WEB开发网
开发学院操作系统windows 2008 详解Windows Server 2008中的NAP 阅读

详解Windows Server 2008中的NAP

 2008-08-21 12:36:18 来源:WEB开发网   
核心提示: HRA相当特殊,主要是用在NAP IPsec策略强制执行的架构,详解Windows Server 2008中的NAP(2),在受到IPsec防护的局域网络范围内,当个人端计算机被判定为符合网络安全策略时,不处理授权的动作,所有的网络访问授权与账户的管理,会获得一份代表健康的凭证,假如其它共

HRA相当特殊,主要是用在NAP IPsec策略强制执行的架构,在受到IPsec防护的局域网络范围内,当个人端计算机被判定为符合网络安全策略时,会获得一份代表健康的凭证,假如其它共处同一个网络的个人端计算机与它连接,也会同步验证这份凭证;如果通不过策略遵循的检查,即无法取得健康凭证,IPsec的端点认证也会跟着失败,这台电脑也就无法和其它计算机通讯。

NPS还可以细分成四个主要组件:

RADIUS Clients and Servers:是指其它的RADIUS个人端装置,服务器所指的是其它的NPS服务器,当企业用户将NPS服务器设为RADIUS代理服务器时,可以将认证和授权的连接需求转送其它RADIUS服务器,如果公司的网络环境采用多网域或多重树系,可以透过这个机制导引。

Policy:分成连接需求、网络与健康状态等三种类型的策略设定。连接需求的策略用来处理连接至远程NPS服务器或其它RADIUS服务器的状况,让NPS成为检验是否遵循RADIUS协议认证的网关装置,例如支持802.1x的无线AP和认证交换器、执行路由和远程访问服务(RRAS)而成为VPN或拨接网络的服务器,以及Terminal Services网关。本地网域和信任网域用预设策略即可。

网络策略可以分成6种以上的形态包括未指定、远程访问服务器、以太网络、Terminal Services网关、无线AP、HRA、HCAP服务器与DHCP服务器。

至于健康状态的策略,一般来说,可设定成「通过全部检查」或「其中一项未通过」,还可以选择其它5种选项,例如全部失败、部分通过、判定为已感染恶意程序、无法判定,都可以找到对应的情境去套用策略。

Network Access Protection:只负责检查受控端计算机的健康状态(System Health Validator,SHV)和补救服务器(Remediation Server)的设定。所谓的补救服务器,包括DNS服务器、网域控制站、置放防毒特征码的档案服务器、软件更新服务器等,让那些无法通过健康检查的计算机有修正的机会。验证完毕之后如果要再执行其它工作,须从策略上加以制定。

在SHV可以定义Windows XP和Vista的健康状态,例如是否启用Windows防火墙、自动更新,是否安装防毒软件、防间谍软件(Windows XP的SHV不支持这项检查),以及两者的特征码是否属于最新状态,以及可以设定几小时内再完成安全更新。如果企业内部先前已经架设微软提供Windows Server Update Services(WSUS)更新服务器,也可以在这里设定,就近取得更新信息与档案。

关于防毒软件的支持,微软声称可以辨识本身的Forefront Client Secuirty,以及Symantec、趋势、McAfee等厂牌防毒软件的特征码,至于防间谍程序目前只支持Windows Defender。

Accounting:负责产生记录文件,可存成IAS.log,或是SQL Server所能读写的记录文件。如果企业本身的稽核程度较严格,例如金融业,可以将这些信息转存到SQL Server内。

NPS负责策略与评估作业

实际上NPS是怎么认证每一台受控端呢?使用者将计算机开机上网,打算访问网络,因此网络设备和网络策略服务器要求使用者出示健康证明,例如系统自动更新状态、防火墙、防毒软件是否启用等,如果个人端计算机中的System Health Agent(SHA)所宣告的系统状态通过SHV的检查以及NAP的策略,这些设备和系统会将证明与连接细项传回策略服务器。

评估连接细项后,网络策略服务器将使用者授权证明传递给Active Directory要求授权,如果符合策略要求且使用者授权通过,则允许访问网络,接下来批准使用者或装置访问。

需要特别注意的是NPS只负责以本身存放的策略设定加以评估,不处理授权的动作。所有的网络访问授权与账户的管理,都需要搭配网域控制站。

上一页  1 2 

Tags:详解 Windows Server

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接