Win2008 R2实战之NAP技术预览

 

一日，小赵正专心的在屏幕前看着资料，一个电话忽然想起，吓了小赵一跳，接起电话，那头便响起了急促了声音：小赵，快帮我看看，我电脑中毒了，如今桌面乱七八糟的，文件夹都混乱了。小赵听罢，悻悻说：必定是你小子不干好事，中招了吧。电话那头也急了：没有呀，我正在作PPT呢，忽然就程序关闭，乱七八糟了。小赵听了：知道了，一会过去给你看看。刚放下电话，忽然IT部的电话铃声几乎同时想起，你们都在抱怨说中病毒了，敏感的小赵忽然意识到状况不对，询问了几位有此状况的同事，发现你们几乎都同样，正常工做时病毒就爆发了。通过一上午的紧急响应，病毒风波算是平息了下来。过后，IT经理开会讨论，问及缘由，小赵说：发生问题的电脑多数没有安装最新的系统补丁，杀毒软件也没有及时更新，防火墙处于关闭状态，致使了病毒普遍传播。但根源是一台几乎没有任何防御措施员工笔记本接入了公司网络，形成了此次事故。通过IT部门的集体讨论，你们一致决定经过部署NAP技术来解决内网安全隐患问题。

1、 NAP(Network Access Protection)概述

NAP是一种包含在Windows Server 2008 R二、Windows Server 2008 、Windows Vista、Windows 7和Windows XP SP3中的策略执行平台，旨在经过计算机健康状态检测技术，保护企业内部网络免受非安全客户端的网络威胁。经过NAP平台，系统管理员能够自定义健康安全策略，在客户端访问企业网络以前，使用策略检测客户端健康状态，确保接入企业网络的客户端安全状态良好，而且阻止不健康的客户端接入，将它们放入受限网络，进行健康修补，直到符合健康策略为止。

同时，NAP也提供了应用程序接口集，使第三方厂商可以为健康策略验证，网络访问限制等功能提供诸如防病毒、补丁管理、×××和网络设备的第三方解决方案。

 

2、 网络访问保护组件

网络访问保护包括3个主要的特性组件，它们都包含在Windows Server 2008的功能中。

健康情况组件

系统健康状态代理(System Health Agent)：检查系统健康状态，如补丁、反病毒、反间谍软件的新旧程度等。

系统健康验证器(System Health Validator)：验证系统健康状态代理的所提供的信息，并给出声明。

系统健康状态服务器：定义客户端的健康状态需求。在Windows Server 2008中，是指网络策略服务器(Network Policy Server)。

修正服务器：为不符合健康状态要求的客户端提供修补，好比安装补丁，升级杀毒软件病毒库，使之成为健康状态。

强制组件

强制客户端(Enforcement Client)：指使用NAP平台的客户端。Windows 七、Windows vista、Windows XP SP3都支持NAP，而且都内置系统健康代理组件。强制客户端请求访问网络、与提供网络访问的 NAP 服务器(如 NAP 服务器)交流客户端计算机的健康状态，并与 NAP 客户端体系结构的其余组件交流客户端计算机的受限状态。

网络访问设备：提供NAP客户端的网络访问，好比交换机和无线AP。

健康注册机构：给健康客户端颁发安全证书。

隔离平台组件

隔离代理(Quarantine Agent)： 报告客户端健康状态，以及SHA和EC之间的协做。

隔离服务器(Quarantine Server)：根据系统健康代理提供的客户端健康状态信息，限制客户的网络访问。

 

 

3、 网络访问保护强制机制

在Windows Server 2008 中，网络访问保护提供了一个灵活的平台，包含了多中强制机制：

DHCP强制：这是一种很是简单有效的强制方式，经过SHA反馈的客户端健康状态来限制哪些客户端能够得到DHCP地址来访问网络。但此方式的缺点在于客户端能够自行更改IP地址来进行网络访问。不过在结合活动目录域管理后，此强制模式效果会很是好。

×××强制：对于常常漫游的客户端来讲，网络访问保护机制一样有效。虽然采用加密隧道方式跨越了非安全网络，但网络访问保护依然能够检测并控制客户端计算机的健康状态。

802.1X强制：此强制方式多用于使用无线网络的客户端访问场景。802.1X基于端口强制，NPS服务器可经过IP筛选器或VLAN标识符限制来自客户端的网络访问。

IPsec强制：IPsec经过使用证书来加密全部通讯，得到极高的安全性。经过检测客户端的系统健康状态来控制哪些客户端能够担当IPsec客户端，来保护NAP客户端之间的通讯安全。

远程桌面网关强制：这是为Windows Server 2008 R2中的远程桌面服务角色提供的一种全新强制方式，这种方式经过监视远程桌面客户端系统的健康状态，来保障内部网络的安全。

 

4、 NAP在Windows Server 2008 R2中的新增功能

1. 多配置的系统健康验证

经过该功能能够指定系统健康验证器的多个配置，不一样的网络策略可根据 SHV 的特定配置指定不一样的健康要求集。可根据实际要求在NAP客户端上启用如下一个或多个选项：

防火墙

病毒防御

防病毒软件的病毒库为最新

间谍软件防御

防间谍软件的病毒库为最新

自动更新

安全更新

2. 客户端界面改进

微软在收集了用户交互反馈后，在运行Windows 7的计算机中，将NAP客户端集成到了操做中内心，改善了用户体验。

3. 与Direct Access的整合

Direct Access在使用IPsec保护IPv6通讯以前，会先进行健康状态评估，而后在容许经过Direct Access访问企业内部网络。不过须要注意的是，客户端在进入内网前须要能访问健康注册受权机构以获取使用IPsec加密的证书。

经过以上描述，想必你们对网络访问保护技术已经有了一个初步的了解，接下来，我将对其中的各个强制保护机制进行详细的部署讲解，看看NAP技术是如何解决Contoso公司内网安全隐患的。