Windows Server 2008 安全――NAP 加強(qiáng)網(wǎng)絡(luò)訪問保護(hù)
微軟就替所有的用戶找到了一個強(qiáng)制性的執(zhí)行安全策略:檢測一臺計算機(jī)系統(tǒng)是否已經(jīng)滿足了“安全策略”,并以此來決定是否允許其接入本地網(wǎng)絡(luò)。這就是NAP的作用,也是Windows Server 2008 的健康策略平臺。它通過強(qiáng)制計算機(jī)符合系統(tǒng)健康策略要求,更好地保護(hù)網(wǎng)絡(luò)資產(chǎn);借助網(wǎng)絡(luò)訪問保護(hù),您可以創(chuàng)建自定義的健康策略以在允許訪問或通信之前驗(yàn)證計算機(jī)的健康狀況、自動更新符合要求的計算機(jī)以確保持續(xù)的符合性,也可以將不符合健康策略要求的計算機(jī)限制在受限網(wǎng)絡(luò),直到它們變?yōu)榉蠟橹埂?/p>
為了強(qiáng)制哪些存在安全隱患的客戶端計算機(jī)系統(tǒng)能夠重新符合網(wǎng)絡(luò)訪問健康標(biāo)準(zhǔn),NAP通過系統(tǒng)健康驗(yàn)證器、系統(tǒng)運(yùn)行狀況代理以及第三方網(wǎng)絡(luò)安全保護(hù)應(yīng)用程序等進(jìn)行互相操作,確保讓哪些不符合健康檢查的客戶端計算機(jī)系統(tǒng)能夠自動使用我們事先指定的安全解決方案,例如更新系統(tǒng)補(bǔ)丁程序,安裝網(wǎng)絡(luò)防火墻程序,安裝防病毒軟件,使用VPN網(wǎng)絡(luò)連接等。
總之,在NAP功能的幫助下,網(wǎng)絡(luò)管理員可以讓W(xué)indows Server 2008服務(wù)器系統(tǒng)自動為客戶端計算機(jī)進(jìn)行安全檢查,而不需要耗費(fèi)客戶端計算機(jī)自身的系統(tǒng)資源;在NAP功能的幫助下,網(wǎng)絡(luò)管理員可以確定正在訪問網(wǎng)絡(luò)的客戶端計算機(jī)系統(tǒng)是否有權(quán)訪問服務(wù)器中的資源信息,如果發(fā)現(xiàn)客戶端計算機(jī)沒有訪問權(quán)限時,可以不需要進(jìn)行任何設(shè)置或更新,讓其直接訪問網(wǎng)絡(luò)管理員事先指定的受限網(wǎng)絡(luò);在NAP功能的幫助下,網(wǎng)絡(luò)管理員還可以讓W(xué)indows Server 2008服務(wù)器系統(tǒng)自動為客戶端計算機(jī)提供最新的更新,從而有效避免訪問Internet資源時可能帶來的潛在安全威脅。
安全檢查流程
使用NAP功能對局域網(wǎng)客戶端進(jìn)行安全檢查時,一般需要經(jīng)過網(wǎng)絡(luò)訪問健康認(rèn)證、隔離網(wǎng)絡(luò)、自動修正以及持續(xù)監(jiān)控等流程。
為了判斷客戶端是否是健康的,我們往往需要事先定義好一組訪問規(guī)則,以便通過該規(guī)則對客戶端系統(tǒng)狀態(tài)進(jìn)行驗(yàn)證評估。當(dāng)有客戶端企圖與局域網(wǎng)網(wǎng)絡(luò)建立連接時,NAP功能就會自動使用安全健康程序與事先定義好的健康策略進(jìn)行比較,符合這些健康策略的客戶端就會被認(rèn)為是安全性良好的工作站,而不符合其中任意一項(xiàng)健康策略的客戶端就會被看成是存在安全威脅的工作站。
對于那些存在安全威脅的客戶端,我們可以通過NAP功能將客戶端的網(wǎng)絡(luò)連接設(shè)置成各種狀態(tài),當(dāng)NAP功能認(rèn)為目標(biāo)客戶端由于不符合健康標(biāo)準(zhǔn)而被看成不安全系統(tǒng)時,那么NAP功能將會直接將該工作站隔離到受限網(wǎng)絡(luò)中,讓其與局域網(wǎng)中其他客戶端邏輯隔絕開來,直至目標(biāo)客戶端的網(wǎng)絡(luò)訪問健康標(biāo)準(zhǔn)符合要求為止。
為了方便讓那些不符合健康標(biāo)準(zhǔn)的客戶端工作站快速地恢復(fù)到健康標(biāo)準(zhǔn),我們還可以通過NAP功能為客戶端提供安全補(bǔ)救策略,例如更新補(bǔ)丁程序、安裝防火墻以及殺毒軟件等,讓那些已經(jīng)處于隔離狀態(tài)的客戶端不需要通過網(wǎng)絡(luò)管理員的手工操作就能自動修正運(yùn)行狀態(tài)。當(dāng)然,要實(shí)現(xiàn)自動修正目的,我們需要對受限的網(wǎng)絡(luò)進(jìn)行合適的設(shè)置,確保該網(wǎng)絡(luò)能夠允許存在安全隱患的客戶端訪問安裝必要的更新程序。
對那些已經(jīng)符合健康標(biāo)準(zhǔn)的客戶端,NAP功能仍然會對它進(jìn)行持續(xù)監(jiān)控,也就是強(qiáng)制客戶端系統(tǒng)在訪問局域網(wǎng)網(wǎng)絡(luò)期間,而不單單在建立網(wǎng)絡(luò)連接的初始時候,始終監(jiān)控這些能夠保持狀態(tài)良好的網(wǎng)絡(luò)訪問健康策略。一旦客戶端系統(tǒng)狀態(tài)與我們事先定義的健康策略不相符合時,比方說禁用了Windows系統(tǒng)防火墻,那么NAP功能將會自動重新開啟防火墻,直到恢復(fù)正常健康狀態(tài)后,才能讓客戶端系統(tǒng)重新訪問網(wǎng)絡(luò)。
啟用NAP功能
首先打開Windows Server 2008服務(wù)器系統(tǒng)的“開始”菜單,點(diǎn)選其中的“程序”選項(xiàng),從下拉菜單中依次單擊“管理工具”/“服務(wù)器管理器”選項(xiàng),進(jìn)入本地服務(wù)器管理器界面。要想成功安裝啟用NAP功能,既要保證本地服務(wù)器系統(tǒng)已經(jīng)成功安裝Windows Update中的最新安全更新,又要保證本地服務(wù)器系統(tǒng)的網(wǎng)絡(luò)參數(shù)已經(jīng)設(shè)置正確,同時登錄服務(wù)器系統(tǒng)的用戶需要使用強(qiáng)密碼。
要想啟用NAP功能,我們應(yīng)該將這里的“網(wǎng)絡(luò)策略和訪問服務(wù)”項(xiàng)目選中,之后繼續(xù)單擊向?qū)Э蛑械?ldquo;下一步”按鈕,我們將看到有關(guān)網(wǎng)絡(luò)策略以及訪問服務(wù)簡介信息,從該信息中我們可以了解到網(wǎng)絡(luò)策略和訪問服務(wù)允許提供本地和遠(yuǎn)程網(wǎng)絡(luò)訪問權(quán)限,并允許使用網(wǎng)絡(luò)策略服務(wù)器、路由和遠(yuǎn)程訪問服務(wù)、健康注冊授權(quán)機(jī)構(gòu)和憑據(jù)授權(quán)協(xié)議定義和強(qiáng)制用于網(wǎng)絡(luò)訪問身份驗(yàn)證、授權(quán)和客戶端健康的策略;
之后繼續(xù)單擊“下一步”按鈕,打開如圖2所示的向?qū)гO(shè)置對話框,選中其中的“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)以及相關(guān)選項(xiàng),最后單擊“安裝”按鈕,那樣的話服務(wù)器系統(tǒng)就會將NAP功能安裝成功了。
安全檢查配置
首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單,從中逐一點(diǎn)選“程序”、“管理工具”、“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)目,進(jìn)入網(wǎng)絡(luò)策略服務(wù)器控制臺界面,如圖3所示;
通常情況下,我們先要在Windows Server 2008系統(tǒng)中創(chuàng)建兩個基本策略,一個是安全的策略,另一個就是不安全策略,符合安全策略的客戶端就會被NAP功能認(rèn)為是健康客戶端,而符合不安全策略的客戶端會被NAP功能看成是不健康客戶端。
在新建客戶端的安全策略時,我們可以在圖3所示的左側(cè)列表窗格中逐一點(diǎn)選“策略”/“健康策略”節(jié)點(diǎn)選項(xiàng),并右擊“健康策略”選項(xiàng),執(zhí)行右鍵菜單中的“新建”命令,在其后彈出的設(shè)置窗口中,將健康策略的名稱設(shè)置為“健康系統(tǒng)”,同時將“客戶端SHV檢查”參數(shù)修改為“客戶端通過了所有SHV檢查”,最后單擊“確定”按鈕退出設(shè)置窗口,如此一來客戶端的安全策略就創(chuàng)建好了。按照同樣的操作步驟,我們再新建一個不安全策略,在創(chuàng)建過程中只要將該策略的“客戶端SHV檢查”參數(shù)修改為“客戶端未能通過所有SHV檢查”就可以了。
哪什么樣的客戶端才是健康的、安全的呢?通過設(shè)置這里的系統(tǒng)健康驗(yàn)證器,NAP功能就能自動連接檢測出連接到網(wǎng)絡(luò)中的客戶端哪些是不安全的,安全條件我們可以直接在這里設(shè)置,例如沒有安裝殺毒軟件就認(rèn)為是不安全的,關(guān)閉了系統(tǒng)防火墻程序就會被認(rèn)為是不健康等等!
在系統(tǒng)健康驗(yàn)證器時,我們可以在圖3所示的左側(cè)列表窗格中逐一點(diǎn)選“網(wǎng)絡(luò)訪問保護(hù)”/“系統(tǒng)健康驗(yàn)證器”節(jié)點(diǎn)選項(xiàng),在該節(jié)點(diǎn)選項(xiàng)下面用鼠標(biāo)右鍵單擊“Windows安全健康驗(yàn)證程序”項(xiàng)目,并執(zhí)行快捷菜單中的“屬性”命令,之后單擊其后界面中的“配置”按鈕,進(jìn)入如圖4所示的設(shè)置對話框,在這里我們根據(jù)實(shí)際要求選用或忽略各種安全設(shè)置選項(xiàng),例如要是本地局域網(wǎng)網(wǎng)絡(luò)對安全性能要求較高時,我們可以選中這里的所有安全設(shè)置選項(xiàng),日后客戶端符合了所有安全選項(xiàng)驗(yàn)證,NAP功能才會認(rèn)為該客戶端系統(tǒng)是健康的、安全的。
當(dāng)NAP功能檢測到客戶端符合不健康策略時,還能為對應(yīng)系統(tǒng)提供相關(guān)的修正措施,以便強(qiáng)制不健康的客戶端從我們事先指定的更新服務(wù)器中下載安裝病毒庫更新程序或系統(tǒng)補(bǔ)丁程序,直到客戶端系統(tǒng)重新符合健康策略標(biāo)準(zhǔn)。在這里我們可以通過設(shè)置更新服務(wù)器參數(shù),來強(qiáng)行讓不健康客戶端系統(tǒng)只能去訪問那些補(bǔ)丁程序服務(wù)器。
在設(shè)置更新服務(wù)器參數(shù)時,我們可以按照前面的操作步驟打開網(wǎng)絡(luò)策略服務(wù)器控制臺窗口,依次點(diǎn)選該窗口左側(cè)顯示窗格中的“網(wǎng)絡(luò)訪問保護(hù)”、“更新服務(wù)器組”節(jié)點(diǎn)選項(xiàng),并用右擊目標(biāo)節(jié)點(diǎn)選項(xiàng),再執(zhí)行右鍵菜單中的“新建”命令,在其后出現(xiàn)的設(shè)置窗口中(如圖5所示),單擊“添加”按鈕,再輸入病毒庫更新服務(wù)器或系統(tǒng)補(bǔ)丁服務(wù)器所在主機(jī)的名稱或IP地址,最后單擊“確定”按鈕退出設(shè)置窗口,那樣的話不安全的客戶端日后就能自動訪問指定的服務(wù)器,去完成系統(tǒng)補(bǔ)丁下載安裝操作以及網(wǎng)絡(luò)病毒升級操作了。
一旦完成了病毒更新以及系統(tǒng)補(bǔ)丁程序的下載安裝操作后,客戶端再次訪問局域網(wǎng)網(wǎng)絡(luò)時,NAP功能就會認(rèn)為它是健康的客戶端了,從而允許該客戶端重新訪問局域網(wǎng)網(wǎng)絡(luò)了。
完成上面的配置操作后,我們?nèi)蘸笾灰P(guān)閉局域網(wǎng)路由器中的DHCP服務(wù)功能,并由NAP功能下面的DHCP服務(wù)配合網(wǎng)絡(luò)訪問策略來完成強(qiáng)制安全檢查操作,就能達(dá)到保護(hù)網(wǎng)絡(luò)安全目的了。
最后,注意NAP不能取代計算機(jī)系統(tǒng)和網(wǎng)絡(luò)內(nèi)的別的安全系統(tǒng),像殺毒軟件、防火墻、入侵檢測等,實(shí)際上,NAP的作用只是用來檢查將要接入本地局域網(wǎng)絡(luò)的客戶端是否具有完備的安全補(bǔ)丁,是否有安全配置方面的錯誤等來提升用戶計算機(jī)的安全性從而達(dá)到網(wǎng)絡(luò)訪問保護(hù)的作用。
【編輯推薦】
- 解讀Windows Server 2008 R2安全性和高可靠性
- Windows Server 2008 R2中托管服務(wù)帳號的方法
- Windows Server 2008 R2安全性能體驗(yàn)
- Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
- Windows Server 2008 R2中如何托管服務(wù)賬號
