【Vista解惑100點(diǎn)之部署NAP須知的10件事】NAP功能內(nèi)置在Windows Longhorn Server和Windows Vista客戶操作系統(tǒng)中 ， 它增強(qiáng)了Windows Server 2003中“網(wǎng)絡(luò)訪問隔離控制”特性的功能 。
一、NAP只是一項(xiàng)補(bǔ)充功能
NAP并不取代其他網(wǎng)絡(luò)安全機(jī)制 ， 它根本無法阻止未授權(quán)用戶訪問網(wǎng)絡(luò) ， 而是幫助保護(hù)網(wǎng)絡(luò) ， 遠(yuǎn)離通過未打補(bǔ)丁、配置不當(dāng)或者未加保護(hù)的計(jì)算機(jī)連接到網(wǎng)絡(luò)的授權(quán)用戶帶來的攻擊和惡意軟件 。
二、NAP有兩種部署模式: 監(jiān)控模式和隔離模式
如果配置監(jiān)控模式 ， 即使發(fā)現(xiàn)授權(quán)用戶的計(jì)算機(jī)不符合策略 ， 他們照樣可以訪問網(wǎng)絡(luò) ， 但不符合策略的狀況會被記入日志 ， 那樣管理員就可以指導(dǎo)用戶如何讓計(jì)算機(jī)符合策略 。在隔離模式下 ， 不符合策略的計(jì)算機(jī)只能有限訪問網(wǎng)絡(luò) ， 他們可以在該網(wǎng)絡(luò)上找到符合策略的資源 。
三、可以為連接到網(wǎng)絡(luò)的計(jì)算機(jī)選擇符合策略的標(biāo)準(zhǔn)
符合策略的標(biāo)準(zhǔn)包括: 要求服務(wù)包和安全補(bǔ)丁、反病毒軟件、反間諜軟件保護(hù)、防火墻和Windows自動更新 。這些標(biāo)準(zhǔn)在NAP服務(wù)器上的系統(tǒng)安全驗(yàn)證器(SHV)里面進(jìn)行配置 。
四、NAP服務(wù)器必須運(yùn)行Windows Longhorn Server
NAP服務(wù)器是一個網(wǎng)絡(luò)策略服務(wù)器(NPS) 。Longhorn中的NPS取代了Windows Server 2003中的互聯(lián)網(wǎng)驗(yàn)證服務(wù)(IAS) ， 提供了驗(yàn)證和授權(quán)功能 。NAP服務(wù)包括: NAP管理服務(wù)器和NAP執(zhí)行服務(wù)器 。系統(tǒng)安全驗(yàn)證器(SHV)在NAP服務(wù)器上運(yùn)行 。
五、NAP要求客戶機(jī)安裝NAP客戶軟件
NAP客戶軟件內(nèi)置在Windows Vista中; Windows Longhorn Server發(fā)布后 ， 面向Windows XP的NAP客戶軟件應(yīng)當(dāng)也會推出 。系統(tǒng)安全代理(SHA)運(yùn)行在客戶機(jī)上 。如果網(wǎng)絡(luò)上有計(jì)算機(jī)在運(yùn)行不支持NAP的操作系統(tǒng) ， 可以允許有例外情況存在 ， 它們可以不符合安全要求 ， 那樣這些計(jì)算機(jī)仍可以訪問網(wǎng)絡(luò) 。如果不允許有例外情況存在 ， 那么不支持NAP的計(jì)算機(jī)就只能有限訪問網(wǎng)絡(luò) 。
六、SHV根據(jù)客戶機(jī)的安全狀況來創(chuàng)建安全聲明(SoH)
NAP軟件將SoH提交給SHV ， SHV則與策略服務(wù)器進(jìn)行通信 ， 確定SoH里面提供的安全狀況是否符合安全策略的要求 。如果符合 ， 則允許該計(jì)算機(jī)全面訪問網(wǎng)絡(luò) 。如果不符合(在隔離模式下) ， 該計(jì)算機(jī)只能有限訪問網(wǎng)絡(luò) 。
七、可以使用安全證書證明符合策略
這種情況下 ， 需要運(yùn)行互聯(lián)網(wǎng)信息服務(wù)(IIS)和證書服務(wù)的Longhorn服務(wù)器 ， 充當(dāng)證書管理機(jī)構(gòu)、頒發(fā)安全證書 。該服務(wù)器名為安全注冊管理機(jī)構(gòu)(HRA) 。NAP客戶機(jī)發(fā)送SoH給HRA ， 然后由HRA發(fā)送給NPS服務(wù)器 。NPS服務(wù)器與策略服務(wù)器通信后 ， 確認(rèn)該SoH是否有效 。如果有效 ， HRA為客戶機(jī)頒發(fā)安全證書 ， 該證書可用來建立基于IPSec的連接 。
八、有四種NAP執(zhí)行方法
IPSec執(zhí)行依賴HRA和X.509證書 。802.1x執(zhí)行依賴EAPHost NAP執(zhí)行客戶機(jī) ， 用于通過802.1x接入點(diǎn)(可以是無線接入點(diǎn)或者以太網(wǎng)交換機(jī))進(jìn)行連接的客戶機(jī) 。訪問被限制的配置文件放在不符合策略的客戶機(jī)上 ， 使用數(shù)據(jù)包過濾器或者VLAN識別符把它們限制在限制網(wǎng)絡(luò)上 。VPN執(zhí)行則依賴VPN服務(wù)器 ， 當(dāng)計(jì)算機(jī)試圖通過VPN、連接網(wǎng)絡(luò)時 ， 就執(zhí)行安全策略 。而DHCP執(zhí)行依賴DHCP服務(wù)器 ， 當(dāng)計(jì)算機(jī)租用或者更新IP地址時 ， 執(zhí)行安全策略 ?？梢栽谀硞€網(wǎng)絡(luò)上使用一種、幾種或者所有執(zhí)行方法 。
九、如果不符合策略 ， 通過四種執(zhí)行方法的一種連接到網(wǎng)絡(luò)的計(jì)算機(jī) ， 其訪問會受到限制
DHCP執(zhí)行是最容易實(shí)現(xiàn)的 ， 也是最全面的方法 ， 因?yàn)榇蠖鄶?shù)計(jì)算機(jī)需要租用IP地址(被分配了靜態(tài)地址的計(jì)算機(jī)除外) ， 但I(xiàn)PSec執(zhí)行是最安全的執(zhí)行方法 。計(jì)算機(jī)的訪問受限制后 ， 它仍可以訪問DNS和DHCP服務(wù)器以及補(bǔ)救服務(wù)器 。不過 ， 可以在限制網(wǎng)絡(luò)上放置輔助DNS服務(wù)器或者轉(zhuǎn)發(fā)服務(wù)器 ， 而不是主DNS服務(wù)器 。

推薦閱讀

• 

  商業(yè)貸款需要準(zhǔn)備哪些材料
• 

  雨刮器噴水開關(guān)怎么用
• 

  何時復(fù)西歸的前一句 何時復(fù)西歸的前一句古詩是什么
• 

  細(xì)胞生活的內(nèi)環(huán)境是指什么 細(xì)胞生活的內(nèi)環(huán)境是指啥
• 

  開熟食店開在什么位置好，開熟食涼菜店怎么選址好
• 

  少年聽雨歌樓上紅燭昏羅帳是什么意思
• 

  注冊會計(jì)師考完多久
• 

  男生戴冷帽的正確方法
• 

  玫瑰花可以放冰箱保鮮嗎
• 

  合成肉是用什么做的
• 

  排卵日怎么算的 排卵日六大測法
• 

  中年補(bǔ)脾老年補(bǔ)腎 老中醫(yī)告訴你，中老年補(bǔ)腎是要分年齡段的！
• 

  天牛 甲殼蟲天牛簡筆畫
• 

  高考529分報(bào)考什么學(xué)校,孩子今年高考
• 

  事業(yè)單位不限專業(yè)的崗位多嗎
• 

  節(jié)約用水的方法，生活中你有節(jié)約用水的意識嗎?有什么節(jié)約水的妙招呢

• 微軟公布800款Vista認(rèn)證軟件
• 1000人使用Windows Vista之后的體驗(yàn)
• 方便輕松在多重系統(tǒng)中輕松卸載Vista
• 22個最實(shí)用的Vista應(yīng)用技巧和常見問題
• 十八項(xiàng)測試Vista不及XP速度慢16%
• 玩轉(zhuǎn)Vista限制拷貝
• Vista解惑100點(diǎn)之用Defender的10項(xiàng)知識
• 不可不知 在多重系統(tǒng)中輕松卸載Vista
• Vista Ultimate日本特別版 α+炫目登場
• 僅12％用戶表示欲近期升級Vista