Название политики, используемой по умолчанию, хранится в параметре строкового типа ActivePolicy ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\IPSec\Policy\Local.
Конфигурация клиента NAPCLSID-номер оснастки: {albc4eca-66b2-44e8-9915-be02e84438ba}.
Библиотека: napsnap.dll.
Используется в стандартных консолях: NAPCLCFG.MSC.
Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно настроить параметры работы компонента NAP операционной системы, позволяющего блокировать сетевой доступ к вашему компьютеру другим компьютерам, не удовлетворяющим определенным вами требованиям. Учтите, что для работы механизма NAP необходимо, чтобы работала служба Агент защиты сетевого доступа.
При загрузке оснастки вам будет предложено подключиться к используемой базе данных механизма NAP локального компьютера или создать новую базу данных (или выбрать уже существующую, но не используемую по умолчанию).
Основное окно оснастки представлено на рис. 5.6.
Рис. 5.6. Окно оснастки Конфигурация клиента NAPОснастка состоит из следующих подразделов: Клиенты системы ограничений, Параметры интерфейса пользователя, Параметры регистрации работоспособности. Далее мы рассмотрим их подробнее. Но сначала обратите внимание на команду Свойства контекстного меню раздела оснастки. С ее помощью отображается окно, в котором можно включить журналы трассировки для механизма NAP, а также указать режим трассировки: базовый, дополнительный или режим отладки.
Примечание
Сведения о работе механизма NAP заносятся в журнал Журналы приложений и служб → Microsoft → Windows → Network Access Protection.
Подраздел Клиенты системы ограничений
Данный подраздел содержит в себе набор различных клиентов, доступ к которым можно ограничить на основе указанных в подразделе Параметры регистрации работоспособности правил. По умолчанию присутствуют следующие клиенты:
• Клиент принудительного карантина для DHCP – имеет идентификатор 79617 и определяет клиентов DHCP;
• Клиент принудительного карантина для удаленного доступа – его идентификатор равен 79618, определяет клиентов удаленного доступа;
• Сторона, использующая IPSec – имеет идентификатор 79619 и определяет клиентов, работающих через протокол IPSec;
• Клиент принудительного карантина шлюза сервера терминалов – его идентификатор равен 79621, определяет клиентов шлюза терминальной службы;
• Клиент принудительного карантина для ЕАР – имеет идентификатор 79623 и определяет клиентов ЕАР.
По умолчанию на указанные выше клиенты не распространяются правила механизма NAP. Чтобы указать применения правил для одного из клиентов, нужно в его контекстном меню выбрать команду Включить.
Сведения о клиентах, которые доступны в оснастке, находятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\napagent\ Qecs. Каждый клиент имеет в данной ветви реестра свой подраздел, название которого соответствует идентификатору клиента. В этих подразделах находятся общие сведения о клиентах. А вот информация о том, включен клиент или нет, содержится в других подразделах – в параметре REG_DWORD-типа Enabled подразделов, названных в честь идентификатора клиента, ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\napagent\LocalConfig\Qecs.
Подраздел Параметры интерфейса пользователя
С помощью данного подраздела можно указать изображение и имя, которое будет отображаться напротив одного из подключенных в данный момент клиентов, для которых действуют правила NAP. Для этого применяется команда Свойства контекстного меню элемента Параметры интерфейса пользователя.
Сведения, устанавливаемые с помощью данного подраздела, содержатся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ napagent\LocalConfig\UI\1049.Подраздел Параметры регистрации работоспособности
Данный подраздел позволяет настроить правила, которые будут применяться для включенных с помощью подраздела Клиенты системы ограничений клиентов, а также группу, которая сможет обходить созданные правила. Он содержит следующие дочерние подразделы: Политика запроса и Группы доверенных серверов.
Подраздел Политика запроса включает в себя следующие правила.
• Алгоритм хэширования – дает возможность указать алгоритм, который должен использоваться при создании хэша. По умолчанию используется алгоритм shalRSA, но можно выбрать один из алгоритмов MD5, MD4, MD2 и т. д.
• Поставщик службы криптографии – позволяет указать службу криптографии, которую клиент должен использовать при подключении. По умолчанию используется служба Microsoft RSA Schannel Cryptographic Provider.
С помощью подраздела Группы доверенных серверов можно указать группу компьютеров, которые могут подключаться к включенным клиентам подраздела Клиенты системы ограничений, даже если их настройки не соответствуют указанным в правилах параметрам. Для этого в контекстном меню подраздела нужно выбрать команду Создать, после чего в отобразившемся мастере следует указать название группы, а также добавить в нее IP– или URL-адреса компьютеров.
Параметры создаваемых с помощью данного подраздела групп содержатся в подразделах ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\napagent\LocalConfig\Enroll\HcsGroups\
Расположение: %systemroot%\system32\NAPSTAT.ехе.
Кроме оснастки Конфигурация клиента NAP, для работы с компонентом NAP операционной системы можно также использовать программу napstat.ехе. С ее помощью можно просмотреть текущее состояние работы данного компонента, а также список сетевых подключений, которые разрешены или запрещены NAP.
После запуска программы в области уведомлений появится сообщение о том, запущен ли в данный момент компонент NAP. Если служба Агент защиты сетевого доступа в данный момент не запущена, то не будет работать и компонент NAP. Контекстное меню данного напоминания содержит две команды: Защита сетевого доступа и Папка сетевых подключений. С помощью первой можно отобразить одноименное окно, которое определяет, имеете ли вы доступ к сетевой среде. С помощью же второй команды отображается окно Сетевые подключения, содержащее список сетевых подключений и адаптеров, которые установлены на вашем компьютере.Работа с компонентом NAP с помощью классов WMI
Если вы знакомы с инструментарием управления Windows, то получить доступ к NAP сможете и в создаваемых вами сценариях или с помощью таких стандартных программ операционной системы, как wbemtest.ехе и WMIC. Для этого в операционной системе Windows Vista появилось новое пространство имен \\root\ NAP. Оно включает в себя три класса: NAP_Client, NAP_SystemHealthAgent и NAP EnforcementClient.
• NAPClient – управляет работой службы операционной системы Агент защиты сетевого доступа. По умолчанию в репозитарии CIM существует один экземпляр данного класса, имеющий название @. Он поддерживает следующие свойства, доступные только для чтения.
– Description – содержит описание службы Агент защиты сетевого доступа. Тип: string.
– fixupURL – определяет URL-адрес, если клиенту запрещен доступ к компьютеру. Тип: string.
– Name – содержит название службы Агент защиты сетевого доступа. Тип: string.
– napEnabled – определяет, запущена ли служба Агент защиты сетевого доступа в данный момент. Тип: boolean.
– napProtocolVersion – указывает версию протокола, используемого службой Агент защиты сетевого доступа. Тип: string.
– probationTime – определяет время истечения испытательного срока, если клиент NAP находится на нем. Тип: string.
– systemlsolationState – указывает состояние клиента NAP на локальном компьютере. Если данное свойство возвращает значение 1, то доступ к сети локальному компьютеру разрешен. Если свойство возвращает 2, то клиент находится на испытательном сроке. Если же свойство возвращает значение 3, то доступ к сети для данного компьютера запрещен. Тип: uint32.
• NAP_SystemHealthAgent – содержит информацию о зарегистрированных клиентах SHA. Данный класс включает в себя следующие свойства, доступные только для чтения.
– Description – содержит описание данного клиента SHA (Security Health Agent). Тип: string.
– fixupState – отображает состояние адресной записи клиента SHA. Возможны следующие возвращаемые состояния: «успех», «в прогрессе», «не обновлено». Тип: uint32.
– friendlyName – определяет название клиента SHA. Тип: string.
– id – является ключевым. Оно определяет идентификатор клиента, по которому можно получить доступ к свойствам данного экземпляра класса. Тип: uint32.
– infoClsid – содержит CLSID-номер, который определяет интерфейс INapComponentlnfo СОМ-сервера. Тип: string.
– isBound – определяет, ограничен ли клиент SHA агентом NAP. Тип: boolean.
– percentage – указывает процент выполнения приготовлений. Если значение свойства равно 101, то данное свойство не поддерживается. Тип: uint8.
– registrationDate – определяет дату регистрации данного клиента SНА. Тип: string.
– vendorName – указывает производителя данного клиента SHA. Тип: string.
– Version – определяет версию данного клиента SHA. Тип: string.
• NAP_EnforcementClient – содержит информацию о зарегистрированных клиентах, доступ к которым можно ограничить (ЕС). Именно экземпляры этого класса отображаются в подразделе Клиенты системы ограничений оснастки Конфигурация клинета NAP. Данный класс включает в себя следующие свойства, доступные только для чтения.
– Description – содержит описание данного клиента ЕС. Тип: string.– f riendlyName – определяет название клиента ЕС. Тип: string.
– id – является ключевым. Оно определяет идентификатор клиента ЕС, по которому можно получить доступ к свойствам данного экземпляра класса. Тип: uint32.
– infoClsid – содержит CLSID-номер, который определяет интерфейс INapComponentlnfo СОМ-сервера. Тип: string.