要想啟用NAP功能,我們應該將這里的“網(wǎng)絡策略和訪問服務”項目選中,之后繼續(xù)單擊向?qū)Э蛑械?ldquo;下一步”按鈕,我們將看到有關網(wǎng)絡策略以及訪問服務簡介信息,從該信息中我們可以了解到網(wǎng)絡策略和訪問服務允許提供本地和遠程網(wǎng)絡訪問權限,并允許使用網(wǎng)絡策略服務器、路由和遠程訪問服務、健康注冊授權機構和憑據(jù)授權協(xié)議定義和強制用于網(wǎng)絡訪問身份驗證、授權和客戶端健康的策略;
之后繼續(xù)單擊“下一步”按鈕,打開如圖2所示的向?qū)гO置對話框,選中其中的“網(wǎng)絡策略服務器”選項以及相關選項,最后單擊“安裝”按鈕,那樣的話服務器系統(tǒng)就會將NAP功能安裝成功了。
安全檢查配置
首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單,從中逐一點選“程序”、“管理工具”、“網(wǎng)絡策略服務器”項目,進入網(wǎng)絡策略服務器控制臺界面。
通常情況下,我們先要在Windows Server 2008系統(tǒng)中創(chuàng)建兩個基本策略,一個是安全的策略,另一個就是不安全策略,符合安全策略的客戶端就會被NAP功能認為是健康客戶端,而符合不安全策略的 客戶端會被NAP功能看成是不健康客戶端。在新建客戶端的安全策略時,我們可以在圖3所示的左側(cè)列表窗格中逐一點選“策略”/“健康策略”節(jié)點選項,并右 擊“健康策略”選項,執(zhí)行右鍵菜單中的“新建”命令,在其后彈出的設置窗口中,將健康策略的名稱設置為“健康系統(tǒng)”,同時將“客戶端SHV檢查”參數(shù)修改 為“客戶端通過了所有SHV檢查”,最后單擊“確定”按鈕退出設置窗口,如此一來客戶端的安全策略就創(chuàng)建好了。按照同樣的操作步驟,我們再新建一個不安全 策略,在創(chuàng)建過程中只要將該策略的“客戶端SHV檢查”參數(shù)修改為“客戶端未能通過所有SHV檢查”就可以了。
哪什么樣的客戶端才是健康的、安全的呢?通過設置這里的系統(tǒng)健康驗證器,NAP功能就能自動連接檢測出連接到網(wǎng)絡中的客戶端哪些是不安全的,安全條件我們 可以直接在這里設置,例如沒有安裝殺毒軟件就認為是不安全的,關閉了系統(tǒng)防火墻程序就會被認為是不健康等等!在系統(tǒng)健康驗證器時,我們可以在圖3所示的左 側(cè)列表窗格中逐一點選“網(wǎng)絡訪問保護”/“系統(tǒng)健康驗證器”節(jié)點選項,在該節(jié)點選項下面用鼠標右鍵單擊“Windows安全健康驗證程序”項目,并執(zhí)行快 捷菜單中的“屬性”命令,之后單擊其后界面中的“配置”按鈕,進入如圖4所示的設置對話框,在這里我們根據(jù)實際要求選用或忽略各種安全設置選項,例如要是 本地局域網(wǎng)網(wǎng)絡對安全性能要求較高時,我們可以選中這里的所有安全設置選項,日后客戶端符合了所有安全選項驗證,NAP功能才會認為該客戶端系統(tǒng)是健康 的、安全的。
當NAP功能檢測到客戶端符合不健康策略時,還能為對應系統(tǒng)提供相關的修正措施,以便強制不健康的客戶端從我們事先指定的更新服務器中下載安裝病毒庫更新 程序或系統(tǒng)補丁程序,直到客戶端系統(tǒng)重新符合健康策略標準。在這里我們可以通過設置更新服務器參數(shù),來強行讓不健康客戶端系統(tǒng)只能去訪問那些補丁程序服務 器。在設置更新服務器參數(shù)時,我們可以按照前面的操作步驟打開網(wǎng)絡策略服務器控制臺窗口,依次點選該窗口左側(cè)顯示窗格中的“網(wǎng)絡訪問保護”、“更新服務器 組”節(jié)點選項,并用右擊目標節(jié)點選項,再執(zhí)行右鍵菜單中的“新建”命令,在其后出現(xiàn)的設置窗口中,單擊“添加”按鈕,再輸入病毒庫更新服務器或系統(tǒng)補丁服 務器所在主機的名稱或IP地址,最后單擊“確定”按鈕退出設置窗口,那樣的話不安全的客戶端日后就能自動訪問指定的服務器,去完成系統(tǒng)補丁下載安裝操作以 及網(wǎng)絡病毒升級操作了。一旦完成了病毒更新以及系統(tǒng)補丁程序的下載安裝操作后,客戶端再次訪問局域網(wǎng)網(wǎng)絡時,NAP功能就會認為它是健康的客戶端了,從而 允許該客戶端重新訪問局域網(wǎng)網(wǎng)絡了。
完成上面的配置操作后,我們?nèi)蘸笾灰P閉局域網(wǎng)路由器中的DHCP服務功能,并由NAP功能下面的DHCP服務配合網(wǎng)絡訪問策略來完成強制安全檢查操作, 就能達到保護網(wǎng)絡安全目的了。
最后,注意NAP不能取代計算機系統(tǒng)和網(wǎng)絡內(nèi)的別的安全系統(tǒng),像殺毒軟件、防火墻、入侵檢測等,實際上,NAP的作用只是用來檢查將要接入本地局域網(wǎng)絡的 客戶端是否具有完備的安全補丁,是否有安全配置方面的錯誤等來提升用戶計算機的安全性從而達到網(wǎng)絡訪問保護的作用。