善用NAP讓W(xué)indows2008為客戶端“體檢”

俗話說“林子大了，什么鳥都有”，*域網(wǎng)規(guī)模比較大時(shí)，接入到局域網(wǎng)網(wǎng)絡(luò)中的客戶端工作站安全狀況也是參差不齊，有只安裝了殺毒軟件的，有只安裝了防火墻的，也有同時(shí)安裝殺毒軟件或防火墻的，更有什么也沒有安裝的。當(dāng)沒有采取任何安全保護(hù)措施的工作站訪問局域網(wǎng)服務(wù)器時(shí)，網(wǎng)絡(luò)病毒很可能會(huì)通過這些工作站襲擊服務(wù)器甚至整個(gè)局域網(wǎng)網(wǎng)絡(luò)，從而導(dǎo)致服務(wù)器不能正常對(duì)外提供服務(wù)，造成整個(gè)局域網(wǎng)網(wǎng)絡(luò)運(yùn)行效率下降。
    那我們怎樣才能有效防止那些存在潛在安全隱患的客戶端工作站訪問局域網(wǎng)服務(wù)器，從而給局域網(wǎng)服務(wù)器帶來巨大安全威脅呢？要做到這一點(diǎn)，相信許多人都會(huì)說只要強(qiáng)制工作站系統(tǒng)安裝好殺毒軟件、防火墻程序，定期安裝更新系統(tǒng)補(bǔ)丁，就能保證工作站系統(tǒng)安全訪問局域網(wǎng)服務(wù)器了。話是這么說，但實(shí)際上這樣的強(qiáng)制措施很難執(zhí)行下去；不過，在Windows Server 2008系統(tǒng)環(huán)境下，我們可以利用該系統(tǒng)新增加的NAP功能——網(wǎng)絡(luò)訪問保護(hù)功能，來對(duì)企圖訪問Windows Server 2008服務(wù)器系統(tǒng)的任何一臺(tái)客戶端工作站系統(tǒng)進(jìn)行安全“體檢”，一旦發(fā)現(xiàn)有不符合安全健康標(biāo)準(zhǔn)的客戶端在訪問局域網(wǎng)網(wǎng)絡(luò)時(shí)，立即強(qiáng)制其進(jìn)行安全修正，或者限制其網(wǎng)絡(luò)訪問活動(dòng)，直到不符合安全健康標(biāo)準(zhǔn)的客戶端系統(tǒng)符合訪問健康標(biāo)準(zhǔn)為止！
    撩開NAP面紗
    NAP的中文名稱為網(wǎng)絡(luò)訪問保護(hù)，該功能是Windows Vista系統(tǒng)中首先引入的一項(xiàng)功能，該功能通過強(qiáng)制客戶端工作站系統(tǒng)符合網(wǎng)絡(luò)健康標(biāo)準(zhǔn)，以便保證只有通過安全“體檢”的客戶端工作站才能正常訪問局域網(wǎng)網(wǎng)絡(luò)，從而達(dá)到預(yù)防網(wǎng)絡(luò)病毒襲擊服務(wù)器或局域網(wǎng)網(wǎng)絡(luò)的目的。借助NAP功能，我們可以根據(jù)實(shí)際組網(wǎng)情況自行定義網(wǎng)絡(luò)訪問健康策略，并要求對(duì)連接到網(wǎng)絡(luò)中的客戶端工作站系統(tǒng)進(jìn)行健康策略驗(yàn)證，并自動(dòng)更新符合網(wǎng)絡(luò)訪問健康標(biāo)準(zhǔn)的客戶端工作站系統(tǒng)以保證該系統(tǒng)持續(xù)的健康符合性，同時(shí)將那些沒有通過安全“體檢”的客戶端工作站系統(tǒng)限制到受限網(wǎng)絡(luò)，直到它們重新符合網(wǎng)絡(luò)訪問健康標(biāo)準(zhǔn)。
    為了強(qiáng)制那些存在安全隱患的客戶端工作站系統(tǒng)能夠重新符合網(wǎng)絡(luò)訪問健康標(biāo)準(zhǔn)，NAP通過系統(tǒng)健康驗(yàn)證器、系統(tǒng)運(yùn)行狀況代理以及第三方網(wǎng)絡(luò)安全保護(hù)應(yīng)用程序等進(jìn)行互相操作，確保讓那些不符合健康“體檢”的客戶端工作站系統(tǒng)能夠自動(dòng)使用我們事先指定的安全解決方案，例如更新系統(tǒng)補(bǔ)丁程序，安裝網(wǎng)絡(luò)防火墻程序，安裝防病毒軟件，使用VPN網(wǎng)絡(luò)連接等。
    總之，在NAP功能的幫助下，網(wǎng)絡(luò)管理員可以讓W(xué)indows Server 2008服務(wù)器系統(tǒng)自動(dòng)為客戶端工作站進(jìn)行安全“體檢”，而不需要耗費(fèi)客戶端工作站自身的系統(tǒng)資源；在NAP功能的幫助下，網(wǎng)絡(luò)管理員可以確定正在訪問網(wǎng)絡(luò)的客戶端工作站系統(tǒng)是否有權(quán)訪問服務(wù)器中的資源信息，如果發(fā)現(xiàn)客戶端工作站沒有訪問權(quán)，可以不需要進(jìn)行任何設(shè)置或更新，讓其直接訪問網(wǎng)絡(luò)管理員事先指定的受限網(wǎng)絡(luò)訪問；在NAP功能的幫助下，網(wǎng)絡(luò)管理員還可以讓W(xué)indows Server 2008服務(wù)器系統(tǒng)自動(dòng)為客戶端工作站提供最新的更新，從而有效避免訪問Internet資源時(shí)可能帶來的潛在安全威脅。
    安全體檢流程
    使用NAP功能對(duì)局域網(wǎng)客戶端工作站進(jìn)行安全體檢時(shí)，一般需要經(jīng)過網(wǎng)絡(luò)訪問健康認(rèn)證、隔離網(wǎng)絡(luò)、自動(dòng)修正以及持續(xù)持續(xù)監(jiān)控等流程。
    為了判斷客戶端工作站是否是健康的，我們往往需要事先定義好一組訪問規(guī)則，以便通過該規(guī)則對(duì)工作站系統(tǒng)狀態(tài)進(jìn)行驗(yàn)證評(píng)估。當(dāng)有客戶端工作站企圖與局域網(wǎng)網(wǎng)絡(luò)建立連接時(shí)，NAP功能就會(huì)自動(dòng)使用安全健康程序與事先定義好的健康策略進(jìn)行比較，符合這些健康策略的客戶端工作站就會(huì)被看承是安全性良好的工作站，而不符合其中任意一項(xiàng)健康策略的工作站就會(huì)被看成是存在安全威脅的工作站。
    對(duì)于那些存在安全威脅的工作站，我們可以通過NAP功能將工作站的網(wǎng)絡(luò)連接設(shè)置成各種狀態(tài)，當(dāng)NAP功能認(rèn)為目標(biāo)工作站由于不符合健康標(biāo)準(zhǔn)而被看成不安全系統(tǒng)時(shí)，那么NAP功能將會(huì)直接將該工作站隔離到受限網(wǎng)絡(luò)中，讓其與局域網(wǎng)中其他工作站邏輯隔絕開來，直至目標(biāo)工作站的網(wǎng)絡(luò)訪問健康標(biāo)準(zhǔn)符合要求為止。
    為了方便讓那些不符合健康標(biāo)準(zhǔn)的客戶端工作站快速地恢復(fù)到健康標(biāo)準(zhǔn)，我們還可以通過NAP功能為客戶端工作站提供安全補(bǔ)救策略，例如更新補(bǔ)丁程序、安裝防火墻以及殺毒軟件等，讓那些已經(jīng)處于隔離狀態(tài)的工作站不需要通過網(wǎng)絡(luò)管理員的手工操作就能自動(dòng)修正運(yùn)行狀態(tài)。當(dāng)然，要實(shí)現(xiàn)自動(dòng)修正目的，我們需要對(duì)受限的網(wǎng)絡(luò)進(jìn)行合適的設(shè)置，確保該網(wǎng)絡(luò)能夠允許存在安全隱患的客戶端工作站訪問安裝必要的更新程序。
    對(duì)那些已經(jīng)符合健康標(biāo)準(zhǔn)的客戶端工作站，NAP功能仍然會(huì)對(duì)它進(jìn)行持續(xù)監(jiān)控，也就是強(qiáng)制客戶端工作站系統(tǒng)在訪問局域網(wǎng)網(wǎng)絡(luò)期間，而不單單在建立網(wǎng)絡(luò)連接的初始時(shí)候，始終監(jiān)控這些能夠保持狀態(tài)良好的網(wǎng)絡(luò)訪問健康策略。一旦客戶端工作站系統(tǒng)狀態(tài)與我們事先定義的健康策略不相符合時(shí)，比方說禁用了Windows系統(tǒng)防火墻，那么NAP功能將會(huì)自動(dòng)重新開啟防火墻，直到恢復(fù)正常健康狀態(tài)后，才能讓客戶端工作站系統(tǒng)重新訪問網(wǎng)絡(luò)。