Windows Server 2008提供了NAP(Network Access Protection)功能,网络保护策略是任何客户端计算机(客户端以及VPN客户)必须通过网络健康检查,如是否安装最新的">安全补丁、防病毒软件的特征库是否更新、是否启用防火墙等,符合安全条件后才允许进入内部网络。未通过系统健康检查的计算机会被隔离到一个受限制访问网络。在受限制访问网络中,修复计算机的状态(如从补丁服务器下载专门的系统补丁,强制开启防火墙策略等),在达到网络健康标准后,才允许接入公司内部网络。
Windows Server 2008提供了多种网络访问保护的方法,最简捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服务,完成网络访问保护。部署该策略,需要对客户端计算机进行配置:在组策略中启用“启用安全中心(仅限域PC)”策略;启用“DHCP隔离强制客户端”策略。启用NAP代理服务,建议设置为“自动”启动模式。
网络访问保护四步曲
网络访问保护主要分为四部分:策略验证、隔离、补救和持续监控。
策略验证
策略验证是指NAP根据网络管理员定义的一组规则,对客户端计算机系统状态进行评估。NAP在计算机尝试连接到网络时会使用安全健康程序和定义的策略相比较,符合这些策略的计算机被视为状态良好的计算机,而不符合其中一项或多项检查标准的计算机则被认为是状态不良的计算机。
隔离
隔离可以理解为网络连接限制。根据网络管理员定义的策略,NAP可以将计算机的网络连接设置为各种状态。例如,如果一台计算机因缺少关键的安全更新而被视为状态不良,则NAP可以将该计算机置于隔离网络中,使其与网络中其他计算机隔绝,直至恢复健康(安装补丁)为止。
补救
对于已经限制连接的那些状态不良的计算机,NAP 提供了补救策略,被隔离的计算机无需网络管理员干预即可纠正运行状态。受限的网络允许状态不良的计算机访问安装必要的更新程序。
持续监控
持续监控,即强制计算机在与网络保持连接期间,而不仅仅在初始连接时,始终监控这些可保持状态良好的策略。该计算机状态如果与策略不相符合,例如禁用了Windows防火墙,则NAP将自动开启防火墙,直至恢复正常状态后,才可访问网络。
安装NPS服务
默认安装完成Windows Server 2008后,没有安装NPS(网络访问策略)服务,需要网络管理员手动安装该服务。
启动“服务器管理器”,运行“角色添加”向导,在选择服务器角色对话框的“角色”列表中,选择需要安装的“网络策略和访问服务”选项,其他按默认安装即可。
安装完成NPS服务后,成员服务器中的DHCP服务将被新的包含NPS功能的组件所取代,网络管理员需要对NPS涉及的DHCP选项进行配置。在默认状态下,NPS关联的组件“网络访问保护”没有被启用,该策略在DHCP作用域属性中,启用该策略。
NAP通过添加的“用户类作用域”类别,使计算机在同一作用域内的受限网络和不受限网络访问之间切换。在向状态不良的客户端计算机提供租约时,会使用这组特殊的作用域选项(DNS服务器、DNS域名、路由器等)。例如,提供给状态良好的客户端的默认 DNS 后缀为“ithov.com”,而提供给状态不良的客户端的DNS后缀为“Testithov.com”。