Windows Server 2008的NAP配置攻略[Windows安全]

　　本日的文章中,我们谈论的话题是Windos server 2008的NAP(Network Access Protection网络拜候保护)功效,假如大家关注Windos server 2008的新技术就会发现,目前有关NAP的文章可以说是多如牛毛,但是细心看来我们不难发现,这类文章更多的是集合在NAP功效的基本描写,而关于具体的利用体验以及配置本领却很少说起,本日我们就来为大家办理这个问题.

　　在全新的Windos server 2008 中我们可以看到很多针对原先Windows 系统所存在的安全隐患的改良,NAP (Network Access Protection网络拜候保护)就是此中非常重要的一项,这个技术可以有效的保证远程的连入计算机的安全.

　　NAP可提高移动计算机和内部网络的安全性.普通,带着计算机观光大概出差的用户不会持续几个星期与内部网络相连.当他们通过VPN大概其他方法衔接公司内网时,衔接时间大概会非常短,以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名.因此,移动计算机所处的安全状况常常不及其他计算机.“网络拜候保护”可提高这些移动计算机的安全性,因为它可确保在用户衔接到网络前安装最新的更新内容.

　　在整个保护历程中,NAP针对存在风险的客户供应了3种办理筹划,第一种是通过战略限制他们在内网中的拜候,第二种是将这些用户断绝到一个指定的网段以等候下一步处理,而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等.这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成,比方SMS (Systems Management Server) ,同时这些受限的用户也可以通过战略配置的URL去拜候到公司内网的一些补钉分发服务器等等.

　　在NAP中,Windos server 2008 扩大了Windows Server 2003中的网络拜候断绝功效,原先的这一特点只能针对远程拜候的用户加以防护,而在NAP中,Windos server 2008 可以保护全部通过VPN、DHCP以及IPsec举行衔接的通信,由于篇幅有限,我们在这篇文章中之针对DHCP的客户端举行讲授.

　　要搭建NAP的环境,我们需求两台Windos server 2008 Beta 2的计算机,一台Windows XP大概Windows Vista的计算机;假如客户端是Windows XP的计算机,那么还必须安装NAPClient软件.

　　第一步:配置全新的DHCP服务器

　　要想实现NAP功效,我们首先要有一个域环境,我们挑选此中的一台Windos server 2008,将它设置为DC,域的名称为NAP.com.并在此计算机上安装AD、DNS和Network Access Services,在安装Network Access Services时,只挑选安装此中的Router and remote access.

　　将别的一台Windos server 2008加入到NAP.com域,配置称为成员服务器.然后在其上安装DHCP和Network Access Services.在安装的历程中系统将会询问能否安装WAS和IIS,点击肯定,安装完成.环境配置好后,我们需求配置的次序是先配置DHCP,然后配置Network Policy Service.首先在计算机服务中启动DHCP服务,因为DHCP服务默许是不启动的.然后在“Administrative tools”中翻开DHCP掌握台.首先对DHCP举行受权,右键点击服务器,挑选“Authorizes”举行受权考证.接下来,右键点击“IPv4”,然后挑选“New Scope”来新建一个范围,范围的IP地址可以按照实际的情形来设置.配置完IP范围后,在“IP4”下面会呈现一个“Scope options”,右键点击,然后挑选“Configure options”,翻开配置对话框,在这个对话框中有两个标签,首先挑选“General”.在下面我们需求配置三个选项,首先挑选“Router”,然后在下面输入Router的IP地址;其次挑选“DNS Server”选项,输入DNS的IP地址;最后挑选“DNS Domain Name”,输入域的名称.如图:

　　然后挑选“Advanced”标签,在这里我们配置关于NAP的一些选项.首选,在User class下拉列表中挑选“Default Network Access Protection Class”,表明我们在配置NAP的选项.然后挑选“Router”,在下面输入IP地址;接下来挑选“DNS Server”,输入IP地址;最后挑选“DNS Domain Name”,在下面输入一个域的名称,如unsecure.NAP.com,注意这个域名和之前输入的那个域名并没有什么实际的作用,它们只是便利管理员来辨别连到网络中的计算机哪些是安全的,哪些是不安全的.比方,假如计算机是安全的,那么它们就会在NAP.com这个域名下,假如计算机不是安全的,那么它们就会在unsecure.NAP.com下.这只是为了便利管理员管理.

　　这些配置完成后,关闭对话框,回到DHCP掌握台.我们目前需求做的就是将NAP在DHCP上开启.右键点击“Scope”,挑选“Properties”.在属性对话框中,挑选“Network Access Protection”标签.选中“Enable for this scope”.此时在DHCP上就开启NAP了.

　　DHCP此时配置完成.