受移动化影响，每时每刻，不同终端在企业内网与外网之间进进出出，这些终端是否是企业授权的？安全是否合规？由谁在使用？大部分企业仍采用以防火墙为中心的内外网安全防护，对终端身份及安全合规性处于模糊状态。宁盾新一代终端准入（NAC）基于Forrest的“Zero Trust Model”，不信任访问企业业务的任何终端，直到终端完成身份与终端合规性校验。Windows终端作为企业最常用办公工具，宁盾提供Windows 无客户端AD域检测及Windows客户端检测两种检测方式。

常用方案如下：

•    终端资产可视化；

•    终端身份认证（网络身份认证或终端AD域无感知校验）；

•    Windows客户端合规性安全检测；

•    终端准入控制示例：以“是否安装杀毒软件”为Windows电脑终端准入条件；

•    第三方联动及软件推送；

•    U盘管控；

•    防私接；

•    网络拓扑可视化；

1、终端入网可视化

宁盾新一代终端准入主动探测访问企业业务的一切IP终端的终端类型、操作系统、终端身份、终端合规性状态等，并通过直接或折叠的方式将终端展示于NAC控制中台，实现终端可视化管理。

更多折叠信息

终端网络信息：MAC地址、IP地址、认证账号、域账号、终端类型、数据包、流量、首次入网时间、最后离网时间、网络来源；

Linux电脑基础信息：终端类型、操作系统、功能及作用、CPU占用率、剩余内存、总内存；

终端安全信息：是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用等。   

2、Windows终端AD域身份认证

•    设置AD域身份作为终端准入条件；

•    自动化检测入网终端是否加入AD域；

•    对合规终端执行Vlan116操作，同时非合规终端调控到其他Vlan网段。

通过AD域终端检测，解决网络身份认证不能区分BYOD及企业派发设备的困惑，快速将BYOD隔离于企业外网。

3、Windows客户端合规性安全检测

宁盾提供32/64位Windows客户端（User Connector），用于检测是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用、CPU占用率、终端剩余内存等。

检测终端是否安装的杀毒软件：

4、终端终端准入控制示例：

以“是否安装杀毒软件”为Windows电脑终端准入条件

检测：以是否安装杀毒软件为例，主动检测终端Antivirus项目是否安装Symentec；

控制：通过Vlan对已经安装杀毒软件的终端调控至正常网络；

隔离：未安装杀毒软件的终端自动过滤至No Antivirus标签。

同时还可将是否安装企业必须的应用等作为终端合规的准入条件。

5、联动修复及软件推送

对于检测到已经加入域而没有安装杀毒软件的终端统一推送杀毒软件安装界面，实现自动化修复。

6、U盘安全管控

•    主动检测U盘序列号（识别码）防止非授权U盘接入企业终端；

•    控制U盘的读写状态：禁止读写、只读不可写入、可读写操作。

7、防私接

•    虚拟网卡防私接：基于虚拟网卡自动检测终端是否开启热点或是否使用万能钥匙，并对开启虚拟网卡的终端进行自动隔离及断网；

•    防私接路由：通过User Agent扫描终端操作系统，检测终端操作操作系统类型，对多余1个操作系统的终端进行安全过滤及管控。

8、网络拓扑可视化

通过可视化网络拓扑，查看每个交换机上连接了哪些AC和AP，每个AP上连接了多少终端等，帮助企业实现合理的分配网络资源，优化老旧过度使用的网络设备，减少不必要的终端浪费。

某些情况下，Windows终端是不允许通过网络准入自动隔离非合规终端的，这时，便可通过网络拓扑快速及时定位终端位置，缩短该类终端的修复周期。

基于“零”信任安全架构，宁盾新一代终端准入控制不信任未经检测就访问企业业务的一切终端。通过可视化及自动化“检测-控制-隔离”非合规终端，实现企业对终端身份及安全合规的双重信任。