Met de release van Windows Server 2008 wordt ook NAP geintroduceerd. NAP staat voor Network Access Protection. NAP is een nieuwe feature die de status van een computersysteem onderzoekt en aan de hand van het resultaat beslist of deze computer veilig genoeg is om op het netwerk te komen. NAP komt dus overeen met bovenstaande analogie. Echter zijn er maar twee client besturingssystemen die deze nieuwe taal kunnen spreken, namelijk Windows Vista en Windows XP met Service Pack 3.

Volgens insiders hebben ontwikkelaars van Microsoft Carnaval gevierd in het zuidelijke Eindhoven. Een Policy die al jaren gehanteerd wordt door Carnavalsvereniging de feestneuzen kan nu namelijk ook gebruikt worden in Windows Server 2008.
Analogie
Bij de ingang van de feestzaal van Carnavalsvereniging de feestneuzen staat een uitsmijter. Deze uitsmijter hanteert de volgende eenvoudige regel: feestgangers die een passende feestneus dragen mogen binnenkomen, feestgangers zonder feestneus worden niet toegelaten tot de feestzaal. Deze feestgangers worden echter wel doorgestuurd naar een fopwinkel alwaar ze een passende feestneus kunnen halen. Daarna mogen ze zich weer melden bij de feestzaal en hanteert de uitsmijter dezelfde policy.
Sinds kort gaat Carnavalsvereniging de feestneuzen nog een stapje verder. Feestgangers die reeds in de feestzaal aan het feesten zijn zouden kunnen besluiten om de feestneus af te doen. Deze feestgangers worden, per direct, uit de feestzaal verwijderd en naar de fopwinkel gestuurd.
Wat is NAP?
Met de release van Windows Server 2008 wordt ook NAP geintroduceerd. NAP staat voor Network Access Protection. NAP is een nieuwe feature die de status van een computersysteem onderzoekt en aan de hand van het resultaat beslist of deze computer veilig genoeg is om op het netwerk te komen. NAP komt dus overeen met bovenstaande analogie. Echter zijn er maar twee client besturingssystemen die deze nieuwe taal kunnen spreken, namelijk Windows Vista en Windows XP met Service Pack 3.
Alleen clients die door NAP als 'gezond' worden gezien krijgen toegang tot het betreffende netwerk. Clients moeten hiervoor een gezondheidsverklaring inleveren. Zo'n gezondheidsverklaring wordt SoH, Statement of Health, genoemd. Maar wat is gezond? In de ogen van Microsoft kan een gezondheidsverklaring gevonden worden door te neuzen in het 'Windows Security Center' waar we met de komst van Windows Vista al kennis mee hebben gemaakt. Een nieuwe service, genaamd Network Access Protection Agent, neust rond in de Security center en kan antwoord geven op de volgende vragen:
  • Welke updates zijn aanwezig op het systeem?
  • Is er een firewall actief?
  • Hoe is de Firewall geconfigureerd?
  • Is er antivirus-software actief?
  • Zijn de antivirus definities up-to-date?
  • Is er antispyware-software actief?
  • Zijn de antispyware definities up-to-date?
Een nieuwe service 'neust' in Windows Security Center
Bovengenoemde punten hebben alle betrekking op Microsoft, maar NAP is gelukkig flexibel opgezet. Een derde partij heeft namelijk de mogelijkheid om de service uit breiden met eigen software die op zoek gaat naar andere informatie. Dit kan erg interressant zijn voor partijen die security software ontwikkelen. Met NAP kan dan gecontroleerd worden of deze software aanwezig en goed geconfigureerd is op de client alvorens de client toegang krijgt tot het netwerk.
Hoe werkt NAP?
Maar wanneer kun je eigenlijk spreken over netwerk-access? Wanneer en hoe meldt een computer zich aan tot een NAP-enabled-Netwerk? Volgens Microsoft kan dit op vier manieren:
  1. Wanneer een client een IP-verzoek indient bij een DHCP Server.
  2. Wanneer een client contact maakt met een VPN Server.
  3. Wanneer een client contact maakt met een 802.1x netwerk en om authenticatie wordt gevraagd. Dit kan het geval zijn bij een Authenticated switch of een draadloze access point.
  4. Tijdens een onderhandeling waarbij IPSec wordt vereist. Hiervoor is een Health Registration Authority (HRA) Server nodig die alle gezondheidsrapporten van de clients beheert. De werking hiervan lijkt erg veel op die van een Certification Authority (CA) server.
Een client meld zich aan bij een netwerk volgens één van de bovengenoemde methoden. Het apparaat of de server waarop wordt aangemeld zal de client verzoeken om een Statement of Health (SoH), te overhandigen. Dit SoH wordt vervolgens doorgestuurd naar een Network Policy Server (NPS). De NPS Server zal controleren of een SoH voldoet aan de policy die vereist is voor dat netwerk. Deze policy is eerder door een netwerkbeheerder samengesteld. Het antwoord van de NPS is dan ook simpel, de SoH voldoet wel of niet aan de policy.
Als de SoH wel voldoet krijgt de client volledige toegang tot dat netwerk of intranet. Voldoet de policy niet dan krijgt de client geen toegang. In de afwijzing kan de client wel verteld worden wat te doen om alsnog toegelaten te worden. Het is in deze gebruikelijk om de client door te verwijzen naar een restricted netwerk waar één of meerdere Remedation Servers staan. Een Remedation Server is een server die de client kan helpen om 'gezond' te worden. Voorbeelden van Remedation Server zijn een WSUS server om de client te voorzien van nieuwe updates of een File-Share Server waar nieuwe virus definities staan.
Het NAP proces
Conclusie
Microsoft heeft terecht geconcludeerd dat er tegenwoordig vele manieren zijn om toegang te krijgen tot een intranet. Daarmee kan een netwerk ook op vele manieren blootgesteld worden aan virussen en spyware van 'ongezonde' passanten. Met NAP zet Microsoft een robuuste techniek op de markt waarmee de kans van ongewilde software sterk wordt verkleind. Zeker ook omdat NAP voorzien is van een API waar andere partijen nuttig gebruik van kunnen maken.