Win2008 R2實戰之NAP技術預覽

 

一日，小趙正專心的在屏幕前看着資料，一個電話忽然想起，嚇了小趙一跳，接起電話，那頭便響起了急促了聲音：小趙，快幫我看看，我電腦中毒了，如今桌面亂七八糟的，文件夾都混亂了。小趙聽罷，悻悻說：必定是你小子不幹好事，中招了吧。電話那頭也急了：沒有呀，我正在作PPT呢，忽然就程序關閉，亂七八糟了。小趙聽了：知道了，一會過去給你看看。剛放下電話，忽然IT部的電話鈴聲幾乎同時想起，你們都在抱怨說中病毒了，敏感的小趙忽然意識到狀況不對，詢問了幾位有此狀況的同事，發現你們幾乎都同樣，正常工做時病毒就爆發了。通過一上午的緊急響應，病毒風波算是平息了下來。過後，IT經理開會討論，問及緣由，小趙說：發生問題的電腦多數沒有安裝最新的系統補丁，殺毒軟件也沒有及時更新，防火牆處於關閉狀態，致使了病毒普遍傳播。但根源是一臺幾乎沒有任何防禦措施員工筆記本接入了公司網絡，形成了此次事故。通過IT部門的集體討論，你們一致決定經過部署NAP技術來解決內網安全隱患問題。

1、 NAP(Network Access Protection)概述

NAP是一種包含在Windows Server 2008 R二、Windows Server 2008 、Windows Vista、Windows 7和Windows XP SP3中的策略執行平臺，旨在經過計算機健康狀態檢測技術，保護企業內部網絡免受非安全客戶端的網絡威脅。經過NAP平臺，系統管理員能夠自定義健康安全策略，在客戶端訪問企業網絡以前，使用策略檢測客戶端健康狀態，確保接入企業網絡的客戶端安全狀態良好，而且阻止不健康的客戶端接入，將它們放入受限網絡，進行健康修補，直到符合健康策略爲止。

同時，NAP也提供了應用程序接口集，使第三方廠商可以爲健康策略驗證，網絡訪問限制等功能提供諸如防病毒、補丁管理、×××和網絡設備的第三方解決方案。

 

2、 網絡訪問保護組件

網絡訪問保護包括3個主要的特性組件，它們都包含在Windows Server 2008的功能中。

健康情況組件

系統健康狀態代理(System Health Agent)：檢查系統健康狀態，如補丁、反病毒、反間諜軟件的新舊程度等。

系統健康驗證器(System Health Validator)：驗證系統健康狀態代理的所提供的信息，並給出聲明。

系統健康狀態服務器：定義客戶端的健康狀態需求。在Windows Server 2008中，是指網絡策略服務器(Network Policy Server)。

修正服務器：爲不符合健康狀態要求的客戶端提供修補，好比安裝補丁，升級殺毒軟件病毒庫，使之成爲健康狀態。

強制組件

強制客戶端(Enforcement Client)：指使用NAP平臺的客戶端。Windows 七、Windows vista、Windows XP SP3都支持NAP，而且都內置系統健康代理組件。強制客戶端請求訪問網絡、與提供網絡訪問的 NAP 服務器(如 NAP 服務器)交流客戶端計算機的健康狀態，並與 NAP 客戶端體系結構的其餘組件交流客戶端計算機的受限狀態。

網絡訪問設備：提供NAP客戶端的網絡訪問，好比交換機和無線AP。

健康註冊機構：給健康客戶端頒發安全證書。

隔離平臺組件

隔離代理(Quarantine Agent)： 報告客戶端健康狀態，以及SHA和EC之間的協做。

隔離服務器(Quarantine Server)：根據系統健康代理提供的客戶端健康狀態信息，限制客戶的網絡訪問。

 

 

3、 網絡訪問保護強制機制

在Windows Server 2008 中，網絡訪問保護提供了一個靈活的平臺，包含了多中強制機制：

DHCP強制：這是一種很是簡單有效的強制方式，經過SHA反饋的客戶端健康狀態來限制哪些客戶端能夠得到DHCP地址來訪問網絡。但此方式的缺點在於客戶端能夠自行更改IP地址來進行網絡訪問。不過在結合活動目錄域管理後，此強制模式效果會很是好。

×××強制：對於常常漫遊的客戶端來講，網絡訪問保護機制一樣有效。雖然採用加密隧道方式跨越了非安全網絡，但網絡訪問保護依然能夠檢測並控制客戶端計算機的健康狀態。

802.1X強制：此強制方式多用於使用無線網絡的客戶端訪問場景。802.1X基於端口強制，NPS服務器可經過IP篩選器或VLAN標識符限制來自客戶端的網絡訪問。

IPsec強制：IPsec經過使用證書來加密全部通訊，得到極高的安全性。經過檢測客戶端的系統健康狀態來控制哪些客戶端能夠擔當IPsec客戶端，來保護NAP客戶端之間的通訊安全。

遠程桌面網關強制：這是爲Windows Server 2008 R2中的遠程桌面服務角色提供的一種全新強制方式，這種方式經過監視遠程桌面客戶端系統的健康狀態，來保障內部網絡的安全。

 

4、 NAP在Windows Server 2008 R2中的新增功能

1. 多配置的系統健康驗證

經過該功能能夠指定系統健康驗證器的多個配置，不一樣的網絡策略可根據 SHV 的特定配置指定不一樣的健康要求集。可根據實際要求在NAP客戶端上啓用如下一個或多個選項：

防火牆

病毒防禦

防病毒軟件的病毒庫爲最新

間諜軟件防禦

防間諜軟件的病毒庫爲最新

自動更新

安全更新

2. 客戶端界面改進

微軟在收集了用戶交互反饋後，在運行Windows 7的計算機中，將NAP客戶端集成到了操做中內心，改善了用戶體驗。

3. 與Direct Access的整合

Direct Access在使用IPsec保護IPv6通訊以前，會先進行健康狀態評估，而後在容許經過Direct Access訪問企業內部網絡。不過須要注意的是，客戶端在進入內網前須要能訪問健康註冊受權機構以獲取使用IPsec加密的證書。

經過以上描述，想必你們對網絡訪問保護技術已經有了一個初步的瞭解，接下來，我將對其中的各個強制保護機制進行詳細的部署講解，看看NAP技術是如何解決Contoso公司內網安全隱患的。