Windows Server 2008的NAP配置攻略

　　今天的文章中,我们讨论的话题是Windos server 2008的NAP(Network Access Protection网络访问保护)功能,如果大家关注Windos server 2008的新技术就会发现,现在有关NAP的文章可以说是多如牛毛,但是仔细看来我们不难发现,这类文章更多的是集中在NAP功能的基本描述,而对于具体的使用体验以及配置技巧却很少提及,今天我们就来为大家解决这个问题。

　　在全新的Windos server 2008 中我们可以看到许多针对原先Windows 系统所存在的安全隐患的改进，NAP (Network Access Protection网络访问保护)就是其中非常重要的一项，这个技术可以有效的保证远程的连入计算机的安全。

　　NAP可提高移动计算机和内部网络的安全性。通常，带着计算机旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时，连接时间可能会非常短，以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名。因此，移动计算机所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性，因为它可确保在用户连接到网络前安装最新的更新内容。

　　在整个保护过程中，NAP针对存在风险的客户提供了3种解决方案，第一种是通过策略限制他们在内网中的访问，第二种是将这些用户隔离到一个指定的网段以等待下一步处理，而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成，比如SMS (Systems Management Server) ，同时这些受限的用户也可以通过策略配置的URL去访问到公司内网的一些补丁分发服务器等等。

　　在NAP中，Windos server 2008 扩展了Windows Server 2003中的网络访问隔离功能，原先的这一特性只能针对远程访问的用户加以防护，而在NAP中，Windos server 2008 可以保护所有通过VPN、DHCP以及IPsec进行连接的通信，由于篇幅有限，我们在这篇文章中之针对DHCP的客户端进行讲解。

　　要搭建NAP的环境，我们需要两台Windos server 2008 Beta 2的计算机，一台Windows XP或者Windows Vista的计算机;如果客户端是Windows XP的计算机，那么还必须安装NAPClient软件。

　　第一步：配置全新的DHCP服务器

　　要想实现NAP功能，我们首先要有一个域环境，我们选择其中的一台Windos server 2008，将它设置为DC，域的名称为NAP.com。并在此计算机上安装AD、DNS和Network Access Services，在安装Network Access Services时，只选择安装其中的Router and remote access。

　　将另外一台Windos server 2008加入到NAP.com域，配置称为成员服务器。然后在其上安装DHCP和Network Access Services。在安装的过程中系统将会询问是否安装WAS和IIS，点击确定，安装完成。环境配置好后，我们需要配置的顺序是先配置DHCP，然后配置Network Policy Service。首先在计算机服务中启动DHCP服务，因为DHCP服务默认是不启动的。然后在“Administrative tools”中打开DHCP控制台。首先对DHCP进行授权，右键点击服务器，选择“Authorizes”进行授权验证。接下来，右键点击“IPv4”，然后选择“New Scope”来新建一个范围，范围的IP地址可以根据现实的情况来设置。配置完IP范围后，在“IP4”下面会出现一个“Scope options”，右键点击，然后选择“Configure options”，打开配置对话框，在这个对话框中有两个标签，首先选择“General”。在下面我们需要配置三个选项，首先选择“Router”，然后在下面输入Router的IP地址;其次选择“DNS Server”选项，输入DNS的IP地址;最后选择“DNS Domain Name”，输入域的名称。如图：

　　然后选择“Advanced”标签，在这里我们配置关于NAP的一些选项。首选，在User class下拉列表中选择“Default Network Access Protection Class”，表明我们在配置NAP的选项。然后选择“Router”，在下面输入IP地址;接下来选择“DNS Server”，输入IP地址;最后选择“DNS Domain Name”，在下面输入一个域的名称，如unsecure.nap.com，注意这个域名和之前输入的那个域名并没有什么实际的作用，它们只是方便管理员来区分连到网络中的计算机哪些是安全的，哪些是不安全的。比如，如果计算机是安全的，那么它们就会在NAP.com这个域名下，如果计算机不是安全的，那么它们就会在unsecure.nap.com下。这只是为了方便管理员管理。

　　这些配置完成后，关闭对话框，回到DHCP控制台。我们现在需要做的就是将NAP在DHCP上开启。右键点击“Scope”，选择“Properties”。在属性对话框中，选择“Network Access Protection”标签。选中“Enable for this scope”。此时在DHCP上就开启NAP了。

　　DHCP此时配置完成。

　　第二步：实现我们的NAP配置

　　在DHCP配置完后，接下来就需要在这个Windos server 2008上配置NAP的服务了。首先在“Administrative Tools”里面打开“Network Policy Server”。如图：

　　然后展开左边的Network Access Protection，里面有三个子文件夹：System Health Validators，System Health Validators Templates，Remediation Server Group。首先来看第一个，System Health Validators，这个工具的作用就是检测连接到网络中的计算机哪些是不安全的，安全条件用户可以在里面设置，比如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等等。System Health Validators Templates是健康验证模版，在它里面创建两个模版，一个是安全计算机模版，另一个是不安全计算机的模版。System Health Validators工具验证出来的计算机如果是安全的就归类到System Health Validators Templates中那个安全计算机模版中，如果System Health Validators验证计算机是不安全的，那么它就会归类到不安全的这个模版中。

　　点击左边的“System Health Validators”，在右面的栏目中会列出此文件夹的项目，右击此项目，然后选择“Properties”。打开属性对话框，如图：

　　在此对话框中，可以设置计算机的筛选条件。然后在下半部分，用户可以选择当出现一些其它问题时(如网络问题)，判断计算机是不是安全的，也可以设置为安全的，只需要点击下拉列表，然后选择“Health”就可以了。点击“Configure”进入设置条件对话框。如图：

　　在这里面，用户可以设置防火墙、杀毒软件、安全更新等。这些是检查计算机是否安全的条件。点击“OK”。这个子文件夹的内容就设置好了。设置下一个――System Health Validators Templates。在这里面新建模版，右键点击，选择“NEW”，如图：弹出创建对话框，在里面输入此模版的名称，比如我们创建一个安全计算机的模版，名称为Compliant Computer，在“Template Type”下拉列表选择“Check passes all SHV checks”。表明只有所有的验证条件符合的计算机才是安全的计算机。然后选中验证器Windows Security Health Validator，如图：

　　同样的方法创建一个计算机安全验证失败的模版。这次选中“Client fails one or more SHV checks”，这个选项的意思是如果有一个条件不符合安全机制，就认为这个计算机是不安全的。

　　这一部分完成后，如果不安全的计算机连接到网络，企业希望它被阻止访问企业内部网，同时也希望它能够上网安装补丁，或者进行安全设置以达到企业的标准。那么就需要一台服务器，在它里面可以包含一些安全的补丁，排除错误的方法等等。这个服务器可以配置一个网站，当不安全的计算机连到内部网络的时候，它会自动的访问这个网站，来知道哪些设置是不安全的，以便修复。这样的服务器就是Remediation Server Group。它也可以是一个服务器组。

　　右键点击“Remediation Server Group”，选择“New”。会弹出一个对话框，输入一个Group Name，这个组名是自己定义的，表示用来修复计算机那个服务器所属的组。选择“Next”，然后在里面添加服务器，最后点击完成。

　　这些完成之后，我们需要将已经定制的模版和策略集成在一起。这就需要在Authorization Policies里面设置。右键点击“Authorization Policie”，选择“New”-“Custom”。在此我们进行自定义设置。接下来，就会弹出一个自定义对话框，首先输入一个策略名称，这个策略是应用到安全的计算机的策略，我们起名为Compliant Computer，然后在“Policy Type”里面选择“Grant Access”，允许访问内部网络。如图：

　　然后点击“Conditions”标签，打开此标签。展开左边的树型结构，点击“SHV Templates”，在右边的Existing templates中选择一个策略，在此选择我们以前创建的安全计算机的模版-Compiant Computer。点击“Add”添加这个策略。

　　然后在左边的属性结构中，点击“Network Access Protection”下的NAP-Capable Computers，如图：

　　选择“Only computers that are NAP-capable”。此选项表明应用此策略的计算机是支持NAP的计算机。然后打开最后一个标签“Settings”，点击“Network Access Protection”下的“NAP Enforcement”，然后选择“Do not enforce”，因为这是安全的计算机，所以我们不强制使用NAP。

　　同样的方法创建一个针对不安全计算机的策略。不同的是在策略模版中选择的是不安全计算机的那个模版，“Policy Type”仍然是“Grant Access”。同时在“Settings”标签中的NAP Enforcement中选择“Enforce”，强制使用NAP。并且选中“Update non-compliant computers automatically”。

　　点击左侧的“Remediation Servers”，在里面选中创建的Remediation Group name。如果你想让不安全的计算机连接到网络上以后，自动的进入一个提供了安全措施的Web站点，你需要在Remediation Servers上创建这样一个站点，并且在左边树型结构的Troubleshooting URL中输入这个网址。到此，服务器端的设置就完成了。

　　第三步：将客户端加入保护范畴

　　接下来我们需要配置客户端。如果要使用Windows XP的计算机进行演示，需要在Windows XP上安装一个NAP的客户端，可以在微软站点下载。Windows Vista计算机已经有了NAP的客户端，但是首先需要在Windows Vista计算机服务中将其开启。然后打开MMC，在里面添加“NAP Client Configuration”。如图：

　　在这里面开启DHCP Quarantine Enforcement Client策略。

　　至此NAP DHCP保护的配置工作就全部完成了，如果配置没有问题的话，用户可以将客户端加入到域，然后开启“安全中心”服务(加入到域后默认是关闭安全中心的)。然后关闭防火墙，等一会在机器的右下角就会弹出一个标志，表明计算机是不安全的，被限制访问内部网络。而重启后我们可以发现防火墙会自动开启。

　　NAP的功能对于微软来说，的确是一次不小的挑战与革新，毕竟对于整个网络环境的保护，硬件厂商还是有着无可比拟的先天优势，事实上，很多的硬件厂商都已经有了类似于NAP的安全防护功能，有的甚至比微软的技术更加领先，对于网络环境的保护已经成为软硬件厂商激烈竞争的新领域，随着Windos server 2008全新测试版本的推出，NAP另外的几种保护模式也将逐渐成形，到时我们就可以看到更加丰富多彩的网络访问保护了。