巧用Windows Server 2008的NPS策略

核心提示：单位员工大部分是移动办公一族，由于病毒库更新不及时、系统补丁没有安装，巧用Windows Server 2008的NPS策略，使移动办公设备处于危险状态，访问内部网络时很可能威胁整个网络，需要对客户端计算机进行配置：在组策略中启用“启用安全中心(仅限域PC)”策略;启用“DHCP隔离

单位员工大部分是移动办公一族，由于病毒库更新不及时、系统补丁没有安装，使移动办公设备处于危险状态，访问内部网络时很可能威胁整个网络。该如何防守网络访问这扇门呢?

笔者所在的单位是一家传媒公司，有数百人的记者队伍，每位记者都配备了笔记本电脑以及上网设备。记者经常携带笔记本电脑出差，很长时间不登录内部网络。网络中统一部署了防病毒软件以及系统补丁更新，记者通过VPN或者其他方式连接公司网络时，连接时间非常短，不能够立即下载系统补丁和病毒库。由于病毒库更新不及时，以及系统补丁没有安装，使其笔记本电脑处于“危险”状态，一旦感染病毒并将病毒或者木马等其他恶意软件带到内部网络中，将对网络造成极大影响。

有什么样的方法，可以在刚登录网络时，自动检测客户端计算机的安全性，符合安全标准后，才允许登录到网络中呢?那就是NAP，网络保护策略。

NAP严把关

Windows Server 2008提供了NAP(Network Access Protection)功能，网络保护策略是任何客户端计算机(客户端以及VPN客户)必须通过网络健康检查，如是否安装最新的安全补丁、防病毒软件的特征库是否更新、是否启用防火墙等，符合安全条件后才允许进入内部网络。未通过系统健康检查的计算机会被隔离到一个受限制访问网络。在受限制访问网络中，修复计算机的状态(如从补丁服务器下载专门的系统补丁，强制开启防火墙策略等)，在达到网络健康标准后，才允许接入公司内部网络。

Windows Server 2008提供了多种网络访问保护的方法，最简捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服务，完成网络访问保护。部署该策略，需要对客户端计算机进行配置：在组策略中启用“启用安全中心(仅限域PC)”策略;启用“DHCP隔离强制客户端”策略。启用NAP代理服务，建议设置为“自动”启动模式。