不過(guò)，僅限制連接并非處理那些狀態(tài)不良的計(jì)算機(jī)的有效方法（畢竟，您的用戶還要工作）。為此，NAP 提供了補(bǔ)救服務(wù)，被隔離的計(jì)算機(jī)無(wú)需管理員干預(yù)即可糾正影響運(yùn)行狀態(tài)的問(wèn)題。在上述示例中，受限的網(wǎng)絡(luò)只允許狀態(tài)不良的計(jì)算機(jī)訪問(wèn)安裝缺失更新程序必需的特定網(wǎng)絡(luò)資源，例如組織的 Windows Server® Update Services (WSUS) 計(jì)算機(jī)。也就是說(shuō)，有了 NAP，狀態(tài)不良的計(jì)算機(jī)只能訪問(wèn)那些可使其運(yùn)行正常的網(wǎng)絡(luò)資源，在其恢復(fù)健康前，不能向網(wǎng)絡(luò)中的其他計(jì)算機(jī)發(fā)送任何通信。NAP 的最后一個(gè)核心服務(wù)是持續(xù)的遵從性，即強(qiáng)制計(jì)算機(jī)在與網(wǎng)絡(luò)保持連接期間，而不僅僅在初始連接時(shí)，始終符合這些可保持狀態(tài)良好的策略。通過(guò)我們的示例，設(shè)想一下計(jì)算機(jī)對(duì)自身進(jìn)行更新并恢復(fù)良好狀態(tài)（因此可獲得不受限的網(wǎng)絡(luò)訪問(wèn)）后會(huì)怎么樣。如果該計(jì)算機(jī)之后與策略不相符合，例如禁用了 Windows 防火墻，則 NAP 將自動(dòng)將該計(jì)算機(jī)重新隔離。NAP 還允許管理員配置自動(dòng)補(bǔ)救，無(wú)需用戶干預(yù)即可自動(dòng)更正違規(guī)狀態(tài)，甚至在初始連接建立很久之后仍可執(zhí)行這一操作。NAP 可以采取多種不同的方法控制網(wǎng)絡(luò)訪問(wèn)。采用托管網(wǎng)絡(luò)交換機(jī)的組織可以利用 802.1X 在網(wǎng)絡(luò)硬件層提供基于端口的訪問(wèn)控制。NAP 還能夠利用基于 Ipsec 的強(qiáng)制技術(shù)，通過(guò) Ipsec 關(guān)聯(lián)建立安全網(wǎng)絡(luò)并將其覆在物理網(wǎng)絡(luò)之上。利用基于 Ipsec 的強(qiáng)制技術(shù)，NAP 可動(dòng)態(tài)地創(chuàng)建和刪除 IPsec 引擎所使用的證書，以此來(lái)控制對(duì)安全區(qū)域的訪問(wèn)。最后，NAP 可以提供基于 DHCP 的強(qiáng)制技術(shù)。在這種情況下，DHCP 服務(wù)器為運(yùn)行狀態(tài)不良的客戶端提供來(lái)自受限池的 IP 租約。這些租約使用單獨(dú)的 DNS 后綴和 IP 路由來(lái)控制受限客戶端可以訪問(wèn)哪些資源。
NAP 服務(wù)器組件基于下一版本的 Windows Server（代號(hào)“2008”）構(gòu)建，更具體地說(shuō)，是內(nèi)置在新的網(wǎng)絡(luò)策略服務(wù)器 (NPS) 中，NPS 是 Internet 身份驗(yàn)證服務(wù) (ISA) 的替代品，功能得到了極大的增強(qiáng)。組織如果利用基于 802.1X 的強(qiáng)制技術(shù)，其網(wǎng)絡(luò)硬件必須支持 802.1X 身份驗(yàn)證和動(dòng)態(tài) VLAN 功能（“NAP 資源”側(cè)欄中的 NAP 合作伙伴站點(diǎn)提供了有關(guān)特定硬件供應(yīng)商的詳細(xì)信息）。要利用基于 DHCP 的強(qiáng)制技術(shù)，需要一個(gè)與 Windows Server“2008”提供的類似的支持 NAP 的 DHCP 服務(wù)。在客戶端上，Windows Vista™ 中內(nèi)置了 NAP 支持。NAP 支持也可以作為加載項(xiàng)添加到 Windows® XP 中，隨之添加的還有一個(gè)新的 802.1X 申請(qǐng)者 (supplicant)，它將在 Windows XP 上支持 802.1X 強(qiáng)制技術(shù)。此外，NAP 還集成在 Windows 安全中心和第三方的運(yùn)行狀態(tài)代理內(nèi)，用于報(bào)告運(yùn)行狀態(tài)的信息。因此，NAP 能夠根據(jù)安全中心公布的數(shù)據(jù)作出策略驗(yàn)證決策。NAP 是一個(gè)功能非常強(qiáng)大的企業(yè)級(jí)策略管理解決方案，因此，本文篇幅有限，不可能涵蓋其全部功能和部署策略。本文主要將重點(diǎn)放在中小型組織的部署上，因?yàn)樵谶@些組織中，IT 員工的時(shí)間已經(jīng)不夠分配了，因此可以對(duì) NAP 部署進(jìn)行精簡(jiǎn)和優(yōu)化，以便更快地實(shí)現(xiàn)部署所要求獲得的投資回報(bào)。但是文中很多講解性的內(nèi)容和通用準(zhǔn)則也同樣適用于任何規(guī)模的組織的 NAP 設(shè)計(jì)。但要注意的是，我所列舉的示例方法并非逐步設(shè)置指南，而是大體上概述了成功部署基于 DHCP 的 NAP 應(yīng)關(guān)注的關(guān)鍵領(lǐng)域。
假設(shè)某公司的問(wèn)題包袱
為了更清楚地了解 NAP 如何解決中小型組織的獨(dú)特需求，我們將以 某公司 公司為例加以說(shuō)明。某公司 是一家假想的中型組織，有三個(gè)主要辦事處，共有 250 臺(tái)計(jì)算機(jī)。該公司的工作人員實(shí)現(xiàn)了很高的移動(dòng)性，許多用戶都從遠(yuǎn)程的客戶所在地遠(yuǎn)距離地與主要辦事處進(jìn)行通信或連接回主要辦事處。因此，該公司的計(jì)算機(jī)中有一半是便攜式計(jì)算機(jī)和 Tablet PC。與許多組織一樣，隨著工作人員移動(dòng)性的增強(qiáng)，某公司 也面臨著更加嚴(yán)峻的安全性挑戰(zhàn)。某些使用移動(dòng)數(shù)據(jù)終端的用戶從客戶那里或家庭辦公室染上了惡意軟件，然后將受感染的計(jì)算機(jī)又連接到 某公司 的內(nèi)部網(wǎng)絡(luò)中。某公司 也曾努力采取過(guò)多種措施來(lái)確保這些遠(yuǎn)程計(jì)算機(jī)保持最新狀態(tài)。但有的用戶經(jīng)常要在客戶處工作很久才會(huì)回到 某公司 的辦事處。在這些情況下，他們計(jì)算機(jī)經(jīng)常會(huì)數(shù)月不進(jìn)行安全更新，這增加了 某公司 網(wǎng)絡(luò)中其他計(jì)算機(jī)面臨的整體風(fēng)險(xiǎn)。某公司 需要一個(gè)解決方案來(lái)確保所有連接到公司網(wǎng)絡(luò)的計(jì)算機(jī)（不論是遠(yuǎn)程的還是本地的）都是安全的、狀態(tài)良好的。NAP 將如何幫助 某公司 實(shí)現(xiàn)這一目標(biāo)呢？請(qǐng)回顧一下 NAP 的主要核心服務(wù)。借助策略驗(yàn)證，NAP 可以對(duì)所有連接到 某公司 網(wǎng)絡(luò)的計(jì)算機(jī)的運(yùn)行狀態(tài)進(jìn)行檢查。策略驗(yàn)證可以確定計(jì)算機(jī)是否具有最新的防病毒簽名，是否已完全安裝了所有安全更新修補(bǔ)程序。當(dāng) NAP 策略驗(yàn)證例程確定一臺(tái)計(jì)算機(jī)狀態(tài)不良時(shí)，NAP 可以對(duì)該主機(jī)的網(wǎng)絡(luò)連接進(jìn)行限制。這樣就確保了在異地使用并感染惡意軟件的計(jì)算機(jī)無(wú)法將惡意軟件傳播給網(wǎng)絡(luò)中的其他計(jì)算機(jī)。NAP 將限制狀態(tài)不良的計(jì)算機(jī)的連接，使其只能訪問(wèn)由 某公司 的 IT 管理員定義的補(bǔ)救資源。例如，狀態(tài)不良的計(jì)算機(jī)可以訪問(wèn) 某公司 WSUS 服務(wù)器和承載防病毒簽名的服務(wù)器。最后，NAP 可以確保計(jì)算機(jī)在恢復(fù)正常后始終保持良好狀態(tài)。在這個(gè)示例中，如果遠(yuǎn)程辦公人員通過(guò) VPN 使用狀態(tài)不良的主機(jī)，并且該用戶關(guān)閉了主機(jī)防火墻，則 NAP 會(huì)自動(dòng)對(duì)這一問(wèn)題進(jìn)行補(bǔ)救。只要一禁用防火墻，NAP 體系結(jié)構(gòu)就會(huì)立即將該計(jì)算機(jī)隔離，重新啟用防火墻，重新評(píng)估該計(jì)算機(jī)的運(yùn)行狀態(tài)，在確定該計(jì)算機(jī)恢復(fù)良好狀態(tài)后，再將其放回不受限的網(wǎng)絡(luò)中。NAP 的四項(xiàng)核心服務(wù)直接滿足了 某公司 對(duì)動(dòng)態(tài)移動(dòng)的計(jì)算環(huán)境的安全方面的需求。
NAP 設(shè)計(jì)
對(duì)許多中小型組織而言，實(shí)施基于 DHCP 的 NAP 強(qiáng)制技術(shù)是最快、最簡(jiǎn)單的可選方案。這是因?yàn)?DHCP 強(qiáng)制技術(shù)不需要對(duì)網(wǎng)絡(luò)進(jìn)行其他更改，而且除 DHCP 和 NPS 之外，不需要其他服務(wù)。盡管 IPsec 和 802.1X 強(qiáng)制方案更為靈活，但它們都需要在網(wǎng)絡(luò)中進(jìn)行額外更改并部署新的服務(wù)。對(duì)于較為簡(jiǎn)單的環(huán)境，使用 DHCP 既可享受 NAP 提供的大多數(shù)好處，同時(shí)實(shí)現(xiàn)成本也低得多，持續(xù)運(yùn)營(yíng)費(fèi)用也少一些。在 某公司 的環(huán)境中，圍繞一臺(tái)運(yùn)行 Windows Server“2008”的計(jì)算機(jī)進(jìn)行 NAP 部署。由于 NAP 需要 Windows Server“2008”NPS，因此不能在以前的 Windows Server 版本上部署 NAP。NAP 的基于 DHCP 的強(qiáng)制也需要 Windows Server“2008”DHCP 服務(wù)器。如果要整合這些服務(wù)，某公司 可以將 NPS 和 DHCP 部署在同一臺(tái)服務(wù)器上，二者可以相安無(wú)事，和諧共存。這樣，某公司 的基本 NAP 服務(wù)器體系結(jié)構(gòu)就變得非常簡(jiǎn)單：僅需一臺(tái)裝有 Windows Server“2008”的計(jì)算機(jī)，同時(shí)運(yùn)行策略組件和強(qiáng)制組件。
在客戶端，某公司 運(yùn)行 Windows Vista 的計(jì)算機(jī)已經(jīng)具備支持 NAP 所需的能力。對(duì)運(yùn)行 Windows Vista 的計(jì)算機(jī)而言，唯一要對(duì)客戶端做出的更改就是啟用 NAP 功能，這可通過(guò)組策略來(lái)實(shí)現(xiàn)。而對(duì)于運(yùn)行 Windows XP 的計(jì)算機(jī)，則必須單獨(dú)安裝 NAP 客戶端軟件包。默認(rèn)情況下，已加入域的 Windows XP 計(jì)算機(jī)的 Windows 安全中心功能是處于禁用狀態(tài)的。如果 NAP 策略需要使用來(lái)自安全中心的狀態(tài)信息來(lái)評(píng)估計(jì)算機(jī)的運(yùn)行狀態(tài)，則必須運(yùn)行安全中心，否則 NAP 無(wú)法正常運(yùn)行。因此，對(duì)于 某公司 公司內(nèi)運(yùn)行 Windows XP 的計(jì)算機(jī)來(lái)說(shuō)，管理員已通過(guò)組策略啟用了安全中心。除了這些更改外，客戶端無(wú)需再進(jìn)行其他更改即可支持 NAP。
某公司 NAP 部署
在 某公司 完成前面所述的必要的組策略更改之后，下一個(gè) NAP 部署步驟是安裝 Windows Server“2008”。所有 Windows Server“2008”版本都包括必需的 NAP 組件，因此，某公司 可以使用任何符合需求的版本。安裝完畢后，IT 管理員要使用服務(wù)器管理器工具向計(jì)算機(jī)添加新的角色。對(duì)于 某公司 使用的基于 DHCP 的強(qiáng)制，所需的角色為網(wǎng)絡(luò)訪問(wèn)服務(wù)和 DHCP 服務(wù)器。添加角色向?qū)椭芾韱T處理所有依賴關(guān)系并加入服務(wù)器可能需要的任何其他功能。添加完角色后，某公司 即可開始配置 NAP 了。某公司 的管理員將使用服務(wù)器管理器工具訪問(wèn) Microsoft 管理控制臺(tái) (MMC) 的 DHCP 管理單元，并添加新的作用域。配置 Windows Server“2008”DHCP 服務(wù)器將導(dǎo)致它所服務(wù)的 IP 段上現(xiàn)有的 DHCP 服務(wù)全部被替換。根據(jù) 某公司 的網(wǎng)絡(luò)情況創(chuàng)建好該作用域并在其中填充了正確的選項(xiàng)后，就必須對(duì)其啟用 NAP。這一操作可在作用域?qū)傩缘?ldquo;網(wǎng)絡(luò)訪問(wèn)保護(hù)”選項(xiàng)卡上進(jìn)行。
 
NAP 通過(guò)新的 NAP 用戶類作用域選項(xiàng)使計(jì)算機(jī)在同一作用域內(nèi)的受限和不受限網(wǎng)絡(luò)訪問(wèn)之間切換。在向狀態(tài)不良的客戶端提供租約時(shí)，會(huì)使用這組特殊的作用域選項(xiàng)（包括 DNS 服務(wù)器、默認(rèn)的 DNS 后綴，等等）。例如，提供給狀態(tài)良好的客戶端的默認(rèn) DNS 后綴為“某公司.com”，而提供給狀態(tài)不良的客戶端的后綴為“restricted.某公司.com”。配置好 DHCP 作用域選項(xiàng)后，即可設(shè)置網(wǎng)絡(luò)策略服務(wù)器并創(chuàng)建規(guī)則了。
 

NPS 策略由四個(gè)主要組件構(gòu)成。系統(tǒng)健康驗(yàn)證器（System Health Validators，SHV）定義了評(píng)估計(jì)算機(jī)運(yùn)行狀態(tài)需要執(zhí)行哪些檢查。更新服務(wù)器組列出了狀態(tài)不良的計(jì)算機(jī)可以訪問(wèn)的系統(tǒng)（例如 WSUS），通過(guò)訪問(wèn)這些系統(tǒng)，狀態(tài)不良的計(jì)算機(jī)可以恢復(fù)正常狀態(tài)。系統(tǒng)健康驗(yàn)證器模板組件用于定義實(shí)際的運(yùn)行狀況。例如，某公司 可以認(rèn)為通過(guò)了 Windows Security SHV 檢驗(yàn)的計(jì)算機(jī)是“遵從策略”的，但客戶端仍有可能無(wú)法通過(guò)其防病毒供應(yīng)商提供的另一項(xiàng) SHV 檢查。最后，這些組件將組成一組網(wǎng)絡(luò)策略，其中包括了邏輯規(guī)則，借此根據(jù)計(jì)算機(jī)運(yùn)行狀況確定如何對(duì)其進(jìn)行處理。系統(tǒng)健康驗(yàn)證器列出了各種項(xiàng)，NAP 代理會(huì)對(duì)這些項(xiàng)進(jìn)行檢查并向 NPS 報(bào)告計(jì)算機(jī)運(yùn)行狀況。默認(rèn)的 NAP 部署包括 Windows SHV（加入到 Windows 安全中心），它可允許 NAP 檢查安全中心報(bào)告的所有安全組件的狀況。這其中包括防火墻、防病毒組件、自動(dòng)更新組件和防間諜軟件組件。
我們之前說(shuō)過(guò)，NAP 是可以擴(kuò)展的，允許第三方創(chuàng)建屬于自己的 SHV，以便對(duì)單個(gè)組件進(jìn)行更為詳細(xì)的檢查）。例如，Windows Security SHV 允許 NAP 檢查防病毒軟件是否已啟用并處于最新狀態(tài)。不過(guò)，Windows Security SHV 并不能執(zhí)行有關(guān)防病毒應(yīng)用程序的更詳細(xì)的檢查，例如計(jì)算機(jī)的掃描頻率或應(yīng)用程序特定的其他選項(xiàng)。不過(guò)，防病毒軟件供應(yīng)商可以創(chuàng)建自己的 SHV，與默認(rèn)的 Windows SHV 相比，該 SHV 能夠更深入應(yīng)用程序，提供更多應(yīng)用程序特有的檢查。此 SHV 將與 Windows SHV 和其他可能存在的 SHV 密切協(xié)作；一個(gè) NAP 部署有時(shí)會(huì)同時(shí)使用多個(gè) SHV。
 
更新服務(wù)器組用于指定狀態(tài)不良的計(jì)算機(jī)能夠訪問(wèn)哪些資源。這些組通常包括 WSUS 或 Systems Management Server (SMS) 服務(wù)器，以及防病毒更新服務(wù)器。至關(guān)重要的是，不僅要包括服務(wù)器本身，還要包括客戶端查找服務(wù)器所用的名稱解析服務(wù)器。由于 某公司 的客戶端經(jīng)由組策略配置，使用稱為 wsus.某公司.com 的服務(wù)器進(jìn)行自動(dòng)更新，因此更新服務(wù)器組不僅必須包括該 WSUS 服務(wù)器的 IP 地址，還要包括 DNS 服務(wù)器的 IP 地址，因?yàn)榭蛻舳艘ㄟ^(guò)它將完全限定的域名 (FQDN) 轉(zhuǎn)換成數(shù)字 IP 地址。如果無(wú)權(quán)訪問(wèn)這些名稱解析資源（可能為 DNS 和 WINS，具體取決于客戶端的配置方式），客戶端將無(wú)法解析補(bǔ)救資源的 IP 地址，也就無(wú)法訪問(wèn)它們。

系統(tǒng)健康驗(yàn)證器模板用于定義狀態(tài)良好的計(jì)算機(jī)需要滿足哪些條件。驗(yàn)證模板會(huì)獲取 SHV 檢查的結(jié)果，并根據(jù)計(jì)算機(jī)是否通過(guò)其中的一項(xiàng)或多項(xiàng)檢查來(lái)確定其運(yùn)行狀態(tài)是否良好。

在 某公司 的環(huán)境中（象許多中小型組織的部署一樣），只定義了兩種狀態(tài)。通過(guò)所有 SHV 檢查的計(jì)算機(jī)稱為狀態(tài)良好的計(jì)算機(jī)。未能通過(guò)其中一項(xiàng)或多項(xiàng)檢查的計(jì)算機(jī)則稱為違規(guī)的計(jì)算機(jī)。如果需要，組織可以選擇實(shí)施更為復(fù)雜的邏輯（例如，根據(jù)角色、所在部門、地理位置等為用戶創(chuàng)建不同的遵從規(guī)則），但要注意，這樣做可能會(huì)增加識(shí)別和排查問(wèn)題的難度，而且更為耗時(shí)。所有這些組件都通過(guò)網(wǎng)絡(luò)策略組合在一起。網(wǎng)絡(luò)策略由管理員定義，用于指導(dǎo) NPS 如何根據(jù)計(jì)算機(jī)的運(yùn)行狀態(tài)處理計(jì)算機(jī)。NPS 會(huì)從上到下評(píng)估這些策略（如 NPS UI 中所示），一旦計(jì)算機(jī)與策略規(guī)則相符，處理將立即停止。由于 某公司 網(wǎng)絡(luò)的目標(biāo)是簡(jiǎn)單，因此只需要少量策略。首先是 Compliant-FullAccess（合規(guī) — 完全訪問(wèn)）策略。此策略規(guī)定通過(guò)所有 SHV 檢查的計(jì)算機(jī)可以獲得不受限制的網(wǎng)絡(luò)訪問(wèn)權(quán)限。具體地說(shuō)，當(dāng)計(jì)算機(jī)經(jīng)過(guò)運(yùn)行狀況評(píng)估并通過(guò)所有檢查時(shí)，NPS 會(huì)指示 DHCP 服務(wù)器為該計(jì)算機(jī)提供一個(gè)作用域選項(xiàng)為“正常”的 IP 租約。此 Compliant-FullAccess 策略通常應(yīng)該列在處理順序的首位，因?yàn)榇蠖鄶?shù)計(jì)算機(jī)在接受這項(xiàng)檢查時(shí)應(yīng)該都是符合規(guī)則的。將此策略列在首位可減少 NPS 的處理工作量和時(shí)間。下一個(gè)要用到的策略是
Noncompliant-Restricted（違規(guī) — 受限訪問(wèn)）。在 某公司 環(huán)境中，此策略對(duì)應(yīng)任何未通過(guò)一項(xiàng)或多項(xiàng) SHV 檢查（因此符合違規(guī)系統(tǒng)健康驗(yàn)證模板）的計(jì)算機(jī)。如果有計(jì)算機(jī)與此策略相符，則 NPS 會(huì)指示 DHCP 服務(wù)器為該客戶端提供一個(gè)具有特殊 NAP“受限”作用域選項(xiàng)的 IP 租約。該地址僅允許違規(guī)計(jì)算機(jī)訪問(wèn) 某公司 的更新服務(wù)器組中定義的資源。
第三個(gè)要用到的策略針對(duì)后臺(tái)兼容性。我們說(shuō)過(guò)，默認(rèn)情況下，Windows XP 和更高版本的操作系統(tǒng)都提供 NAP 支持（不過(guò)，獨(dú)立軟件供應(yīng)商也許會(huì)開發(fā)適用于更低的 Windows 版本和非 Windows 操作系統(tǒng)的 NAP 客戶端）。如果 某公司 的生產(chǎn)環(huán)境中仍存在 Windows 2000，則可以創(chuàng)建一條規(guī)則（在我們的示例中為 Downlevel-Full-Access），允許為不識(shí)別 NAP 的計(jì)算機(jī)授予正常的網(wǎng)絡(luò)訪問(wèn)權(quán)限（DHCP 服務(wù)器默認(rèn)的作用域選項(xiàng)）。此策略應(yīng)該最后評(píng)估，并且只有當(dāng)下層計(jì)算機(jī)需要網(wǎng)絡(luò)訪問(wèn)時(shí)才需要?jiǎng)?chuàng)建和啟用。
 
如果 某公司 的網(wǎng)絡(luò)中存在目前不支持、且以后也不會(huì)支持 NAP 的資源（如打印機(jī)或其他硬件），我們?cè)撛趺崔k？而且，如果 某公司 的計(jì)算機(jī)雖然支持 NAP，但卻想永久或暫時(shí)免于策略檢查，我們又將如何解決？有一種簡(jiǎn)單的方法可用于將這些計(jì)算機(jī)設(shè)為例外，即求助于 MAC 地址。為了讓這些計(jì)算機(jī)繞過(guò) NAP 檢查，某公司 管理員可以創(chuàng)建一個(gè)新的策略（按 MAC 設(shè)為例外），這樣即可賦予它們完全的網(wǎng)絡(luò)訪問(wèn)權(quán)限。此策略使用條件語(yǔ)句，Calling Station ID 的 RADIUS 客戶端屬性要與需要繞過(guò) NAP 檢查的那些設(shè)備的 MAC 地址相匹配。當(dāng)計(jì)算機(jī)符合此策略語(yǔ)句時(shí)，NPS 會(huì)指示 DHCP 提供一個(gè)具有“正常”作用域選項(xiàng)的租約。此策略應(yīng)該列在評(píng)估順序的首位，以便減少 NPS 的總體處理時(shí)間和工作量。符合此策略的計(jì)算機(jī)不需要再進(jìn)行任何 SHV 評(píng)估，因此 NPS 無(wú)需對(duì)其進(jìn)行循環(huán)檢查。
 
這些策略結(jié)合在一起可確保 某公司 的 NPS 迅速準(zhǔn)確地評(píng)估連接到網(wǎng)絡(luò)的計(jì)算機(jī)。在需要時(shí)，它們還能為下層計(jì)算機(jī)和設(shè)備提供免檢，或在支持 NAP 的設(shè)備需要暫時(shí)繞過(guò)檢查時(shí)，提供免檢。
總結(jié)
NAP 中囊括了廣泛的技術(shù)，需要進(jìn)行全面的規(guī)劃和測(cè)試，尤其是在較復(fù)雜的應(yīng)用方案中。盡管我重點(diǎn)介紹的應(yīng)用方案并不復(fù)雜，但 NAP 網(wǎng)站可提供更為詳細(xì)的指導(dǎo)準(zhǔn)則，所有規(guī)模的部署皆可參考。該網(wǎng)站還包括基于 802.1X 和 Ipsec 的強(qiáng)制技術(shù)的規(guī)劃幫助信息，與基于 DHCP 的強(qiáng)制相比，這些技術(shù)通常更適合企業(yè)的需求。NAP 為評(píng)估連接到網(wǎng)絡(luò)的計(jì)算機(jī)的運(yùn)行狀況提供了一個(gè)強(qiáng)有力的可擴(kuò)展平臺(tái)。對(duì)中小型組織而言，基于 DHCP 的強(qiáng)制具有諸多好處，而且實(shí)現(xiàn)和管理的成本較低。NAP 是使用 Windows Server“2008”所獲得的一個(gè)主要好處，它能幫助您的組織增強(qiáng)安全性，改善規(guī)則遵從狀況。

hanrui