善用NAP 让Windows 2008为客户端“体检”

核心提示： 为了强制那些存在安全隐患的客户端工作站系统能够重新符合网络访问健康标准，NAP通过系统健康验证器、系统运行状况代理以及第三方网络安全保护应用程序等进行互相操作，善用NAP 让Windows 2008为客户端“体检”(2)，确保让那些不符合健康“体检”的客户端工作站系

为了强制那些存在安全隐患的客户端工作站系统能够重新符合网络访问健康标准，NAP通过系统健康验证器、系统运行状况代理以及第三方网络安全保护应用程序等进行互相操作，确保让那些不符合健康“体检”的客户端工作站系统能够自动使用我们事先指定的安全解决方案，例如更新系统补丁程序，安装网络防火墙程序，安装防病毒软件，使用VPN网络连接等。

总之，在NAP功能的帮助下，网络管理员可以让Windows Server 2008服务器系统自动为客户端工作站进行安全“体检”，而不需要耗费客户端工作站自身的系统资源；在NAP功能的帮助下，网络管理员可以确定正在访问网络的客户端工作站系统是否有权访问服务器中的资源信息，如果发现客户端工作站没有访问权限时，可以不需要进行任何设置或更新，让其直接访问网络管理员事先指定的受限网络访问；在NAP功能的帮助下，网络管理员还可以让Windows Server 2008服务器系统自动为客户端工作站提供最新的更新，从而有效避免访问Internet资源时可能带来的潜在安全威胁。

安全体检流程

使用NAP功能对局域网客户端工作站进行安全体检时，一般需要经过网络访问健康认证、隔离网络、自动修正以及持续持续监控等流程。

为了判断客户端工作站是否是健康的，我们往往需要事先定义好一组访问规则，以便通过该规则对工作站系统状态进行验证评估。当有客户端工作站企图与局域网网络建立连接时，NAP功能就会自动使用安全健康程序与事先定义好的健康策略进行比较，符合这些健康策略的客户端工作站就会被看承是安全性良好的工作站，而不符合其中任意一项健康策略的工作站就会被看成是存在安全威胁的工作站。

对于那些存在安全威胁的工作站，我们可以通过NAP功能将工作站的网络连接设置成各种状态，当NAP功能认为目标工作站由于不符合健康标准而被看成不安全系统时，那么NAP功能将会直接将该工作站隔离到受限网络中，让其与局域网中其他工作站逻辑隔绝开来，直至目标工作站的网络访问健康标准符合要求为止。