要想啟用NAP功能,我們應(yīng)該將這里的“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”項(xiàng)目選中,之后繼續(xù)單擊向?qū)Э蛑械?ldquo;下一步”按鈕��,我們將看到有關(guān)網(wǎng)絡(luò)策略以及訪(fǎng)問(wèn)服務(wù)簡(jiǎn)介信息,從該信息中我們可以了解到網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)允許提供本地和遠(yuǎn)程網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限��,并允許使用網(wǎng)絡(luò)策略服務(wù)器��、路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)��、健康注冊(cè)授權(quán)機(jī)構(gòu)和憑據(jù)授權(quán)協(xié)議定義和強(qiáng)制用于網(wǎng)絡(luò)訪(fǎng)問(wèn)身份驗(yàn)證����、授權(quán)和客戶(hù)端健康的策略;
之后繼續(xù)單擊“下一步”按鈕�����,打開(kāi)如圖2所示的向?qū)гO(shè)置對(duì)話(huà)框,選中其中的“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)以及相關(guān)選項(xiàng)�����,最后單擊“安裝”按鈕����,那樣的話(huà)服務(wù)器系統(tǒng)就會(huì)將NAP功能安裝成功了。
安全檢查配置
首先在Windows Server 2008系統(tǒng)桌面中打開(kāi)“開(kāi)始”菜單�����,從中逐一點(diǎn)選“程序”����、“管理工具”����、“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)目,進(jìn)入網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)界面�。
�
通常情況下,我們先要在Windows Server 2008系統(tǒng)中創(chuàng)建兩個(gè)基本策略�,一個(gè)是安全的策略,另一個(gè)就是不安全策略�,符合安全策略的客戶(hù)端就會(huì)被NAP功能認(rèn)為是健康客戶(hù)端���,而符合不安全策略的 客戶(hù)端會(huì)被NAP功能看成是不健康客戶(hù)端。在新建客戶(hù)端的安全策略時(shí)�,我們可以在圖3所示的左側(cè)列表窗格中逐一點(diǎn)選“策略”/“健康策略”節(jié)點(diǎn)選項(xiàng),并右 擊“健康策略”選項(xiàng)�����,執(zhí)行右鍵菜單中的“新建”命令�����,在其后彈出的設(shè)置窗口中��,將健康策略的名稱(chēng)設(shè)置為“健康系統(tǒng)”�����,同時(shí)將“客戶(hù)端SHV檢查”參數(shù)修改 為“客戶(hù)端通過(guò)了所有SHV檢查”��,最后單擊“確定”按鈕退出設(shè)置窗口�,如此一來(lái)客戶(hù)端的安全策略就創(chuàng)建好了。按照同樣的操作步驟���,我們?cè)傩陆ㄒ粋€(gè)不安全 策略�����,在創(chuàng)建過(guò)程中只要將該策略的“客戶(hù)端SHV檢查”參數(shù)修改為“客戶(hù)端未能通過(guò)所有SHV檢查”就可以了��。
哪什么樣的客戶(hù)端才是健康的���、安全的呢�����?通過(guò)設(shè)置這里的系統(tǒng)健康驗(yàn)證器�����,NAP功能就能自動(dòng)連接檢測(cè)出連接到網(wǎng)絡(luò)中的客戶(hù)端哪些是不安全的,安全條件我們 可以直接在這里設(shè)置�����,例如沒(méi)有安裝殺毒軟件就認(rèn)為是不安全的����,關(guān)閉了系統(tǒng)防火墻程序就會(huì)被認(rèn)為是不健康等等!在系統(tǒng)健康驗(yàn)證器時(shí),我們可以在圖3所示的左 側(cè)列表窗格中逐一點(diǎn)選“網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)”/“系統(tǒng)健康驗(yàn)證器”節(jié)點(diǎn)選項(xiàng)����,在該節(jié)點(diǎn)選項(xiàng)下面用鼠標(biāo)右鍵單擊“Windows安全健康驗(yàn)證程序”項(xiàng)目,并執(zhí)行快 捷菜單中的“屬性”命令��,之后單擊其后界面中的“配置”按鈕���,進(jìn)入如圖4所示的設(shè)置對(duì)話(huà)框����,在這里我們根據(jù)實(shí)際要求選用或忽略各種安全設(shè)置選項(xiàng)���,例如要是 本地局域網(wǎng)網(wǎng)絡(luò)對(duì)安全性能要求較高時(shí)����,我們可以選中這里的所有安全設(shè)置選項(xiàng)�,日后客戶(hù)端符合了所有安全選項(xiàng)驗(yàn)證,NAP功能才會(huì)認(rèn)為該客戶(hù)端系統(tǒng)是健康 的�����、安全的��。
�
當(dāng)NAP功能檢測(cè)到客戶(hù)端符合不健康策略時(shí),還能為對(duì)應(yīng)系統(tǒng)提供相關(guān)的修正措施��,以便強(qiáng)制不健康的客戶(hù)端從我們事先指定的更新服務(wù)器中下載安裝病毒庫(kù)更新 程序或系統(tǒng)補(bǔ)丁程序�,直到客戶(hù)端系統(tǒng)重新符合健康策略標(biāo)準(zhǔn)。在這里我們可以通過(guò)設(shè)置更新服務(wù)器參數(shù)���,來(lái)強(qiáng)行讓不健康客戶(hù)端系統(tǒng)只能去訪(fǎng)問(wèn)那些補(bǔ)丁程序服務(wù) 器����。在設(shè)置更新服務(wù)器參數(shù)時(shí)��,我們可以按照前面的操作步驟打開(kāi)網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口����,依次點(diǎn)選該窗口左側(cè)顯示窗格中的“網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)”、“更新服務(wù)器 組”節(jié)點(diǎn)選項(xiàng)�����,并用右擊目標(biāo)節(jié)點(diǎn)選項(xiàng)���,再執(zhí)行右鍵菜單中的“新建”命令,在其后出現(xiàn)的設(shè)置窗口中��,單擊“添加”按鈕,再輸入病毒庫(kù)更新服務(wù)器或系統(tǒng)補(bǔ)丁服 務(wù)器所在主機(jī)的名稱(chēng)或IP地址��,最后單擊“確定”按鈕退出設(shè)置窗口�����,那樣的話(huà)不安全的客戶(hù)端日后就能自動(dòng)訪(fǎng)問(wèn)指定的服務(wù)器��,去完成系統(tǒng)補(bǔ)丁下載安裝操作以 及網(wǎng)絡(luò)病毒升級(jí)操作了�����。一旦完成了病毒更新以及系統(tǒng)補(bǔ)丁程序的下載安裝操作后���,客戶(hù)端再次訪(fǎng)問(wèn)局域網(wǎng)網(wǎng)絡(luò)時(shí)����,NAP功能就會(huì)認(rèn)為它是健康的客戶(hù)端了�,從而 允許該客戶(hù)端重新訪(fǎng)問(wèn)局域網(wǎng)網(wǎng)絡(luò)了。
�
完成上面的配置操作后��,我們?nèi)蘸笾灰P(guān)閉局域網(wǎng)路由器中的DHCP服務(wù)功能��,并由NAP功能下面的DHCP服務(wù)配合網(wǎng)絡(luò)訪(fǎng)問(wèn)策略來(lái)完成強(qiáng)制安全檢查操作�����, 就能達(dá)到保護(hù)網(wǎng)絡(luò)安全目的了。
最后���,注意NAP不能取代計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)內(nèi)的別的安全系統(tǒng)���,像殺毒軟件、防火墻���、入侵檢測(cè)等���,實(shí)際上,NAP的作用只是用來(lái)檢查將要接入本地局域網(wǎng)絡(luò)的 客戶(hù)端是否具有完備的安全補(bǔ)丁��,是否有安全配置方面的錯(cuò)誤等來(lái)提升用戶(hù)計(jì)算機(jī)的安全性從而達(dá)到網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)的作用����。
