如何在Windows Vista中设置NAP

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

简介：在这个关于微软网络访问保护解决方案的系列安装教程中，里克·冯欧沃将对如何配置Vista客户端进行详细的说明。在文章中，我们将通过在Vista客户端上对网络接入点进行配置这样一个例子来讨论：对于使用Vista的企业来说，需要注意哪些方面的问题。

网络访问保护中最关键的问题，就是对客户端工作站进行正确的配置以保证网络的安全运行。为了达到这个目的，不仅需要制定服务器的安全策略，还必须对客户端进行适当的配置。在本文中，将了解如何对客户端工作站进行相应的配置。

支持微软网络访问保护解决方案的现有客户端
微软网络访问保护解决方案适用于Windows Vista和安装了即将发布的SP3补丁的Windows XP操作系统。在Windows XP SP3中将包含网络访问保护的客户端。微软网络访问保护解决方案的相关文档中特别提到了Windows XP SP3，但目前其发布时间还并不明确。在文章完成的时间，大部分人认为SP3会在二○○八年的上半年发布。这将会给Windows操作系统带来新的特性和功能。

微软网络访问保护解决方案可以支持运行Windows Server 2008的服务器。但在已知的文件中，没有象Windows XP SP3一样提到Windows Server 2003是否被支持。Windows Server 2008的配置和Windows XP相同。我们还可以象使用Vista客户端一样，利用Windows Server 2008作为客户端。

运行微软网络访问保护解决方案对客户端的要求
使用任何类型的网络访问保护解决方案，不论它来自微软还是网络，都会产生一些问题。尽管网络的安全性得以提高，但同时也带来了客户支持人员工作量的上升。当系统的兼容性不是很好的时间，由于策略并不十分直观，因此对于需要接入网络的用户会造成很大的困扰。

标准接入将在网络策略服务器的安全校验部分设置服务器端。对于微软网络访问保护解决方案来说，下面的是连接时必须遵循的基本准则。

Service Pack等级：Windows操作系统的安全补丁和系统补丁的更新情况。
反病毒等级：是否运行了反病毒工具，这个工具是否已经过期。
反木马等级：是否运行了反木马工具，这个工具是否正常更新。这个仅适用于Vista客户端。
自动更新情况：是否启用了客户端自动更新功能。
更新监测：通过Windows操作系统的升级服务，确定系统的安全状况。
IPsec协议：在本地系统的客户端之间使用IPsec协议实现端到端连接。

对Vista进行设置以支持微软网络访问保护解决方案
为了使Vista成为微软网络访问保护解决方案的客户端，有下面的一些工作必须去做。由于微软网络访问保护解决方案不是完全的服务器端解决方案，而是服务器和客户端相结合的配置，所以可能不是适用于所有的环境。特别需要注意的是，如果微软网络访问保护解决方案的Vista客户端没有正确设置的话，所有其它的系统将无法连接到网络上。

启动Windows Vista上的微软网络访问保护解决方案，需要下面几个主要步骤。我们将通过一个例子给予说明。需要注意的是，如果使用微软网络访问保护解决方案的不同模式，需要在客户端进行相应的设置。这里将对如何启动DHCP模式进行说明：

启动网络访问保护代理服务模式
使用默认安装的Windows Vista操作系统包含了这项服务，但并没有启用。它设置很简单，但需要注意的是：如果使用启动了活动目录的Windows Server 2003作为默认域的话，可能不会容许域或基于OU的GPO对服务行为进行控制。这可以通过使用组策略的其它机制方便地予以解决，而不必激活相关项目的服务。

启用安全中心（域系统）
安全中心将需要启用本地组策略。并且，一个相关的GPO通过Windows Server 2008域就可以完成，而不是Windows Server 2003域。启用安全中心的选项位于：本地计算机策略|计算机配置|管理模板| Windows组件|安全中心。

启用动态主机配置协议（DHCP）
Vista中包含了动态主机配置协议（DHCP）的客户端，可以通过控制台进行管理。如何对DHCP进行配置和管理，在图A中可以看到：

图A

利用控制台启动动态主机配置协议

当这三个部分设置完成以后，服务器就可以对网络访问保护解决方案的客户端是否遵循安全策略进行监测，以确定是否容许接入网络。

需要注意的是，如果一个没有被微软网络访问保护解决方案认证的客户端如果试图连接到受保护的域的话，它将被禁止连接。显示所有DHCP请求将超时或使用自动寻址，将取决于设置的情况。它适用于Windows 2000、NT以及其它企图从被微软网络访问保护解决方案管理的动态主机配置协议服务器上获取地址的非Windows系统。

配置实例
为了本文的需要，我们假设已经在网络中建立了以下的网络以便进行测试：

终端名称           用处                            操作系统和配置
 
WS2K3-DEV          域控制器                        Windows Server 2003 标准版
WS2K8              成员服务器、                    Windows Server 2008, Beta 3
                   网络访问保护策略服务器、
                   动态主机配置协议服务器（IPv4）

客户端1            DHCP客户端                       Windows Vista
客户端2            DHCP客户端                       Windows XP Service Pack 2

客户端的使用
配置完Vista客户端，就可以启用微软网络访问保护解决方案对其进行管理了。从这个角度来看，对于通常的客户端来说，网络是透明的可以正常运行了，除非其未被认证。在这个例子中，动态主机配置协议服务器并没有给WS2K8提供一个TCP/IP地址。因为，这台系统没有通过认证，是不兼容的，WS2K8服务器上的日志给出了答案：

在这种情况下，该系统不属于被支持的操作系统（Windows Vista，Windows Server 2008，Windows XP Service Pack 3），因此，被禁止登入网络，从而也就不可能获得网络地址。

作为客户端1的Vista客户端，由于不符合相关的安全策略，将被安排在隔离的状态。相关的提示在图B中可以看到。

图B

Vista客户端的提示信息
这个客户端是在被微软网络访问保护解决方案管理的网络中，作为受到限制的终端。运行IPCONFIG命令，可以看到如图C所示的客户端的网络配置情况。

图C

受到限制的客户端网络信息

由于其配置不符合安全要求，因而除了主机之外，客户端无法和其它任何设备联系。其它设备与其是隔离的，图D我们可以看到运行ping命令的错误结果。

图D

不被认证的工作站甚至不能ping网络

客户端1可以连接指定的修复主机（包含有可用的反病毒套件），进行手动或者自动更新（SMS、 Windows Server更新服务、组策略、互联网更新等），以获得认证，可以实现正确地接入网络。这就是为什么良好的规划将让微软网络访问保护解决方案运行的更有效。

回顾
现在，你了解了微软网络访问保护如何在Vista客户端上运行。对于Windows XP客户端来说，是否支持，还是要取决与Windows XP Service Pack 3的情况。在部署微软网络访问保护解决方案前，请对客户端环境进行仔细的分析；不符合安全策略的客户端将会给系统支持团队带来很大的麻烦。微软网络访问保护解决方案是相当复杂和深入的，因此，在部署的时间，请对客户端方面予以重点的关注。