Windows Server 2008 NAP教程

在Windows Server 2008中的各項特色中，可用於輔助企業強化個人端電腦安全管理的網路訪問防護(Network Access Protection，NAP)，這項功能無疑是大家最渴望瞭解的項目之一，尤其是網路資訊安全這兩個領域。

簡單地說，為了預防不符合企業安全性原則的電腦，NAP可以透過批准串連與否而加以限制，這些不符合策略的狀態包括：未啟動自動更新、定期修補系統漏洞不確實、未安裝防毒軟體或啟用個人防火牆、防毒軟體特徵碼/掃毒引擎超到期限而未更新。

整合策略控管與身分的認證、授權

想要啟動NAP，必須從Server Manager上加入新的伺服器角色開始，它的名稱是Network Policy and Access Services(NPAS)。完成一系列安裝步驟之後，「開始」的程式集中的系統工具會增加一個捷徑——Network Policy Server(NPS)。

當執行Network Policy Server的主控台時，會立即出現三種標準選項，讓你可以快速套用設定。按下Configure NAP，會啟動安裝助手協助管理員一步步完成設定。

其實NPS的前身就是Windows Server 2003上的Internet驗證服務(Internet Authentication Services，IAS)，搭配集中化的RADIUS認證、授權與記錄機制，繼續涵蓋有線、無線與VPN網路，而不是額外產生一個新的伺服器執行環境。因此它也可以轉送認證與統計訊息到其它RADIUS伺服器上，作為RADUISProxy 伺服器之用。

總而言之，NAP是功能名稱，但對於Windows Server 2008而言，這項功能的提供，主要仰賴上面提到的伺服器角色。

包含策略伺服器與強制檢查伺服器

在第一次安裝NPAS時，我們可以看到裡麵包括了NPS、遠端存取服務(RAS)、路由(Routing)、Health Registration Authority(HRA)。

HRA相當特殊，主要是用在NAP IPsec策略強制執行的架構，在受到IPsec防護的區域網路絡範圍內，當個人端電腦被判定為符合網路安全性原則時，會獲得一份代表健康的憑證，假如其它共處同一個網路的個人端電腦與它串連，也會同步驗證這份憑證;如果通不過策略遵循的檢查，即無法取得健康憑證，IPsec的端點認證也會跟著失敗，這台電腦也就無法和其它電腦通訊。

NPS還可以細分成四個主要組件：

RADIUS Clients and Servers：是指其它的RADIUS個人端裝置，伺服器所指的是其它的NPS伺服器，當企業使用者將NPS伺服器設為RADIUSProxy 伺服器時，可以將認證和授權的串連需求轉送其它RADIUS伺服器，如果公司的網路環境採用多網域或多重樹系，可以透過這個機制導引。

Policy：分成串連需求、網路與健康狀態等三種類型的策略設定。串連需求的策略用來處理串連至遠程NPS伺服器或其它RADIUS伺服器的狀況，讓NPS成為檢驗是否遵循RADIUS協議認證的網關裝置，例如支援802.1x的無線AP和認證交換器、執行路由和遠端存取服務(RRAS)而成為VPN或撥接網路的伺服器，以及Terminal Services網關。本地網域和信任網域用預設策略即可。

網路原則可以分成6種以上的形態包括未指定、遠端存取伺服器、乙太網路絡、Terminal Services網關、無線AP、HRA、HCAP伺服器與DHCP伺服器。

至於健康狀態的策略，一般來說，可設定成「通過全部檢查」或「其中一項未通過」，還可以選擇其它5種選項，例如全部失敗、部分通過、判定為已感染惡意程式、無法判定，都可以找到對應的情境去套用策略。

Network Access Protection：只負責檢查受控端電腦的健康狀態(System Health Validator，SHV)和補救伺服器(Remediation Server)的設定。所謂的補救伺服器，包括DNS伺服器、網域控制站、置放防毒特徵碼的檔案伺服器、軟體更新伺服器等，讓那些無法通過健全狀態檢查的電腦有修正的機會。驗證完畢之後如果要再執行其它工作，須從策略上加以制定。

在SHV可以定義Windows XP和Vista的健康狀態，例如是否啟用Windows防火牆、自動更新，是否安裝防毒軟體、防間諜軟體(Windows XP的SHV不支援這項檢查)，以及兩者的特徵碼是否屬於最新狀態，以及可以設定幾小時內再完成安全更新。如果企業內部先前已經架設微軟提供Windows Server Update Services(WSUS)補救伺服器，也可以在這裡設定，就近取得更新資訊與檔案。

關於防毒軟體的支援，微軟聲稱可以辨識本身的Forefront Client Secuirty，以及Symantec、趨勢、McAfee等廠牌防毒軟體的特徵碼，至於防間諜程式目前只支援Windows Defender。

Accounting：負責產生記錄檔案，可存成IAS.log，或是SQL Server所能讀寫的記錄檔案。如果企業本身的稽核程度較嚴格，例如金融業，可以將這些資訊轉存到SQL Server內。

NPS負責策略與評估作業

實際上NPS是怎麼認證每一台受控端呢?使用者將電腦開機上網，打算訪問網路，因此網路裝置和網路原則伺服器要求使用者出示健康證明，例如系統自動更新狀態、防火牆、防毒軟體是否啟用等，如果個人端電腦中的System Health Agent(SHA)所宣告的系統狀態通過SHV的檢查以及NAP的策略，這些裝置和系統會將證明與串連細項傳回策略伺服器。

評估串連細項後，網路原則伺服器將使用者授權證明傳遞給Active Directory要求授權，如果符合策略要求且使用者授權通過，則允許訪問網路，接下來批准使用者或裝置訪問。

需要特別注意的是NPS只負責以本身存放的策略設定加以評估，不處理授權的動作。所有的網路訪問授權與賬戶的管理，都需要搭配網域控制站。