微軟就替所有的用戶找到了一個(gè)強(qiáng)制性的執(zhí)行安全策略：檢測(cè)一臺(tái)計(jì)算機(jī)系統(tǒng)是否已經(jīng)滿足了“安全策略”，并以此來(lái)決定是否允許其接入本地網(wǎng)絡(luò)。這就是NAP的作用，也是Windows Server 2008 的健康策略平臺(tái)。它通過(guò)強(qiáng)制計(jì)算機(jī)符合系統(tǒng)健康策略要求，更好地保護(hù)網(wǎng)絡(luò)資產(chǎn)；借助網(wǎng)絡(luò)訪問(wèn)保護(hù)，您可以創(chuàng)建自定義的健康策略以在允許訪問(wèn)或通信之前驗(yàn)證計(jì)算機(jī)的健康狀況、自動(dòng)更新符合要求的計(jì)算機(jī)以確保持續(xù)的符合性，也可以將不符合健康策略要求的計(jì)算機(jī)限制在受限網(wǎng)絡(luò)，直到它們變?yōu)榉蠟橹埂?/p>

為了強(qiáng)制哪些存在安全隱患的客戶端計(jì)算機(jī)系統(tǒng)能夠重新符合網(wǎng)絡(luò)訪問(wèn)健康標(biāo)準(zhǔn)，NAP通過(guò)系統(tǒng)健康驗(yàn)證器、系統(tǒng)運(yùn)行狀況代理以及第三方網(wǎng)絡(luò)安全保護(hù)應(yīng)用程序等進(jìn)行互相操作，確保讓哪些不符合健康檢查的客戶端計(jì)算機(jī)系統(tǒng)能夠自動(dòng)使用我們事先指定的安全解決方案，例如更新系統(tǒng)補(bǔ)丁程序，安裝網(wǎng)絡(luò)防火墻程序，安裝防病毒軟件，使用VPN網(wǎng)絡(luò)連接等。

總之，在NAP功能的幫助下，網(wǎng)絡(luò)管理員可以讓W(xué)indows Server 2008服務(wù)器系統(tǒng)自動(dòng)為客戶端計(jì)算機(jī)進(jìn)行安全檢查，而不需要耗費(fèi)客戶端計(jì)算機(jī)自身的系統(tǒng)資源；在NAP功能的幫助下，網(wǎng)絡(luò)管理員可以確定正在訪問(wèn)網(wǎng)絡(luò)的客戶端計(jì)算機(jī)系統(tǒng)是否有權(quán)訪問(wèn)服務(wù)器中的資源信息，如果發(fā)現(xiàn)客戶端計(jì)算機(jī)沒(méi)有訪問(wèn)權(quán)限時(shí)，可以不需要進(jìn)行任何設(shè)置或更新，讓其直接訪問(wèn)網(wǎng)絡(luò)管理員事先指定的受限網(wǎng)絡(luò)；在NAP功能的幫助下，網(wǎng)絡(luò)管理員還可以讓W(xué)indows Server 2008服務(wù)器系統(tǒng)自動(dòng)為客戶端計(jì)算機(jī)提供最新的更新，從而有效避免訪問(wèn)Internet資源時(shí)可能帶來(lái)的潛在安全威脅。

安全檢查流程 

使用NAP功能對(duì)局域網(wǎng)客戶端進(jìn)行安全檢查時(shí)，一般需要經(jīng)過(guò)網(wǎng)絡(luò)訪問(wèn)健康認(rèn)證、隔離網(wǎng)絡(luò)、自動(dòng)修正以及持續(xù)監(jiān)控等流程。

為了判斷客戶端是否是健康的，我們往往需要事先定義好一組訪問(wèn)規(guī)則，以便通過(guò)該規(guī)則對(duì)客戶端系統(tǒng)狀態(tài)進(jìn)行驗(yàn)證評(píng)估。當(dāng)有客戶端企圖與局域網(wǎng)網(wǎng)絡(luò)建立連接時(shí)，NAP功能就會(huì)自動(dòng)使用安全健康程序與事先定義好的健康策略進(jìn)行比較，符合這些健康策略的客戶端就會(huì)被認(rèn)為是安全性良好的工作站，而不符合其中任意一項(xiàng)健康策略的客戶端就會(huì)被看成是存在安全威脅的工作站。

對(duì)于那些存在安全威脅的客戶端，我們可以通過(guò)NAP功能將客戶端的網(wǎng)絡(luò)連接設(shè)置成各種狀態(tài)，當(dāng)NAP功能認(rèn)為目標(biāo)客戶端由于不符合健康標(biāo)準(zhǔn)而被看成不安全系統(tǒng)時(shí)，那么NAP功能將會(huì)直接將該工作站隔離到受限網(wǎng)絡(luò)中，讓其與局域網(wǎng)中其他客戶端邏輯隔絕開(kāi)來(lái)，直至目標(biāo)客戶端的網(wǎng)絡(luò)訪問(wèn)健康標(biāo)準(zhǔn)符合要求為止。

為了方便讓那些不符合健康標(biāo)準(zhǔn)的客戶端工作站快速地恢復(fù)到健康標(biāo)準(zhǔn)，我們還可以通過(guò)NAP功能為客戶端提供安全補(bǔ)救策略，例如更新補(bǔ)丁程序、安裝防火墻以及殺毒軟件等，讓那些已經(jīng)處于隔離狀態(tài)的客戶端不需要通過(guò)網(wǎng)絡(luò)管理員的手工操作就能自動(dòng)修正運(yùn)行狀態(tài)。當(dāng)然，要實(shí)現(xiàn)自動(dòng)修正目的，我們需要對(duì)受限的網(wǎng)絡(luò)進(jìn)行合適的設(shè)置，確保該網(wǎng)絡(luò)能夠允許存在安全隱患的客戶端訪問(wèn)安裝必要的更新程序。

對(duì)那些已經(jīng)符合健康標(biāo)準(zhǔn)的客戶端，NAP功能仍然會(huì)對(duì)它進(jìn)行持續(xù)監(jiān)控，也就是強(qiáng)制客戶端系統(tǒng)在訪問(wèn)局域網(wǎng)網(wǎng)絡(luò)期間，而不單單在建立網(wǎng)絡(luò)連接的初始時(shí)候，始終監(jiān)控這些能夠保持狀態(tài)良好的網(wǎng)絡(luò)訪問(wèn)健康策略。一旦客戶端系統(tǒng)狀態(tài)與我們事先定義的健康策略不相符合時(shí)，比方說(shuō)禁用了Windows系統(tǒng)防火墻，那么NAP功能將會(huì)自動(dòng)重新開(kāi)啟防火墻，直到恢復(fù)正常健康狀態(tài)后，才能讓客戶端系統(tǒng)重新訪問(wèn)網(wǎng)絡(luò)。

啟用NAP功能

首先打開(kāi)Windows Server 2008服務(wù)器系統(tǒng)的“開(kāi)始”菜單，點(diǎn)選其中的“程序”選項(xiàng)，從下拉菜單中依次單擊“管理工具”/“服務(wù)器管理器”選項(xiàng)，進(jìn)入本地服務(wù)器管理器界面。要想成功安裝啟用NAP功能，既要保證本地服務(wù)器系統(tǒng)已經(jīng)成功安裝Windows Update中的最新安全更新，又要保證本地服務(wù)器系統(tǒng)的網(wǎng)絡(luò)參數(shù)已經(jīng)設(shè)置正確，同時(shí)登錄服務(wù)器系統(tǒng)的用戶需要使用強(qiáng)密碼。

要想啟用NAP功能，我們應(yīng)該將這里的“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”項(xiàng)目選中，之后繼續(xù)單擊向?qū)Э蛑械?ldquo;下一步”按鈕，我們將看到有關(guān)網(wǎng)絡(luò)策略以及訪問(wèn)服務(wù)簡(jiǎn)介信息，從該信息中我們可以了解到網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)允許提供本地和遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)權(quán)限，并允許使用網(wǎng)絡(luò)策略服務(wù)器、路由和遠(yuǎn)程訪問(wèn)服務(wù)、健康注冊(cè)授權(quán)機(jī)構(gòu)和憑據(jù)授權(quán)協(xié)議定義和強(qiáng)制用于網(wǎng)絡(luò)訪問(wèn)身份驗(yàn)證、授權(quán)和客戶端健康的策略；

之后繼續(xù)單擊“下一步”按鈕，打開(kāi)如圖2所示的向?qū)гO(shè)置對(duì)話框，選中其中的“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)以及相關(guān)選項(xiàng)，最后單擊“安裝”按鈕，那樣的話服務(wù)器系統(tǒng)就會(huì)將NAP功能安裝成功了。

安全檢查配置

首先在Windows Server 2008系統(tǒng)桌面中打開(kāi)“開(kāi)始”菜單，從中逐一點(diǎn)選“程序”、“管理工具”、“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)目，進(jìn)入網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)界面，如圖3所示；

通常情況下，我們先要在Windows Server 2008系統(tǒng)中創(chuàng)建兩個(gè)基本策略，一個(gè)是安全的策略，另一個(gè)就是不安全策略，符合安全策略的客戶端就會(huì)被NAP功能認(rèn)為是健康客戶端，而符合不安全策略的客戶端會(huì)被NAP功能看成是不健康客戶端。

在新建客戶端的安全策略時(shí)，我們可以在圖3所示的左側(cè)列表窗格中逐一點(diǎn)選“策略”/“健康策略”節(jié)點(diǎn)選項(xiàng)，并右擊“健康策略”選項(xiàng)，執(zhí)行右鍵菜單中的“新建”命令，在其后彈出的設(shè)置窗口中，將健康策略的名稱設(shè)置為“健康系統(tǒng)”，同時(shí)將“客戶端SHV檢查”參數(shù)修改為“客戶端通過(guò)了所有SHV檢查”，最后單擊“確定”按鈕退出設(shè)置窗口，如此一來(lái)客戶端的安全策略就創(chuàng)建好了。按照同樣的操作步驟，我們?cè)傩陆ㄒ粋€(gè)不安全策略，在創(chuàng)建過(guò)程中只要將該策略的“客戶端SHV檢查”參數(shù)修改為“客戶端未能通過(guò)所有SHV檢查”就可以了。

哪什么樣的客戶端才是健康的、安全的呢？通過(guò)設(shè)置這里的系統(tǒng)健康驗(yàn)證器，NAP功能就能自動(dòng)連接檢測(cè)出連接到網(wǎng)絡(luò)中的客戶端哪些是不安全的，安全條件我們可以直接在這里設(shè)置，例如沒(méi)有安裝殺毒軟件就認(rèn)為是不安全的，關(guān)閉了系統(tǒng)防火墻程序就會(huì)被認(rèn)為是不健康等等！

在系統(tǒng)健康驗(yàn)證器時(shí)，我們可以在圖3所示的左側(cè)列表窗格中逐一點(diǎn)選“網(wǎng)絡(luò)訪問(wèn)保護(hù)”/“系統(tǒng)健康驗(yàn)證器”節(jié)點(diǎn)選項(xiàng)，在該節(jié)點(diǎn)選項(xiàng)下面用鼠標(biāo)右鍵單擊“Windows安全健康驗(yàn)證程序”項(xiàng)目，并執(zhí)行快捷菜單中的“屬性”命令，之后單擊其后界面中的“配置”按鈕，進(jìn)入如圖4所示的設(shè)置對(duì)話框，在這里我們根據(jù)實(shí)際要求選用或忽略各種安全設(shè)置選項(xiàng)，例如要是本地局域網(wǎng)網(wǎng)絡(luò)對(duì)安全性能要求較高時(shí)，我們可以選中這里的所有安全設(shè)置選項(xiàng)，日后客戶端符合了所有安全選項(xiàng)驗(yàn)證，NAP功能才會(huì)認(rèn)為該客戶端系統(tǒng)是健康的、安全的。

當(dāng)NAP功能檢測(cè)到客戶端符合不健康策略時(shí)，還能為對(duì)應(yīng)系統(tǒng)提供相關(guān)的修正措施，以便強(qiáng)制不健康的客戶端從我們事先指定的更新服務(wù)器中下載安裝病毒庫(kù)更新程序或系統(tǒng)補(bǔ)丁程序，直到客戶端系統(tǒng)重新符合健康策略標(biāo)準(zhǔn)。在這里我們可以通過(guò)設(shè)置更新服務(wù)器參數(shù)，來(lái)強(qiáng)行讓不健康客戶端系統(tǒng)只能去訪問(wèn)那些補(bǔ)丁程序服務(wù)器。

在設(shè)置更新服務(wù)器參數(shù)時(shí)，我們可以按照前面的操作步驟打開(kāi)網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口，依次點(diǎn)選該窗口左側(cè)顯示窗格中的“網(wǎng)絡(luò)訪問(wèn)保護(hù)”、“更新服務(wù)器組”節(jié)點(diǎn)選項(xiàng)，并用右擊目標(biāo)節(jié)點(diǎn)選項(xiàng)，再執(zhí)行右鍵菜單中的“新建”命令，在其后出現(xiàn)的設(shè)置窗口中（如圖5所示），單擊“添加”按鈕，再輸入病毒庫(kù)更新服務(wù)器或系統(tǒng)補(bǔ)丁服務(wù)器所在主機(jī)的名稱或IP地址，最后單擊“確定”按鈕退出設(shè)置窗口，那樣的話不安全的客戶端日后就能自動(dòng)訪問(wèn)指定的服務(wù)器，去完成系統(tǒng)補(bǔ)丁下載安裝操作以及網(wǎng)絡(luò)病毒升級(jí)操作了。

一旦完成了病毒更新以及系統(tǒng)補(bǔ)丁程序的下載安裝操作后，客戶端再次訪問(wèn)局域網(wǎng)網(wǎng)絡(luò)時(shí)，NAP功能就會(huì)認(rèn)為它是健康的客戶端了，從而允許該客戶端重新訪問(wèn)局域網(wǎng)網(wǎng)絡(luò)了。

完成上面的配置操作后，我們?nèi)蘸笾灰P(guān)閉局域網(wǎng)路由器中的DHCP服務(wù)功能，并由NAP功能下面的DHCP服務(wù)配合網(wǎng)絡(luò)訪問(wèn)策略來(lái)完成強(qiáng)制安全檢查操作，就能達(dá)到保護(hù)網(wǎng)絡(luò)安全目的了。

最后，注意NAP不能取代計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)內(nèi)的別的安全系統(tǒng)，像殺毒軟件、防火墻、入侵檢測(cè)等，實(shí)際上，NAP的作用只是用來(lái)檢查將要接入本地局域網(wǎng)絡(luò)的客戶端是否具有完備的安全補(bǔ)丁，是否有安全配置方面的錯(cuò)誤等來(lái)提升用戶計(jì)算機(jī)的安全性從而達(dá)到網(wǎng)絡(luò)訪問(wèn)保護(hù)的作用。

【編輯推薦】

1. 解讀Windows Server 2008 R2安全性和高可靠性
2. Windows Server 2008 R2中托管服務(wù)帳號(hào)的方法
3. Windows Server 2008 R2安全性能體驗(yàn)
4. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
5. Windows Server 2008 R2中如何托管服務(wù)賬號(hào)