要想啟用NAP功能����,我們應(yīng)該將這里的“網(wǎng)絡(luò)策略和訪問服務(wù)”項(xiàng)目選中����,之后繼續(xù)單擊向?qū)Э蛑械?ldquo;下一步”按鈕���,我們將看到有關(guān)網(wǎng)絡(luò)策略以及訪問服務(wù)簡介信息��,從該信息中我們可以了解到網(wǎng)絡(luò)策略和訪問服務(wù)允許提供本地和遠(yuǎn)程網(wǎng)絡(luò)訪問權(quán)限����,并允許使用網(wǎng)絡(luò)策略服務(wù)器、路由和遠(yuǎn)程訪問服務(wù)���、健康注冊授權(quán)機(jī)構(gòu)和憑據(jù)授權(quán)協(xié)議定義和強(qiáng)制用于網(wǎng)絡(luò)訪問身份驗(yàn)證、授權(quán)和客戶端健康的策略���;
之后繼續(xù)單擊“下一步”按鈕����,打開如圖2所示的向?qū)гO(shè)置對話框�����,選中其中的“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)以及相關(guān)選項(xiàng)�,最后單擊“安裝”按鈕,那樣的話服務(wù)器系統(tǒng)就會將NAP功能安裝成功了���。
安全檢查配置
首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單����,從中逐一點(diǎn)選“程序”��、“管理工具”、“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)目�,進(jìn)入網(wǎng)絡(luò)策略服務(wù)器控制臺界面。
�
通常情況下�����,我們先要在Windows Server 2008系統(tǒng)中創(chuàng)建兩個基本策略�,一個是安全的策略,另一個就是不安全策略��,符合安全策略的客戶端就會被NAP功能認(rèn)為是健康客戶端��,而符合不安全策略的 客戶端會被NAP功能看成是不健康客戶端���。在新建客戶端的安全策略時�����,我們可以在圖3所示的左側(cè)列表窗格中逐一點(diǎn)選“策略”/“健康策略”節(jié)點(diǎn)選項(xiàng)�,并右 擊“健康策略”選項(xiàng)���,執(zhí)行右鍵菜單中的“新建”命令���,在其后彈出的設(shè)置窗口中����,將健康策略的名稱設(shè)置為“健康系統(tǒng)”����,同時將“客戶端SHV檢查”參數(shù)修改 為“客戶端通過了所有SHV檢查”,最后單擊“確定”按鈕退出設(shè)置窗口����,如此一來客戶端的安全策略就創(chuàng)建好了�����。按照同樣的操作步驟�����,我們再新建一個不安全 策略�����,在創(chuàng)建過程中只要將該策略的“客戶端SHV檢查”參數(shù)修改為“客戶端未能通過所有SHV檢查”就可以了���。
哪什么樣的客戶端才是健康的�、安全的呢?通過設(shè)置這里的系統(tǒng)健康驗(yàn)證器�,NAP功能就能自動連接檢測出連接到網(wǎng)絡(luò)中的客戶端哪些是不安全的,安全條件我們 可以直接在這里設(shè)置�����,例如沒有安裝殺毒軟件就認(rèn)為是不安全的����,關(guān)閉了系統(tǒng)防火墻程序就會被認(rèn)為是不健康等等!在系統(tǒng)健康驗(yàn)證器時�,我們可以在圖3所示的左 側(cè)列表窗格中逐一點(diǎn)選“網(wǎng)絡(luò)訪問保護(hù)”/“系統(tǒng)健康驗(yàn)證器”節(jié)點(diǎn)選項(xiàng),在該節(jié)點(diǎn)選項(xiàng)下面用鼠標(biāo)右鍵單擊“Windows安全健康驗(yàn)證程序”項(xiàng)目����,并執(zhí)行快 捷菜單中的“屬性”命令,之后單擊其后界面中的“配置”按鈕�,進(jìn)入如圖4所示的設(shè)置對話框,在這里我們根據(jù)實(shí)際要求選用或忽略各種安全設(shè)置選項(xiàng)�����,例如要是 本地局域網(wǎng)網(wǎng)絡(luò)對安全性能要求較高時���,我們可以選中這里的所有安全設(shè)置選項(xiàng)�,日后客戶端符合了所有安全選項(xiàng)驗(yàn)證,NAP功能才會認(rèn)為該客戶端系統(tǒng)是健康 的�、安全的。
�
當(dāng)NAP功能檢測到客戶端符合不健康策略時�����,還能為對應(yīng)系統(tǒng)提供相關(guān)的修正措施�,以便強(qiáng)制不健康的客戶端從我們事先指定的更新服務(wù)器中下載安裝病毒庫更新 程序或系統(tǒng)補(bǔ)丁程序,直到客戶端系統(tǒng)重新符合健康策略標(biāo)準(zhǔn)����。在這里我們可以通過設(shè)置更新服務(wù)器參數(shù)��,來強(qiáng)行讓不健康客戶端系統(tǒng)只能去訪問那些補(bǔ)丁程序服務(wù) 器���。在設(shè)置更新服務(wù)器參數(shù)時��,我們可以按照前面的操作步驟打開網(wǎng)絡(luò)策略服務(wù)器控制臺窗口���,依次點(diǎn)選該窗口左側(cè)顯示窗格中的“網(wǎng)絡(luò)訪問保護(hù)”、“更新服務(wù)器 組”節(jié)點(diǎn)選項(xiàng)�����,并用右擊目標(biāo)節(jié)點(diǎn)選項(xiàng),再執(zhí)行右鍵菜單中的“新建”命令�,在其后出現(xiàn)的設(shè)置窗口中,單擊“添加”按鈕���,再輸入病毒庫更新服務(wù)器或系統(tǒng)補(bǔ)丁服 務(wù)器所在主機(jī)的名稱或IP地址����,最后單擊“確定”按鈕退出設(shè)置窗口���,那樣的話不安全的客戶端日后就能自動訪問指定的服務(wù)器�,去完成系統(tǒng)補(bǔ)丁下載安裝操作以 及網(wǎng)絡(luò)病毒升級操作了�。一旦完成了病毒更新以及系統(tǒng)補(bǔ)丁程序的下載安裝操作后,客戶端再次訪問局域網(wǎng)網(wǎng)絡(luò)時���,NAP功能就會認(rèn)為它是健康的客戶端了��,從而 允許該客戶端重新訪問局域網(wǎng)網(wǎng)絡(luò)了�。
�
完成上面的配置操作后��,我們?nèi)蘸笾灰P(guān)閉局域網(wǎng)路由器中的DHCP服務(wù)功能�����,并由NAP功能下面的DHCP服務(wù)配合網(wǎng)絡(luò)訪問策略來完成強(qiáng)制安全檢查操作, 就能達(dá)到保護(hù)網(wǎng)絡(luò)安全目的了��。
最后�,注意NAP不能取代計算機(jī)系統(tǒng)和網(wǎng)絡(luò)內(nèi)的別的安全系統(tǒng),像殺毒軟件�、防火墻、入侵檢測等����,實(shí)際上,NAP的作用只是用來檢查將要接入本地局域網(wǎng)絡(luò)的 客戶端是否具有完備的安全補(bǔ)丁�����,是否有安全配置方面的錯誤等來提升用戶計算機(jī)的安全性從而達(dá)到網(wǎng)絡(luò)訪問保護(hù)的作用�����。
