网络访问保护NAP(Network Access Protection)是 Windows Server 2008 操作系统中内置的安全策略执行平台。每一个连接到本地网络的计算机都存在潜在的威胁。你无法得知是否每台计算机里都安装了最新的安全补丁、是否被安装了间谍软件、是否设置了适当的防火墙,任何一台计算机出现了安全问题,整个本地网络的计算机都会处在危险之中。所以,要保护网络安全,就必须制定一个“安全策略”让每台计算机在连接本地网络的时候都通过一个策略的允许。但是并不是所有的用户都会自觉地遵守这个安全策略,微软就替所有的用户找到了一个强制性的执行安全策略:检测一台计算机系统是否已经满足了“安全策略”,并以此来决定是否允许其接入本地网络。这就是NAP的作用,也是Windows Server 2008 的健康策略平台。它通过强制计算机符合系统健康策略要求,更好地保护网络资产;借助网络访问保护,您可以创建自定义的健康策略以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性,也可以将不符合健康策略要求的计算机限制在受限网络,直到它们变为符合为止。
为了强制哪些存在安全隐患的客户端计算机系统能够重新符合网络访问健康标准,NAP通过系统健康验证器、系统运行状况代理以及第三方网络安全保护应用程序等进行互相操作,确保让哪些不符合健康检查的客户端计算机系统能够自动使用我们事先指定的安全解决方案,例如更新系统补丁程序,安装网络防火墙程序,安装防病毒软件,使用VPN网络连接等。
总之,在NAP功能的帮助下,网络管理员可以让Windows Server 2008服务器系统自动为客户端计算机进行安全检查,而不需要耗费客户端计算机自身的系统资源;在NAP功能的帮助下,网络管理员可以确定正在访问网络的客户端计算机系统是否有权访问服务器中的资源信息,如果发现客户端计算机没有访问权限时,可以不需要进行任何设置或更新,让其直接访问网络管理员事先指定的受限网络;在NAP功能的帮助下,网络管理员还可以让Windows Server 2008服务器系统自动为客户端计算机提供最新的更新,从而有效避免访问Internet资源时可能带来的潜在安全威胁。
安全检查流程
使用NAP功能对局域网客户端进行安全检查时,一般需要经过网络访问健康认证、隔离网络、自动修正以及持续监控等流程。
为了判断客户端是否是健康的,我们往往需要事先定义好一组访问规则,以便通过该规则对客户端系统状态进行验证评估。当有客户端企图与局域网网络建立连接时,NAP功能就会自动使用安全健康程序与事先定义好的健康策略进行比较,符合这些健康策略的客户端就会被认为是安全性良好的工作站,而不符合其中任意一项健康策略的客户端就会被看成是存在安全威胁的工作站。
对于那些存在安全威胁的客户端,我们可以通过NAP功能将客户端的网络连接设置成各种状态,当NAP功能认为目标客户端由于不符合健康标准而被看成不安全系统时,那么NAP功能将会直接将该工作站隔离到受限网络中,让其与局域网中其他客户端逻辑隔绝开来,直至目标客户端的网络访问健康标准符合要求为止。
为了方便让那些不符合健康标准的客户端工作站快速地恢复到健康标准,我们还可以通过NAP功能为客户端提供安全补救策略,例如更新补丁程序、安装防火墙以及杀毒软件等,让那些已经处于隔离状态的客户端不需要通过网络管理员的手工操作就能自动修正运行状态。当然,要实现自动修正目的,我们需要对受限的网络进行合适的设置,确保该网络能够允许存在安全隐患的客户端访问安装必要的更新程序。
对那些已经符合健康标准的客户端,NAP功能仍然会对它进行持续监控,也就是强制客户端系统在访问局域网网络期间,而不单单在建立网络连接的初始时候,始终监控这些能够保持状态良好的网络访问健康策略。一旦客户端系统状态与我们事先定义的健康策略不相符合时,比方说禁用了Windows系统防火墙,那么NAP功能将会自动重新开启防火墙,直到恢复正常健康状态后,才能让客户端系统重新访问网络。
启用NAP功能
首先打开Windows Server 2008服务器系统的“开始”菜单,点选其中的“程序”选项,从下拉菜单中依次单击“管理工具”/“服务器管理器”选项,进入本地服务器管理器界面。要想成功安装启用NAP功能,既要保证本地服务器系统已经成功安装Windows Update中的最新安全更新,又要保证本地服务器系统的网络参数已经设置正确,同时登录服务器系统的用户需要使用强密码。
要想启用NAP功能,我们应该将这里的“网络策略和访问服务”项目选中,之后继续单击向导框中的“下一步”按钮,我们将看到有关网络策略以及访问服务简介信息,从该信息中我们可以了解到网络策略和访问服务允许提供本地和远程网络访问权限,并允许使用网络策略服务器、路由和远程访问服务、健康注册授权机构和凭据授权协议定义和强制用于网络访问身份验证、授权和客户端健康的策略;
之后继续单击“下一步”按钮,打开如图2所示的向导设置对话框,选中其中的“网络策略服务器”选项以及相关选项,最后单击“安装”按钮,那样的话服务器系统就会将NAP功能安装成功了。
安全检查配置
首先在Windows Server 2008系统桌面中打开“开始”菜单,从中逐一点选“程序”、“管理工具”、“网络策略服务器”项目,进入网络策略服务器控制台界面。
通常情况下,我们先要在Windows Server 2008系统中创建两个基本策略,一个是安全的策略,另一个就是不安全策略,符合安全策略的客户端就会被NAP功能认为是健康客户端,而符合不安全策略的 客户端会被NAP功能看成是不健康客户端。在新建客户端的安全策略时,我们可以在图3所示的左侧列表窗格中逐一点选“策略”/“健康策略”节点选项,并右 击“健康策略”选项,执行右键菜单中的“新建”命令,在其后弹出的设置窗口中,将健康策略的名称设置为“健康系统”,同时将“客户端SHV检查”参数修改 为“客户端通过了所有SHV检查”,最后单击“确定”按钮退出设置窗口,如此一来客户端的安全策略就创建好了。按照同样的操作步骤,我们再新建一个不安全 策略,在创建过程中只要将该策略的“客户端SHV检查”参数修改为“客户端未能通过所有SHV检查”就可以了。
哪什么样的客户端才是健康的、安全的呢?通过设置这里的系统健康验证器,NAP功能就能自动连接检测出连接到网络中的客户端哪些是不安全的,安全条件我们 可以直接在这里设置,例如没有安装杀毒软件就认为是不安全的,关闭了系统防火墙程序就会被认为是不健康等等!在系统健康验证器时,我们可以在图3所示的左 侧列表窗格中逐一点选“网络访问保护”/“系统健康验证器”节点选项,在该节点选项下面用鼠标右键单击“Windows安全健康验证程序”项目,并执行快 捷菜单中的“属性”命令,之后单击其后界面中的“配置”按钮,进入如图4所示的设置对话框,在这里我们根据实际要求选用或忽略各种安全设置选项,例如要是 本地局域网网络对安全性能要求较高时,我们可以选中这里的所有安全设置选项,日后客户端符合了所有安全选项验证,NAP功能才会认为该客户端系统是健康 的、安全的。
当NAP功能检测到客户端符合不健康策略时,还能为对应系统提供相关的修正措施,以便强制不健康的客户端从我们事先指定的更新服务器中下载安装病毒库更新 程序或系统补丁程序,直到客户端系统重新符合健康策略标准。在这里我们可以通过设置更新服务器参数,来强行让不健康客户端系统只能去访问那些补丁程序服务 器。在设置更新服务器参数时,我们可以按照前面的操作步骤打开网络策略服务器控制台窗口,依次点选该窗口左侧显示窗格中的“网络访问保护”、“更新服务器 组”节点选项,并用右击目标节点选项,再执行右键菜单中的“新建”命令,在其后出现的设置窗口中,单击“添加”按钮,再输入病毒库更新服务器或系统补丁服 务器所在主机的名称或IP地址,最后单击“确定”按钮退出设置窗口,那样的话不安全的客户端日后就能自动访问指定的服务器,去完成系统补丁下载安装操作以 及网络病毒升级操作了。一旦完成了病毒更新以及系统补丁程序的下载安装操作后,客户端再次访问局域网网络时,NAP功能就会认为它是健康的客户端了,从而 允许该客户端重新访问局域网网络了。
完成上面的配置操作后,我们日后只要关闭局域网路由器中的DHCP服务功能,并由NAP功能下面的DHCP服务配合网络访问策略来完成强制安全检查操作, 就能达到保护网络安全目的了。
最后,注意NAP不能取代计算机系统和网络内的别的安全系统,像杀毒软件、防火墙、入侵检测等,实际上,NAP的作用只是用来检查将要接入本地局域网络的 客户端是否具有完备的安全补丁,是否有安全配置方面的错误等来提升用户计算机的安全性从而达到网络访问保护的作用。