Klient NAP dla Windows XP, który wchodzi w skład trzeciego Service Pack wraz z samym dodatkiem osiągnął status RTM (”released to manufacturing”). Obecnie Service Pack 3 testować mogą już subskrybenci TechNet i MSDN, zaś na wczoraj zapowiadana była publiczna premiera dla angielskich wersji językowych.

W poniższej, krótkiej publikacji chciałbym pokazać w jaki sposób należy skonfigurować klienta NAP w przypadku systemów Windows Vista i Windows XP SP3.

Wprowadzenie do Network Access Protection

Network Access Protection - pisząc w dużym skórcie - to zbiór komponentów zawartych w systemie Windows Server 2008 pozwalajacych na stworzenie platformy weryfikacji “zdrowia” komputerów, które chcą komunikować się lub uzyskać dostęp do sieci prywatnej. Uzyskiwane jest to poprzez implementację, trafniej ujmując “granulację” wprowadzanych polityk. Przykładowo: komputer kliencki próbuje uzyskać dostęp do naszej prywatnej sieci, “przedstawia” stan zdrowia systemu. Jeżeli stan zdrowia systemu został zweryfikowany jako pozytywny (na podstawie polityk, które wprowadziliśmy), klient uzyskuje dostęp do sieci, jeżeli nie, komputer teoretycznie dostępu nie ma wcale lub do bardzo wąskiej liczby zasobów do czasu, aż “uchybienia” bezpieczeństwa zostaną skorygowane.

Komponentami architektury NAP są tzw. System Health Agents (SHA) oraz System Health Validators (SHV). Mówiąc o SHA mamy na myśli komponent z systemów Windows Vista oraz Windows XP Service Pack 3, który pełni funkcję “monitora” stanu Windows Security Center (Centrum Zabezpieczeń). SHV zaś to moduł z Windows Server 2008. Za ”wymuszanie” polityk zdrowia dla poszczególnych rodzajów połączenia odpowiadają “Enforcement Components“: Enforcement Clients i Enforcement Servers. Microsoft podaje w oficjalnej dokumentacji, że na całą infrastrukturę sieci z włączonym Network Access Protection składają się następujące elementy: NAP clients (czytaj następny akapit), NAP enforcement points (komputery bądź urządzenia korzystające z NAP bądź używane z NAP do weryfikacji kondycji zdrowia klientów), NAP health policy servers (komputery z działającym systemem Windows Server 2008 i usługą NAP, przechowuje polityki wymgań stanu zdrowia oraz weryfikujestan klienta) , health requirement servers (dostarczają aktualny stan zdrowia dla NAP health policy servers), AD Domain Service (usługa katalogowa Windows, która przechowuje dane kont i ustawienia oraz dane Group Policy) i restricted network (oddzielna, odseparowana sieć).

Wracając do tematu: “Czym jest klient NAP?”. Klient NAP to komputer, który wspiera platformę Network Access Protection. Na tym etapie warto napisać, jakie wersje systemów Windows mogą działać jako klient NAP - są to Windows Server 2008, Windows Vista oraz wspomniany w tytule Windows XP z Service Pack 3. I tu można zadać dodatkowe pytanie - “Słyszałem o kliencie NAP dla Windows XP SP2.” Owszem, taki oddzielny klient NAP dla SP2 był dostępny w programie beta, ale w tej chwili już wiadomo, że projekt nie będzie rozwijany i jedynym sposobem na rozwiązanie problemu jest aktualizacja XP SP2 do SP3.

Konfiguracja klientów wymuszania przy użyciu przystawki “Konfiguracja klienta ochrony dostępu do sieci”

W Windows Vista mamy do dyspozycji przystawkę Network Access Protection Client Configuration (napclcfg.msc), która umożliwia włączenie Enforcement Clients jednym kliknięciem (jak to przedstawiono na poniższym zrzucie). Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokunujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona).

Niestety w przypadku Windows XP przystawka nie jest dostępna, dlatego posłużymy się wierszem poleceń.

Konfiguracja klientów wymuszania za pomocą polecenia netsh

Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokonujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona). Następnie uruchamiamy Network Access Protection Client Configuration (Start -> pole wyszukiwania: napclcfg.msc. Wybieramy Klienci wymuszania.

Drugim sposobem na włączenie klienta wymuszania jest odpowiednie użycie polecenia netsh. Uruchamiamy wiersz polecenia z podwyższonym poziomem uprawnień. Wpisujemy:

netsh nap client set enforcement ID = 79617 ADMIN = “ENABLE”

Czym jest liczba w polu ID? Jest to identyfikator klienta wymuszania (79167 dla klienta egzekwowania protokołu DHCP; 79619 dla klienta egzekwowania zasad IPsec; 79623 dla klienta egzekwowania protokołu EAP; 79618 dla klienta egzekwowania dostępu zdalnego; 79621 dla klienta egzekwowania bramy usług terminalowych). Aby zmiany mogły zostać wprowadzone musimy ponownie uruchomić komputer.

Przy użyciu przystawki możemy również importować/eksportować ustawienia klienta NAP z/do pliku xml. W tym celu należy uruchomić napclcfg.msc, następnie wybrać opcję jak to przedstawiono poniżej:

Podsumowanie

Jak widać w przypadku Windows XP z Service Pack 3 sposób konfiguracji nie różni się znacząco od kroków jakie należy wykonać w Windows Vista. Mam nadzieję, że niniejszy post w podstawowym stopniu wyjaśnił czym jest NAP i jak należy go skonfigurować po stronie klienta. Na stronach Microsoft znajdziemy bardzo wiele artykułów, webcastów, dokumentacji etc., polecam odwiedzić Microsoft TechNet  ;-).