NAP功能内置在Windows Longhorn Server和Windows Vista客户操作系统中,它增强了Windows Server 2003中“网络访问隔离控制”特性的功能。
一、NAP只是一项补充功能
NAP并不取代其他网络安全机制,它根本无法阻止未授权用户访问网络,而是帮助保护网络,远离通过未打补丁、配置不当或者未加保护的计算机连接到网络的授权用户带来的攻击和恶意软件。
二、NAP有两种部署模式: 监控模式和隔离模式
如果配置监控模式,即使发现授权用户的计算机不符合策略,他们照样可以访问网络,但不符合策略的状况会被记入日志,那样管理员就可以指导用户如何让计算机符合策略。在隔离模式下,不符合策略的计算机只能有限访问网络,他们可以在该网络上找到符合策略的资源。
三、可以为连接到网络的计算机选择符合策略的标准
符合策略的标准包括: 要求服务包和安全补丁、反病毒软件、反间谍软件保护、防火墙和Windows自动更新。这些标准在NAP服务器上的系统安全验证器(SHV)里面进行配置。
四、NAP服务器必须运行Windows Longhorn Server
NAP服务器是一个网络策略服务器(NPS)。Longhorn中的NPS取代了Windows Server 2003中的互联网验证服务(IAS),提供了验证和授权功能。NAP服务包括: NAP管理服务器和NAP执行服务器。系统安全验证器(SHV)在NAP服务器上运行。
五、NAP要求客户机安装NAP客户软件
NAP客户软件内置在Windows Vista中; Windows Longhorn Server发布后,面向Windows XP的NAP客户软件应当也会推出。系统安全代理(SHA)运行在客户机上。如果网络上有计算机在运行不支持NAP的操作系统,可以允许有例外情况存在,它们可以不符合安全要求,那样这些计算机仍可以访问网络。如果不允许有例外情况存在,那么不支持NAP的计算机就只能有限访问网络。
六、SHV根据客户机的安全状况来创建安全声明(SoH)
NAP软件将SoH提交给SHV,SHV则与策略服务器进行通信,确定SoH里面提供的安全状况是否符合安全策略的要求。如果符合,则允许该计算机全面访问网络。如果不符合(在隔离模式下),该计算机只能有限访问网络。
七、可以使用安全证书证明符合策略
这种情况下,需要运行互联网信息服务(IIS)和证书服务的Longhorn服务器,充当证书管理机构、颁发安全证书。该服务器名为安全注册管理机构(HRA)。NAP客户机发送SoH给HRA,然后由HRA发送给NPS服务器。NPS服务器与策略服务器通信后,确认该SoH是否有效。如果有效,HRA为客户机颁发安全证书,该证书可用来建立基于IPSec的连接。
八、有四种NAP执行方法
IPSec执行依赖HRA和X.509证书。802.1x执行依赖EAPHost NAP执行客户机,用于通过802.1x接入点(可以是无线接入点或者以太网交换机)进行连接的客户机。访问被限制的配置文件放在不符合策略的客户机上,使用数据包过滤器或者VLAN识别符把它们限制在限制网络上。VPN执行则依赖VPN服务器,当计算机试图通过VPN、连接网络时,就执行安全策略。而DHCP执行依赖DHCP服务器,当计算机租用或者更新IP地址时,执行安全策略。可以在某个网络上使用一种、几种或者所有执行方法。
九、如果不符合策略,通过四种执行方法的一种连接到网络的计算机,其访问会受到限制
DHCP执行是最容易实现的,也是最全面的方法,因为大多数计算机需要租用IP地址(被分配了静态地址的计算机除外),但IPSec执行是最安全的执行方法。计算机的访问受限制后,它仍可以访问DNS和DHCP服务器以及补救服务器。不过,可以在限制网络上放置辅助DNS服务器或者转发服务器,而不是主DNS服务器。
十、NAP有别于Windows Server 2003中的网络访问隔离控制(NAQC)
NAP可以应用于网络上所有系统,而不仅仅是远程访问客户机。有了NAP,还可以监控及控制来访笔记本电脑,甚至台式机的安全状况。部署起来也比较容易,因为它不像NAQC那样需要创建定制脚本及使用命令行进行手工配置。此外,第三方软件厂商可以使用NAP API来开发符合NAP的安全状况验证和网络访问限制组件。NAP和NAQC可同时使用,但一般NAP充当NAQC的替代者。
Windows Vista随带一个内置的反间谍软件程序,名为Windows Defender,它是Vista的加固安全机制的一个必要部分。