪种特定的方式最好,以什么特定的方式解决scheme(NAP之前的现状)或第三方端点安全或NAC解决scheme更合适?
我发现了一篇文章,2007年的安全专家小组认为NAC可能“ 不值得 ”。 Win Server 2008 R2在2010年现在情况会好吗?
由于一些重大的规定,我完全诚实地认为现在这个麻烦是不值得的。
首先,DirectAccess是NAP的展示function之一。 但是,DirectAccess只能在IPSec安全的内部networking上使用IPv6,并且仅适用于2008 R2和Windows 7客户端。
所以,较老的操作系统已经出来,不幸的是,大多数企业还没有全面采用Windows 7。
第二个原因,这个更个人化,就是微软在这方面的技术真的是第一个(也许是第二个),而微软通常在第三次迭代之前并没有确定可用性和可安装性因素。
我的build议? 远离它现在。 给它一些时间来开发产品和技术。
因为这个function(和DirectAccess一起)只会随着时间的推移而变得更强大和可靠。
当你想到NAP的时候,不要全然思考。 问自己“你想保护什么scenerio”。 Wifi,VPN或所有networking连接。 所有的交换机端口都是802.1x,所以你的计算机在整个networking启动时被隔离,但是通常这是一个艰巨的任务(交换机兼容性,操作系统部署等)。
所以可以说,你有一个坚实的修补程序/ WSUS系统和AV支持的NAP,你可以尝试testing它的VPN用户…你可信任计算机的“高风险”scnerio进入你的networking谁知道从哪里。 也许你只是想在第一时间担心它们,如果它们没有更新,就会在初始连接时隔离它们。 如果您的VPN解决scheme是纯粹的微软,那么testing和部署这个仅仅用于VPN的工作量并不是很大,因为您已经有了95%的解决scheme(IAS,RRAS,WSUS等)。
我们在2 – 3年的时间里将服务器2008部署到数千台笔记本电脑上,但是预算不足以支持将其投入生产所需的testing和培训。 尽pipe在实验室工作。