主頁 > 知識庫 > Windows Server 2008 NAP教程

Windows Server 2008 NAP教程
熱門標簽:即墨市地圖標注app 怎樣在地圖標注沒有路線 已知坐標如何在谷歌地圖標注 襄陽智能營銷電銷機器人怎么樣 北京自動外呼系統(tǒng)中心 黃河三角洲地圖標注app 衢州電話外呼系統(tǒng) 外呼線路怎么實現(xiàn)的 代縣地圖標注
在Windows Server 2008中的各項特色中,可用于輔助企業(yè)強化個人端計算機安全管理的網(wǎng)絡訪問防護(Network Access Protection,NAP),這項功能無疑是大家最渴望了解的項目之一,尤其是網(wǎng)絡信息安全這兩個領域。

  簡單地說,為了預防不符合企業(yè)安全策略的計算機,NAP可以透過批準連接與否而加以限制,這些不符合策略的狀態(tài)包括:未啟動自動更新、定期修補系統(tǒng)漏洞不確實、未安裝防毒軟件或啟用個人防火墻、防毒軟件特征碼/掃毒引擎超過期限而未更新。

  整合策略控管與身分的認證、授權

  想要啟動NAP,必須從Server Manager上加入新的服務器角色開始,它的名稱是Network Policy and Access Services(NPAS)。完成一系列安裝步驟之后,「開始」的程序集中的系統(tǒng)工具會增加一個快捷方式——Network Policy Server(NPS)。

  當執(zhí)行Network Policy Server的主控臺時,會立即出現(xiàn)三種標準選項,讓你可以快速套用設定。按下Configure NAP,會啟動安裝助手協(xié)助管理員一步步完成設定。

  其實NPS的前身就是Windows Server 2003上的Internet驗證服務(Internet Authentication Services,IAS),搭配集中化的RADIUS認證、授權與記錄機制,繼續(xù)涵蓋有線、無線與VPN網(wǎng)絡,而不是額外產(chǎn)生一個新的服務器執(zhí)行環(huán)境。因此它也可以轉送認證與統(tǒng)計訊息到其它RADIUS服務器上,作為RADUIS代理服務器之用。

  總而言之,NAP是功能名稱,但對于Windows Server 2008而言,這項功能的提供,主要仰賴上面提到的服務器角色。

  包含策略服務器與強制檢查服務器  在第一次安裝NPAS時,我們可以看到里面包括了NPS、遠程訪問服務(RAS)、路由(Routing)、Health Registration Authority(HRA)。

  HRA相當特殊,主要是用在NAP IPsec策略強制執(zhí)行的架構,在受到IPsec防護的局域網(wǎng)絡范圍內(nèi),當個人端計算機被判定為符合網(wǎng)絡安全策略時,會獲得一份代表健康的憑證,假如其它共處同一個網(wǎng)絡的個人端計算機與它連接,也會同步驗證這份憑證;如果通不過策略遵循的檢查,即無法取得健康憑證,IPsec的端點認證也會跟著失敗,這臺電腦也就無法和其它計算機通訊。

  NPS還可以細分成四個主要組件:

  RADIUS Clients and Servers:是指其它的RADIUS個人端裝置,服務器所指的是其它的NPS服務器,當企業(yè)用戶將NPS服務器設為RADIUS代理服務器時,可以將認證和授權的連接需求轉送其它RADIUS服務器,如果公司的網(wǎng)絡環(huán)境采用多網(wǎng)域或多重樹系,可以透過這個機制導引。

  Policy:分成連接需求、網(wǎng)絡與健康狀態(tài)等三種類型的策略設定。連接需求的策略用來處理連接至遠程NPS服務器或其它RADIUS服務器的狀況,讓NPS成為檢驗是否遵循RADIUS協(xié)議認證的網(wǎng)關裝置,例如支持802.1x的無線AP和認證交換器、執(zhí)行路由和遠程訪問服務(RRAS)而成為VPN或撥接網(wǎng)絡的服務器,以及Terminal Services網(wǎng)關。本地網(wǎng)域和信任網(wǎng)域用預設策略即可。

  網(wǎng)絡策略可以分成6種以上的形態(tài)包括未指定、遠程訪問服務器、以太網(wǎng)絡、Terminal Services網(wǎng)關、無線AP、HRA、HCAP服務器與DHCP服務器。

  至于健康狀態(tài)的策略,一般來說,可設定成「通過全部檢查」或「其中一項未通過」,還可以選擇其它5種選項,例如全部失敗、部分通過、判定為已感染惡意程序、無法判定,都可以找到對應的情境去套用策略。

  Network Access Protection:只負責檢查受控端計算機的健康狀態(tài)(System Health Validator,SHV)和補救服務器(Remediation Server)的設定。所謂的補救服務器,包括DNS服務器、網(wǎng)域控制站、置放防毒特征碼的檔案服務器、軟件更新服務器等,讓那些無法通過健康檢查的計算機有修正的機會。驗證完畢之后如果要再執(zhí)行其它工作,須從策略上加以制定。

  在SHV可以定義Windows XP和Vista的健康狀態(tài),例如是否啟用Windows防火墻、自動更新,是否安裝防毒軟件、防間諜軟件(Windows XP的SHV不支持這項檢查),以及兩者的特征碼是否屬于最新狀態(tài),以及可以設定幾小時內(nèi)再完成安全更新。如果企業(yè)內(nèi)部先前已經(jīng)架設微軟提供Windows Server Update Services(WSUS)更新服務器,也可以在這里設定,就近取得更新信息與檔案。

  關于防毒軟件的支持,微軟聲稱可以辨識本身的Forefront Client Secuirty,以及Symantec、趨勢、McAfee等廠牌防毒軟件的特征碼,至于防間諜程序目前只支持Windows Defender。

  Accounting:負責產(chǎn)生記錄文件,可存成IAS.log,或是SQL Server所能讀寫的記錄文件。如果企業(yè)本身的稽核程度較嚴格,例如金融業(yè),可以將這些信息轉存到SQL Server內(nèi)。

  NPS負責策略與評估作業(yè)

  實際上NPS是怎么認證每一臺受控端呢?使用者將計算機開機上網(wǎng),打算訪問網(wǎng)絡,因此網(wǎng)絡設備和網(wǎng)絡策略服務器要求使用者出示健康證明,例如系統(tǒng)自動更新狀態(tài)、防火墻、防毒軟件是否啟用等,如果個人端計算機中的System Health Agent(SHA)所宣告的系統(tǒng)狀態(tài)通過SHV的檢查以及NAP的策略,這些設備和系統(tǒng)會將證明與連接細項傳回策略服務器。

  評估連接細項后,網(wǎng)絡策略服務器將使用者授權證明傳遞給Active Directory要求授權,如果符合策略要求且使用者授權通過,則允許訪問網(wǎng)絡,接下來批準使用者或裝置訪問。

  需要特別注意的是NPS只負責以本身存放的策略設定加以評估,不處理授權的動作。所有的網(wǎng)絡訪問授權與賬戶的管理,都需要搭配網(wǎng)域控制站。

標簽:七臺河 杭州 湘潭 恩施 棗莊 廣州 成都 賀州

巨人網(wǎng)絡通訊聲明:本文標題《Windows Server 2008 NAP教程》,本文關鍵詞  Windows,Server,2008,NAP,教程,;如發(fā)現(xiàn)本文內(nèi)容存在版權問題,煩請?zhí)峁┫嚓P信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《Windows Server 2008 NAP教程》相關的同類信息!
  • 本頁收集關于Windows Server 2008 NAP教程的相關信息資訊供網(wǎng)民參考!

    • 四合一精品企业网站建设

    多一个网站就为企业多增加一条营销渠道

    ¥888限时抢购

    QQ立即咨询快速购买

    企业400电话

    智能AI客服机器人
    15000

    在线订购

    合计11份范本:公司章程+合伙协议+出资协议+合作协议+股权转让协议+增资扩股协议+股权激励+股东会决议+董事会决议

    推薦文章