大主宰之灵路天蚕土豆,手机推荐排行榜,穿越小说排行榜

主頁(yè) > 知識(shí)庫(kù) > Windows Server 2008 NAP教程

Windows Server 2008 NAP教程

在Windows Server 2008中的各項(xiàng)特色中，可用于輔助企業(yè)強(qiáng)化個(gè)人端計(jì)算機(jī)安全管理的網(wǎng)絡(luò)訪問(wèn)防護(hù)(Network Access Protection，NAP)，這項(xiàng)功能無(wú)疑是大家最渴望了解的項(xiàng)目之一，尤其是網(wǎng)絡(luò)信息安全這兩個(gè)領(lǐng)域。

　　簡(jiǎn)單地說(shuō)，為了預(yù)防不符合企業(yè)安全策略的計(jì)算機(jī)，NAP可以透過(guò)批準(zhǔn)連接與否而加以限制，這些不符合策略的狀態(tài)包括：未啟動(dòng)自動(dòng)更新、定期修補(bǔ)系統(tǒng)漏洞不確實(shí)、未安裝防毒軟件或啟用個(gè)人防火墻、防毒軟件特征碼/掃毒引擎超過(guò)期限而未更新。

　　整合策略控管與身分的認(rèn)證、授權(quán)

　　想要啟動(dòng)NAP，必須從Server Manager上加入新的服務(wù)器角色開(kāi)始，它的名稱是Network Policy and Access Services(NPAS)。完成一系列安裝步驟之后，「開(kāi)始」的程序集中的系統(tǒng)工具會(huì)增加一個(gè)快捷方式——Network Policy Server(NPS)。

　　當(dāng)執(zhí)行Network Policy Server的主控臺(tái)時(shí)，會(huì)立即出現(xiàn)三種標(biāo)準(zhǔn)選項(xiàng)，讓你可以快速套用設(shè)定。按下Configure NAP，會(huì)啟動(dòng)安裝助手協(xié)助管理員一步步完成設(shè)定。

　　其實(shí)NPS的前身就是Windows Server 2003上的Internet驗(yàn)證服務(wù)(Internet Authentication Services，IAS)，搭配集中化的RADIUS認(rèn)證、授權(quán)與記錄機(jī)制，繼續(xù)涵蓋有線、無(wú)線與VPN網(wǎng)絡(luò)，而不是額外產(chǎn)生一個(gè)新的服務(wù)器執(zhí)行環(huán)境。因此它也可以轉(zhuǎn)送認(rèn)證與統(tǒng)計(jì)訊息到其它RADIUS服務(wù)器上，作為RADUIS代理服務(wù)器之用。

　　總而言之，NAP是功能名稱，但對(duì)于Windows Server 2008而言，這項(xiàng)功能的提供，主要仰賴上面提到的服務(wù)器角色。

　　包含策略服務(wù)器與強(qiáng)制檢查服務(wù)器　　在第一次安裝NPAS時(shí)，我們可以看到里面包括了NPS、遠(yuǎn)程訪問(wèn)服務(wù)(RAS)、路由(Routing)、Health Registration Authority(HRA)。

　　HRA相當(dāng)特殊，主要是用在NAP IPsec策略強(qiáng)制執(zhí)行的架構(gòu)，在受到IPsec防護(hù)的局域網(wǎng)絡(luò)范圍內(nèi)，當(dāng)個(gè)人端計(jì)算機(jī)被判定為符合網(wǎng)絡(luò)安全策略時(shí)，會(huì)獲得一份代表健康的憑證，假如其它共處同一個(gè)網(wǎng)絡(luò)的個(gè)人端計(jì)算機(jī)與它連接，也會(huì)同步驗(yàn)證這份憑證;如果通不過(guò)策略遵循的檢查，即無(wú)法取得健康憑證，IPsec的端點(diǎn)認(rèn)證也會(huì)跟著失敗，這臺(tái)電腦也就無(wú)法和其它計(jì)算機(jī)通訊。

　　NPS還可以細(xì)分成四個(gè)主要組件：

　　RADIUS Clients and Servers：是指其它的RADIUS個(gè)人端裝置，服務(wù)器所指的是其它的NPS服務(wù)器，當(dāng)企業(yè)用戶將NPS服務(wù)器設(shè)為RADIUS代理服務(wù)器時(shí)，可以將認(rèn)證和授權(quán)的連接需求轉(zhuǎn)送其它RADIUS服務(wù)器，如果公司的網(wǎng)絡(luò)環(huán)境采用多網(wǎng)域或多重樹(shù)系，可以透過(guò)這個(gè)機(jī)制導(dǎo)引。

　　Policy：分成連接需求、網(wǎng)絡(luò)與健康狀態(tài)等三種類型的策略設(shè)定。連接需求的策略用來(lái)處理連接至遠(yuǎn)程N(yùn)PS服務(wù)器或其它RADIUS服務(wù)器的狀況，讓NPS成為檢驗(yàn)是否遵循RADIUS協(xié)議認(rèn)證的網(wǎng)關(guān)裝置，例如支持802.1x的無(wú)線AP和認(rèn)證交換器、執(zhí)行路由和遠(yuǎn)程訪問(wèn)服務(wù)(RRAS)而成為VPN或撥接網(wǎng)絡(luò)的服務(wù)器，以及Terminal Services網(wǎng)關(guān)。本地網(wǎng)域和信任網(wǎng)域用預(yù)設(shè)策略即可。

　　網(wǎng)絡(luò)策略可以分成6種以上的形態(tài)包括未指定、遠(yuǎn)程訪問(wèn)服務(wù)器、以太網(wǎng)絡(luò)、Terminal Services網(wǎng)關(guān)、無(wú)線AP、HRA、HCAP服務(wù)器與DHCP服務(wù)器。

　　至于健康狀態(tài)的策略，一般來(lái)說(shuō)，可設(shè)定成「通過(guò)全部檢查」或「其中一項(xiàng)未通過(guò)」，還可以選擇其它5種選項(xiàng)，例如全部失敗、部分通過(guò)、判定為已感染惡意程序、無(wú)法判定，都可以找到對(duì)應(yīng)的情境去套用策略。

　　Network Access Protection：只負(fù)責(zé)檢查受控端計(jì)算機(jī)的健康狀態(tài)(System Health Validator，SHV)和補(bǔ)救服務(wù)器(Remediation Server)的設(shè)定。所謂的補(bǔ)救服務(wù)器，包括DNS服務(wù)器、網(wǎng)域控制站、置放防毒特征碼的檔案服務(wù)器、軟件更新服務(wù)器等，讓那些無(wú)法通過(guò)健康檢查的計(jì)算機(jī)有修正的機(jī)會(huì)。驗(yàn)證完畢之后如果要再執(zhí)行其它工作，須從策略上加以制定。

　　在SHV可以定義Windows XP和Vista的健康狀態(tài)，例如是否啟用Windows防火墻、自動(dòng)更新，是否安裝防毒軟件、防間諜軟件(Windows XP的SHV不支持這項(xiàng)檢查)，以及兩者的特征碼是否屬于最新?tīng)顟B(tài)，以及可以設(shè)定幾小時(shí)內(nèi)再完成安全更新。如果企業(yè)內(nèi)部先前已經(jīng)架設(shè)微軟提供Windows Server Update Services(WSUS)更新服務(wù)器，也可以在這里設(shè)定，就近取得更新信息與檔案。

　　關(guān)于防毒軟件的支持，微軟聲稱可以辨識(shí)本身的Forefront Client Secuirty，以及Symantec、趨勢(shì)、McAfee等廠牌防毒軟件的特征碼，至于防間諜程序目前只支持Windows Defender。

　　Accounting：負(fù)責(zé)產(chǎn)生記錄文件，可存成IAS.log，或是SQL Server所能讀寫的記錄文件。如果企業(yè)本身的稽核程度較嚴(yán)格，例如金融業(yè)，可以將這些信息轉(zhuǎn)存到SQL Server內(nèi)。

　　NPS負(fù)責(zé)策略與評(píng)估作業(yè)

　　實(shí)際上NPS是怎么認(rèn)證每一臺(tái)受控端呢?使用者將計(jì)算機(jī)開(kāi)機(jī)上網(wǎng)，打算訪問(wèn)網(wǎng)絡(luò)，因此網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)策略服務(wù)器要求使用者出示健康證明，例如系統(tǒng)自動(dòng)更新?tīng)顟B(tài)、防火墻、防毒軟件是否啟用等，如果個(gè)人端計(jì)算機(jī)中的System Health Agent(SHA)所宣告的系統(tǒng)狀態(tài)通過(guò)SHV的檢查以及NAP的策略，這些設(shè)備和系統(tǒng)會(huì)將證明與連接細(xì)項(xiàng)傳回策略服務(wù)器。

　　評(píng)估連接細(xì)項(xiàng)后，網(wǎng)絡(luò)策略服務(wù)器將使用者授權(quán)證明傳遞給Active Directory要求授權(quán)，如果符合策略要求且使用者授權(quán)通過(guò)，則允許訪問(wèn)網(wǎng)絡(luò)，接下來(lái)批準(zhǔn)使用者或裝置訪問(wèn)。

　　需要特別注意的是NPS只負(fù)責(zé)以本身存放的策略設(shè)定加以評(píng)估，不處理授權(quán)的動(dòng)作。所有的網(wǎng)絡(luò)訪問(wèn)授權(quán)與賬戶的管理，都需要搭配網(wǎng)域控制站。

標(biāo)簽：七臺(tái)河杭州湘潭恩施棗莊廣州成都賀州

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《Windows Server 2008 NAP教程》，本文關(guān)鍵詞 Windows,Server,2008,NAP,教程,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。

濮阳杆衣贸易有限公司

Windows Server 2008 NAP教程