Windows Server 2008 NAP教程

腾讯视频/爱奇艺/优酷/外卖 充值4折起

在Windows Server 2008中的各项特色中,可用于辅助企业强化个人端计算机安全管理的网络访问防护(Network Access Protection,NAP),这项功能无疑是大家最渴望了解的项目之一,尤其是网络信息安全这两个领域。

简单地说,为了预防不符合企业安全策略的计算机,NAP可以透过批准连接与否而加以限制,这些不符合策略的状态包括:未启动自动更新、定期修补系统漏洞不确实、未安装防毒软件或启用个人防火墙、防毒软件特征码/扫毒引擎超过期限而未更新。

整合策略控管与身分的认证、授权

想要启动NAP,必须从Server Manager上加入新的服务器角色开始,它的名称是Network Policy and Access Services(NPAS)。完成一系列安装步骤之后,「开始」的程序集中的系统工具会增加一个快捷方式——Network Policy Server(NPS)。

当执行Network Policy Server的主控台时,会立即出现三种标准选项,让你可以快速套用设定。按下Configure NAP,会启动安装助手协助管理员一步步完成设定。

其实NPS的前身就是Windows Server 2003上的Internet验证服务(Internet Authentication Services,IAS),搭配集中化的RADIUS认证、授权与记录机制,继续涵盖有线、无线与VPN网络,而不是额外产生一个新的服务器执行环境。因此它也可以转送认证与统计讯息到其它RADIUS服务器上,作为RADUIS代理服务器之用。

总而言之,NAP是功能名称,但对于Windows Server 2008而言,这项功能的提供,主要仰赖上面提到的服务器角色。

包含策略服务器与强制检查服务器在第一次安装NPAS时,我们可以看到里面包括了NPS、远程访问服务(RAS)、路由(Routing)、Health Registration Authority(HRA)。

HRA相当特殊,主要是用在NAP IPsec策略强制执行的架构,在受到IPsec防护的局域网络范围内,当个人端计算机被判定为符合网络安全策略时,会获得一份代表健康的凭证,假如其它共处同一个网络的个人端计算机与它连接,也会同步验证这份凭证;如果通不过策略遵循的检查,即无法取得健康凭证,IPsec的端点认证也会跟着失败,这台电脑也就无法和其它计算机通讯。

NPS还可以细分成四个主要组件:

RADIUS Clients and Servers:是指其它的RADIUS个人端装置,服务器所指的是其它的NPS服务器,当企业用户将NPS服务器设为RADIUS代理服务器时,可以将认证和授权的连接需求转送其它RADIUS服务器,如果公司的网络环境采用多网域或多重树系,可以透过这个机制导引。

Policy:分成连接需求、网络与健康状态等三种类型的策略设定。连接需求的策略用来处理连接至远程NPS服务器或其它RADIUS服务器的状况,让NPS成为检验是否遵循RADIUS协议认证的网关装置,例如支持802.1x的无线AP和认证交换器、执行路由和远程访问服务(RRAS)而成为VPN或拨接网络的服务器,以及Terminal Services网关。本地网域和信任网域用预设策略即可。

网络策略可以分成6种以上的形态包括未指定、远程访问服务器、以太网络、Terminal Services网关、无线AP、HRA、HCAP服务器与DHCP服务器。

至于健康状态的策略,一般来说,可设定成「通过全部检查」或「其中一项未通过」,还可以选择其它5种选项,例如全部失败、部分通过、判定为已感染恶意程序、无法判定,都可以找到对应的情境去套用策略。

Network Access Protection:只负责检查受控端计算机的健康状态(System Health Validator,SHV)和补救服务器(Remediation Server)的设定。所谓的补救服务器,包括DNS服务器、网域控制站、置放防毒特征码的档案服务器、软件更新服务器等,让那些无法通过健康检查的计算机有修正的机会。验证完毕之后如果要再执行其它工作,须从策略上加以制定。

在SHV可以定义Windows XP和Vista的健康状态,例如是否启用Windows防火墙、自动更新,是否安装防毒软件、防间谍软件(Windows XP的SHV不支持这项检查),以及两者的特征码是否属于最新状态,以及可以设定几小时内再完成安全更新。如果企业内部先前已经架设微软提供Windows Server Update Services(WSUS)更新服务器,也可以在这里设定,就近取得更新信息与档案。

关于防毒软件的支持,微软声称可以辨识本身的Forefront Client Secuirty,以及Symantec、趋势、McAfee等厂牌防毒软件的特征码,至于防间谍程序目前只支持Windows Defender。

Accounting:负责产生记录文件,可存成IAS.log,或是SQL Server所能读写的记录文件。如果企业本身的稽核程度较严格,例如金融业,可以将这些信息转存到SQL Server内。

NPS负责策略与评估作业

实际上NPS是怎么认证每一台受控端呢?使用者将计算机开机上网,打算访问网络,因此网络设备和网络策略服务器要求使用者出示健康证明,例如系统自动更新状态、防火墙、防毒软件是否启用等,如果个人端计算机中的System Health Agent(SHA)所宣告的系统状态通过SHV的检查以及NAP的策略,这些设备和系统会将证明与连接细项传回策略服务器。

评估连接细项后,网络策略服务器将使用者授权证明传递给Active Directory要求授权,如果符合策略要求且使用者授权通过,则允许访问网络,接下来批准使用者或装置访问。

需要特别注意的是NPS只负责以本身存放的策略设定加以评估,不处理授权的动作。所有的网络访问授权与账户的管理,都需要搭配网域控制站。

Windows Server 2008 R2 配置AD(Active Directory)域控制器(图文教程)

12/29 08:16
目录配置环境 配置DNS服务器 配置Active Directory 域服务 C# AD(Active Directory)域同步 组织单位、用户等信息查询 PDF下载 配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 配置DNS服务器 这一步不是必须的,在安装Active Directory 域服务时可以同时装上DNS服务器。 Active Directory 域服务安装向导-->

让Windows Server 2008设备驱动安装图文教程

01/18 15:23
安装设备驱动程序原本是一件非常简单的事情,很多驱动程序在安装的时候我们只要不停单击“下一步”按钮,就能让驱动程序顺利地在对应计算机系统“落户”;不过,当身边的计算机系统升级为Windows Server 2008系统后,我们发现不少设备的驱动程序根本不能按照常规思路,顺利地“落户”到Windows Server 2008系统中,这该如何进行应对呢?出现这种现象,多半是Windows Server 2008系统默认提高的安全性能,限制了设备驱动程序顺利“落户”到本地,我们只要对症下药、解除各种

Windows Server 2008中安装DNS服务器详细图文教程

09/12 20:38
对于过多的DNS解释我就不用多讲了,具体的解释大家可以进入微软官方查询相关的说明,今天给大家提到的还是一个老问题,那就是如何进行相关的DNS的安装,以前我们在2003中也提到过,但是今天我们提的内容是win2008下的相关的设置。具体内容配有图,请看一下图,如果不太清楚,可以进行下面的留言哟。另外如果我想转走本文请说明一下出处。 实验我们采用的主机名称:win- 主机IP 地址 :192.168.80.80 具体步骤: 1.配置要地主机的IP 地址 环境配置(IP、子网掩码、DNS)好后,就好可

Windows Server 2008中使用计划任务定时执行BAT批处理文件图文教程

09/19 01:19
打开计划任务快捷方式(在 “管理工具”内): C:/ProgramData/Microsoft/Windows/Start Menu/Programs/Administrative Tools/Task Scheduler.lnk 很多人在问我: 1、Windows Server 2008 计划任务在哪里配置? 2、Windows Server 2008 可以配置每分钟或是每小时执行我的任务吗? 答案是:可以! 首先Windows Server 2008不同于其他服务器操作系统和Windows

对Windows Server 2008系统自带的磁盘分区进行无损分区的教程图文介绍

11/28 23:02
如果想对磁盘分区进行无损调整的话,往往需要下载使用专业的磁盘管理工具来完成,例如常用的工具有PartitionMagic、PowerQuest等,如此说来,难道没有专业的磁盘管理工具帮忙,我们就没有办法对磁盘分区进行无损调整了吗?答案是否定的!在Windows Server 2008系统环境下,我们可以利用系统自带的磁盘分区管理功能,就能轻松对磁盘分区进行无损调整了! 在已有分区中划出新分区 很多时候,自己的计算机刚买回来时,只包含一个磁盘分区,其空间容量可能达到上百个GB。在旧版本

Windows server 2008设置远程桌面连接的详细步骤(图文教程)

06/22 19:17
凭借无与伦比的安全优势,Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过,这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了;这不,当我们开启了该系统自带的远程桌面功能后,Windows Server 2008系统的安全问题随即就凸显出来了,如果我们不对远程桌面功能进行合适设置,那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全,本文特意总结几则

Windows Server 2008系统自带的磁盘分区进行无损分区教程

11/30 22:57
如果想对磁盘分区进行无损调整的话,往往需要下载使用专业的磁盘管理工具来完成,例如常用的工具有PartitionMagic、 PowerQuest等,如此说来,难道没有专业的磁盘管理工具帮忙,我们就没有办法对磁盘分区进行无损调整了吗?答案是否定的!在Windows Server 2008系统环境下,我们可以利用系统自带的磁盘分区管理功能,就能轻松对磁盘分区进行无损调整了! 在已有分区中划出新分区 很多时候,自己的计算机刚买回来时,只包含一个磁盘分区,其空间容量可能达到上百个GB。在旧版本系统环境下

Windows Server 2008 R2 服务器系统安装图文教程

02/11 15:36
Windows Server 2012是Windows服务器版系统的下一代最新版本,Windows Server 2012将向企业和托管提供商提供可伸缩.动态.支持多租户以及通过云计算得到优化的基础结构. Windows Server 2012可以安全地在场所内进行连接,并帮助 IT 专业人员更快.更高效地响应业务需求.它采用超越虚拟化技术,可通过一台服务器提供多台服务器的功能, 实现了现代化的工作风格,并可将Windows Power Shell提高到新的层面,为任何云上的每个应用程序创造了大

巧用Windows Server 2008的NPS策略

06/26 13:18
单位员工大部分是移动办公一族,由于病毒库更新不及时、系统补丁没有安装,使移动办公设备处于危险状态,访问内部网络时很可能威胁整个网络。该如何防守网络访问这扇门呢? 笔者所在的单位是一家传媒公司,有数百人的记者队伍,每位记者都配备了笔记本电脑以及上网设备。记者经常携带笔记本电脑出差,很长时间不登录内部网络。网络中统一部署了防病毒软件以及系统补丁更新,记者通过VPN或者其他方式连接公司网络时,连接时间非常短,不能够立即下载系统补丁和病毒库。由于病毒库更新不及时,以及系统补丁没有安装,使其笔记本