Проверка настройки клиента защиты доступа к сети
Выполните эту процедуру для проверки настройки клиентских компьютеров, поддерживающих защиту доступа к сети, на использование методов принудительной защиты доступа к сети с помощью IPsec. Компьютер, поддерживающий защиту доступа к сети, является компьютером с установленными компонентами NAP, который может проверить состояние работоспособности путем отправки состояния работоспособности для оценки на сервер политики сети. Дополнительные сведения о защите доступа к сети см. на веб-сайте
https://go.microsoft.com/fwlink/?LinkId=94393 .
Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу
https://go.microsoft.com/fwlink/?LinkId=83477 .
Проверка клиентских компонентов NAP
Компоненты NAP состоят из службы агента NAP, одного или нескольких клиентов принудительной защиты NAP и хотя бы одного агента работоспособности системы (SHA). Могут требоваться и другие службы, если они поддерживают установленный агент работоспособности системы. В совокупности эти компоненты служат для постоянного отслеживания состояния работоспособности клиентского компьютера NAP и предоставления этого состояния на серверы NAP для оценки.
Агент защиты доступа к сети
Служба агента NAP служит для сбора сведений о работоспособности на клиентском компьютере и управления ими. Также агент NAP обрабатывает состояния работоспособности, полученные от установленных агентов работоспособности системы, и создает отчеты о работоспособности клиента для клиентов принудительной защиты. Агент NAP должен функционировать, чтобы клиентские компьютеры могли запрашивать или получать сертификаты работоспособности.
 | Проверка запуска службы агента NAP |
Нажмите кнопку Пуск, выберите пункты Панель управления, затем Система и ее обслуживание, щелкните Администрирование, затем дважды щелкните Службы
Под заголовком Имя в списке служб дважды щелкните Агент защиты сетевого доступа.
Убедитесь, что состояние Служба указано как Запущено, а Тип запуска выбран Автоматически.
Если служба не запущена, выберите Автоматически рядом с полем Тип запуска, затем нажмите кнопку Пуск.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства: Защита сетевого доступа (NAP).
Закройте консоль служб.
Перезапуск службы агента NAP приведет к автоматической повторной инициализации агентов работоспособности системы и попытке получить новый сертификат работоспособности. Это может оказаться полезным при решении вопросов, связанных с NAP.
Клиент принудительной защиты доступа к сети с помощью IPsec
Клиент принудительной защиты доступа к сети с помощью NAP должен быть установлен и включен на клиентских компьютерах. Клиент принудительной защиты NAP запрашивает доступ к сети и отправляет состояние работоспособности клиентского компьютера другим компонентам клиентской архитектуры NAP. Клиент принудительной защиты доступа к сети с помощью IPsec ограничивает доступ к сетям, защищенным с помощью IPsec, путем связи с хранилищем сертификатов на клиентском компьютере.
| Проверка инициализации клиента принудительной защиты NAP с помощью IPsec |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
В командной строке введите команду netsh nap client show state и нажмите клавишу ВВОД. Будет отображено состояние NAP клиентского компьютера.
В выходных данных команды в разделе Состояние клиента системы ограничений проверьте, что состояние параметра Сторона, использующая IPsec равно Инициализировано = Да.
Проверка конфигурации клиента IPsec
Параметры клиентов NAP должны быть настроены таким образом, чтобы эти клиенты могли связываться с компонентами сервера NAP. Можно настроить эти параметры с помощью групповой политики, консоли конфигурации клиентов NAP или командной строки. Для метода принудительной защиты с помощью IPsec параметры клиента NAP содержат политику запросов и группы доверенных серверов.
Политика запросов
Нет необходимости изменять параметры политики запросов по умолчанию на клиентских компьютерах NAP. Если эти параметры изменены, важно убедиться в том, что такие же параметры включены на серверах NAP. По умолчанию клиентский компьютер, поддерживающий NAP, инициирует процесс согласования с сервером NAP, используя обоюдно приемлемые механизмы защиты по умолчанию для шифрования передаваемых данных. Для политики запросов рекомендуется использовать параметры по умолчанию.
| Проверка параметров политики запросов |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.
В выходных данных команды проверьте, что параметры Поставщик службы криптографии (CSP) и Алгоритм хеширования соответствуют параметрам, настроенным в HRA. По умолчанию используется Поставщик службы криптографии Microsoft RSA SChannel, длина_ключа = 2048. Используемый по умолчанию алгоритм хэширования — sha1RSA (1.3.14.3.2.29).
Группы доверенных серверов
Группы доверенных серверов настроены в параметрах регистрации работоспособности клиента, чтобы клиентские компьютеры NAP могли связываться с веб-сайтами, используемыми центром регистрации работоспособности для обработки запросов на сертификаты работоспособности. Если группы доверенных серверов не настроены или настроены неправильно, клиентские компьютеры NAP не смогут получить сертификаты работоспособности.
| Проверка конфигурации групп доверенных серверов |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.
В выходных данных команды в разделе Конфигурация группы доверенных серверов проверьте правильность конфигурации для записей рядом с Порядок обработки, Группа, Требуется префикс Https и URL-адрес.
Клиентский компьютер NAP попытается получить сертификат работоспособности с первого URL-адреса во всех настроенных группах доверенных серверов, если только сервер не был отмечен как недоступный. Дополнительные сведения см. в разделах Проверка конфигурации IIS и Общее представление о требованиях к проверке подлинности для центра регистрации работоспособности.
Просмотр событий клиента NAP
Просмотр сведений, содержащихся в событиях клиента NAP, может способствовать решению вопросов и устранению неполадок. Также эти сведения могут способствовать пониманию функционирования клиента NAP.
| Чтобы просмотреть события клиента NAP в средстве просмотра событий |
В меню Пуск перейдите к пункту Все программы, выберите Стандартные и щелкните Выполнить.
Введите eventvwr.msc и нажмите клавишу ВВОД.
В дереве слева перейдите к пункту Просмотр событий (локальных)\Журналы приложений и служб\Microsoft\Windows\Защита сетевого доступа\Работает.
В центральной области выберите событие.
По умолчанию отображается вкладка Общие. Откройте вкладку Сведения, чтобы просмотреть дополнительные сведения.
Также можно щелкнуть правой кнопкой мыши событие и выбрать Свойства события, чтобы открыть новое окно просмотра событий.
Требования
Описанные здесь процедуры предполагают, что перед установкой и настройкой NAP было успешно настроено и протестировано подключение к VPN-клиенту.
NAP поддерживается на клиентах со следующими операционными системами.
Windows Server 2008
Обновленный список клиентских операционных систем, поддерживающих NAP, см. в статье «Какие версии Windows поддерживают защиту доступа к сети (NAP) в качестве клиента» по адресу http://www.microsoft.com/technet/network/nap/nap
Включение клиента принудительного карантина для удаленного доступа
Для метода принудительной защиты доступа к сети VPN необходимо, чтобы клиент принудительного карантина для удаленного доступа был включен на всех компьютерах с клиентом NAP.
- Нажмите кнопку Пуск, выберите Все программы, затем Стандартные и Выполнить.
Введите napclcfg.msc и нажмите клавишу ВВОД.
В дереве консоли выделите элемент Клиенты системы ограничений.
В области сведений щелкните правой кнопкой Клиент принудительного карантина для удаленного доступа и выберите команду Включить. См. пример ниже.
Закройте окно Конфигурация клиента NAP.
Включение и запуск службы агента NAP
По умолчанию служба агента защиты доступа к сети на компьютерах с операционной системой Windows Vista настроена на запуск вручную. Каждый клиент должен быть настроен таким образом, чтобы служба агента NAP запускалась автоматически, а затем необходимо запустить службу.
- Нажмите кнопку Пуск, выберите Панель управления, затем Система и ее обслуживание и Администрирование.
Дважды щелкните пункт Службы.
В списке служб дважды щелкните Агент защиты доступа к сети.
В диалоговом окне Свойства агента защиты доступа к сети измените Тип запуска на Автоматический, а затем нажмите кнопку Запустить.
Дождитесь, когда запустится служба агента NAP, а затем нажмите кнопку ОК.
Закройте консоль Службы и окна Администрирование и Система и ее обслуживание.
Настройка VPN-подключений
- Нажмите кнопку Пуск, щелкните Выполнить и введите NCPA.cpl, после чего нажмите клавишу ВВОД. Эта команда откроет окно Сетевые подключения (в операционных системах Windows Vista и Windows Server 2008).
Щелкните правой кнопкой соответствующее VPN-подключение, затем выберите Свойства и перейдите на вкладку Безопасность.
Убедитесь, что параметр Дополнительные (выборочные параметры) включен, и нажмите кнопку Параметры.
Для параметра Безопасный вход установите флажки ИспользоватьПротокол расширенной проверки подлинности (EAP) и Защищенный EAP (PEAP) (шифрование включено), а затем нажмите кнопку Свойства.
Щелкните Настройка, чтобы настроить свойства защищенного EAP в соответствии со способом развертывания, а затем нажмите кнопку ОК.
В разделе Выберите метод проверки подлинности выберите либо Безопасный пароль (MS-CHAP v2), либо Смарт-карта или иной сертификат в зависимости от способа развертывания.
Выберите параметр Включить проверки в карантине.
Нажмите кнопку ОК три раза, чтобы закрыть окна Свойства VPN-подключения.
Подстройка клиентов без защиты доступа к сети (необязательно)
Клиенты с другими операционными системами могут быть настроены для развертывания с защитой доступа к сети. Эти клиенты необходимо подключить к сети при помощи диспетчера подключений, а сервер политики сети (NPS) настроить таким образом, чтобы эти клиенты были помещены в карантинную сеть. В этом случае они смогут подключиться к сети VPN-клиентов через RQS/RQC.
Дополнительные сведения об использовании диспетчера подключений см. в разделе «Пакет администрирования диспетчера подключений» на веб-узле www.microsoft.com.
Сведения о настройке параметров сервера NPS см. в разделе «Настройка сетевой политики для клиентов без защиты доступа к сети» в статье Настройка защиты доступа к сети на сервере политики сети (NPS).
Комментарии 18
В общем плохо не будет, но вам нужно будет прочитать это, ну и прицепом это(чтоб понимать, что делаете)Вообще там много про это написано, если хватит время и терпения читайте всё
Mакс, загляни в личку. 
Да нет, не волнуйтесь, домашняя сеть это не страшно. просто не обращайте на это внимание.
max-02 дал пару ссылок, они самые-самые грамотные, а потому для
понимания обычного человека — человека, т.с. «с улицы» — ну. мало-
переносимые. 
Прелагаю, для знакомства: что же это такое — NAP
(Network Access Protection),
статью из журнала «Хакер» № 12/08 (120):
Из которой будет понятно: включишь — сетевая безопасность повысится;
но, с другой стороны, могут возникнуть и сложности.
Спасибо за «Хакер»! В нём я понял хоть что-то. Во всех остальных источниках не понял вообще ничего.
Систему я, очевидно, получил вместе с ОС Windows 7, которую установил недавно.
Буду изучать статью из «Хакера» дальше, с одного раза всё не осилить.
Не могу разобраться о какой же сети идёт разговор. Локальную сеть я отключил давно, т.к. от неё был в
ужасе мой Касперский.
К сожалению, с семёркой не знаком. Увы. увы.
А как ЭТО вообще-то попало на твой комп?
Когда-то решил поэспериментировать с прогой обеспечивающей
повышенную безопасность? 
Сие мне не ведомо. Нашёл, то, что уже было. Я точно ничего не добавлял.
Я только искал, как избавиться от квартирантов.
Эта «Новая технология NAP» на комп поадает, похоже, лишь
тогда, когда проводится установка консоли NPS ( Network Policy
Server) и появляется новая служба обеспечивающая ей
функционирование на компе: «служба агента защиты доступа к сети
(NAP). Загляни на панель «Установка и удаление. » — если эту
технологию там отыщешь — удали её к .
А вообще-то, самым внимательным образом прочти выше указанные
статьи и, что желательно, прочти несколько раз; поскольку названная
технология вещь весьма и весьма перспективная и будет встречаться
Удачи!
Но коли она перспективная, зачем же её удалять?
Это инструмент системного администратора, организующего
и управляющего работой большой локальной системой.
Эта « Network Access Protection» представляет собой
надстройку над системой безопасности локальной сети,
которая её (систему) курирует в автоматическом режиме по
заданным системным админом параметрам, т.е. плитикам.
Как говорят в Одессе: «оно вам нужно?», — то бишь эта
Со своей стороны, я все-таки настоятельно рекомендую
внимательно (с карандашом) прочесть названные статьи,
и многое прояснится. А эту умную «бяку», найти и. к той
самой матери. Но! Но, это сугубо моё мнение.
Сейчас я попытаюсь выяснить:
а) попала ли эта система ко мне в составе OC Windows 7, тогда я её оставлю ( всё равно она
б) скачал ли я её сам по какой-либо причине, тогда я её сотру;
в) не закачали ли её мне со стороны, та самая группа или админ. В этом случае я тоже от неё избавлюсь.
Насколько возможен вариант «в»?
а) К сожалению, с семёркой не знаком; мой
ноутбук стар и не в состоянии усвоить эту
требовательную ОС, увы. 🙁
б) Вполне возможно, иногда сам нахожу у себя вот
такое же забытое. Вполне допускаю, особенно
если есть любопытство и склонность к познанию,
что на домашнем компе может только приветствоваться.
в) Это навряд ли. но, и вот так, категорически,
сказать — НЕТ! я бы не рискнул. Из собственного
опыта: до недавнего времени в качестве firewal’a
использовал PC Tools Firewal, (эта прога -free);
запущенную мною ради любопытства, этот
файрвол у меня не прошёл. Крохотная прожка и
найти её можно поадресу:
Перешёл на C.O.M.O.D.O internet Security
PREMIUM, кстати, тоже free. И при запуске
этой тест-программы: Leak tests’a — она была
этим firewal’ом заблокирована.
P.S. Для общего образования, забей в поисковик
что-нибудь про фаерволы — найдёшь много чего
любопытного и даже неожиданного.
Удачи!
Провайдер сказал, что это люди, живущие на одной со мной улице, и ничего страшного в этом нет Здорово!Это значит, что комп с правами админа головной, а остальные ведомые. Хм. Ну а если админ отключен, как они это обошли?
На моём компе — я администратор. Разве не так?
Я что теперь должен спрашивать разрешения попользоваться собственным компом?
на твоём -да! А в вашей связке,с людьми живущими на одной улице, наверное комп провайдера ну или подведомственного ему администратора :), у вас скорее всего VPN, и видимо ничего не отключите- это у вас сеть такая