善用NAP 讓Windows 2008為用戶端“體檢”

俗話說“林子大了，什麼鳥都有”，當區域網路規模比較大時，接入到區域網路網路中的用戶端工作站安全狀況也 是參差不齊，有只安裝了殺毒軟體的，有只安裝了防火牆的，也有同時安裝殺毒軟體或防火牆的，更有什麼也沒有 安裝的。當沒有採取任何安全保護措施的工作站訪問區域網路伺服器時，網路病毒很可能會通過這些工作站襲擊服務 器甚至整個區域網路網路，從而導致伺服器不能正常對外提供服務，造成整個區域網路網路運行效率下降。

那我們怎樣才能有效防止那些存在潛在安全隱患的用戶端工作站訪問區域網路伺服器，從而給區域網路伺服器帶來 巨大安全威脅呢？要做到這一點，相信許多人都會說只要強制工作站系統安裝好殺毒軟體、防火牆程式，定期安裝 更新系統補丁，就能保證工作站系統安全訪問區域網路伺服器了。話是這麼說，但實際上這樣的強制措施很難執行下 去；不過，在Windows Server 2008系統內容下，我們可以利用該系統新增加的NAP功能——網路存取保護功能，來 對企圖訪問Windows Server 2008伺服器系統的任何一台用戶端工作站系統進行安全“體檢”，一旦發現有不符合 安全健康標準的用戶端在訪問區域網路網路時，立即強制其進行安全修正，或者限制其網路訪問活動，直到不符合安 全健康標準的用戶端系統符合訪問健康標準為止！

撩開NAP面紗

NAP的中文名稱為網路存取保護，該功能是Windows Vista系統中首先引入的一項功能，該功能通過強制用戶端 工作站系統符合網路健康標準，以便保證只有通過安全“體檢”的用戶端工作站才能正常訪問區域網路網路，從而達 到預防網路病毒襲擊伺服器或區域網路網路的目的。藉助NAP功能，我們可以根據實際組網情況自行定義網路訪問健 康策略，並要求對串連到網路中的用戶端工作站系統進行健康原則驗證，並自動更新符合網路訪問健康標準的客戶 端工作站系統以保證該系統持續的健康符合性，同時將那些沒有通過安全“體檢”的用戶端工作站系統限制到受限 網路，直到它們重新符合網路訪問健康標準。

為了強制那些存在安全隱患的用戶端工作站系統能夠重新符合網路訪問健康標準，NAP通過系統健康驗證器、系 統健全狀態代理以及第三方網路安全保護應用程式等進行互相操作，確保讓那些不符合健康“體檢”的用戶端工作 站系統能夠自動使用我們事先指定的安全解決方案，例如更新系統補丁程式，安裝網路防火牆程式，安裝防病毒軟 件，使用VPN網路連接等。

總之，在NAP功能的協助下，網路系統管理員可以讓Windows Server 2008伺服器系統自動為用戶端工作站進行安全 “體檢”，而不需要耗費用戶端工作站自身的系統資源；在NAP功能的協助下，網路系統管理員可以確定正在訪問網路 的用戶端工作站系統是否有權訪問伺服器中的資源資訊，如果發現用戶端工作站沒有存取權限時，可以不需要進行 任何設定或更新，讓其直接存取網路系統管理員事先指定的受限網路訪問；在NAP功能的協助下，網路系統管理員還可以讓 Windows Server 2008伺服器系統自動為用戶端工作站提供最新的更新，從而有效避免訪問Internet資源時可能帶 來的潛在安全威脅。