WindowsServer2008 NAP配置教程

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

简介：在这个关于微软网络访问保护解决方案的系列安装教程中，里克·冯欧沃将对如何配置Windows Server 2008服务器进行深入的说明。微软网络访问保护解决方案包含了大量各种各样的规则和注意事项，因此，在事前需要进行全面的规划和仔细的分析。本文就将对需要注意的重点事项给予说明。

与其它微软的解决方案相比，网络访问保护解决方案更多的关注于规则、策略和服务的集中，而不是象Exchange、SQL以及IIS等产品那样进行数据的交换。它不是一个单一的服务器解决方案，相关的规则是分布在不同系统中的。举例来说，一个小交流工具可以强化单台电脑的规则。

在微软网络访问保护解决方案中，为了全面实施所有的规则，一般至少需要两台服务器。为了安全实施微软网络访问保护解决方案，有几个基本要素需要被关注。此外，在实施微软网络访问保护解决方案的时间，四个执行客户端（EC）或者模式将会被建立起来。它们包括动态主机配置协议、虚拟个人网络、Internet协议安全性和802.1X。你可以在它们中间选择最符合要求并且兼容相关网络设备的。在本文中，我们将对保证微软网络访问保护解决方案的正常运行需要进行的工作步骤给予介绍。

微软网络访问保护解决方案服务器端的最佳做法
微软网络访问保护解决方案后端性能的优劣很大程度上取决于包括活动目录域在内的已经存在的现有网络基础设施的核心组件的情况。这些组件如果配置的不正确，将会带来很大的麻烦。下面就介绍一下，如果要保证微软网络访问保护解决方案正常运行的话，在服务器端最好的做法是什么。

软件和网络策略：在实施微软网络访问保护解决方案的时间，确定Service Pack的安全级别、防病毒软件的标准、IPSec策略以及其它相关因素，以便对网络访问进行控制，这不是一个技术问题，但却非常重要。对于不能获得认证的设备，采应该取什么样的措施，是隔离、拒绝访问还是其它手段。

活动目录域：作为后端基础设施，该部分应该非常的有条理，以保证用户有明确的权限。不能给予用户过度的权限，但同时要保证用户的权限是足够完成其工作的。

虚拟个人网络连接：如果启用了虚拟个人网络连接模式的话，虚拟个人网络的解决方案对于整个微软网络访问保护解决方案来说是非常重要的。来自外部（互联网）的使用了虚拟个人网络连接的用户将拥有更高的安全等级。

网络设备：确保它们支持802.1x身份验证，尤其是使用的无线客户端或802.1x的用户。

动态主机配置协议网络:动态主机配置协议在整个微软网络访问保护解决方案的实施过程中非常重要，因为只有通过它才可以指定适用范围，对不符合微软网络访问保护要求的客户端进行清理。

在微软网络访问保护解决方案中的如何设置Windows Server 2008的动态主机配置协议服务器
现在我们以一台运行了Windows Server 2008 Beta3（以前称为Longhorn）的服务器为例进行实际配置。我们会设立一台动态主机配置协议服务器，以实施网络访问保护解决方案中的策略。实施策略将包含下面几个项目：

遵循安全策略的终端将被容许接入网络，并拥有完全的权限
未被认证的终端权限将受到限制
无法认证的终端将会被拒绝访问

在这个例子中，将不会有一个全面的扩展安全策略以及访问网络的需知。当然，在实际的现场，为了达到微软网络访问保护解决方案预期的功能，必须进行大量的前期规划。在这里。我只是利用这个例子证明未能满足认证要求的终端是不能进入网络中的。该网络样本在整个TechRepublic微软网络访问保护解决方案专题中是相同的：

终端名称           用处                            操作系统和配置
 
WS2K3-DEV          域控制器                        Windows Server 2003 标准版
WS2K8              成员服务器、                    Windows Server 2008, Beta 3
                   网络访问保护策略服务器、
                   动态主机配置协议服务器（IPv4）

客户端1            DHCP客户端                       Windows Vista
客户端2            DHCP客户端                       Windows XP Service Pack 2

作为微软网络访问保护解决方案的第一步设置，是启用WS2K8服务器上的网络访问策略服务。这将是微软网络访问保护解决方案实施的切入点。在新增服务器向导中选择图A中显示的网络访问策略服务，并选择下一步。

图A

选择网络访问策略服务

选择了网络访问策略服务、健康注册授权和信任主机授权协议后，作为规则的必须部分，你还需要安装IIS。在我们的例子中，WS2K8将扮演独立设置的认证服务器的角色。

如果被验证的网络接入需要成为域成员的话，将被予以提示。从规则角度来看，这比从技术角度看更重要。在例子中，我们将设定请求者需要成为活动目录域的成员。在微软网络访问保护解决方案中，添加是非常简单的；并且完成以后，网络策略服务器（ NPS.MSC ）控制台将被安装。图B显示的就是一个空的控制台。

图B

你启动了一个空控制台

在微软网络访问保护解决方案中由健康注册授权模块对系统进行校验。在我们的例子中，可以利用防病毒软件的运行时间作为认证的标准，通过服务器端的校验对系统进行认证。在图C中，你可以看到相关的内容。

图C

选择要执行的策略

系统的健康注册授权校验将决定微软网络访问保护解决方案的策略。对于未通过认证的系统。可以连接WS2K3-DEV服务器下载防病毒软件。它将成为补丁服务器。在网络策略服务器控制台上，我们将WS2K3-DEV服务器作为群组中的"RG-NonCompliant-NoAV"服务器添加进来，如同图D中显示的一样，

图D

创建该群组的名称

隔离网络在微软网络访问保护解决方案的实施中是非常重要的，它将决定网络安全的范围和有效性。隔离网络中，将容许未被认证通过的系统访问指定的主机（在这个例子中，就是WS2K3-DEV）。此外，访问活动目录域中其它系统都将被禁止。如果该系统支持非Windows系统的话，一个通过认证的客户端可以通过TCP/IP对其进行连接，这个要取决于系统的整体配置情况。因此，彻底的测试对于避免实际运行中发生的问题是非常有必要的。

从保证系统安全的角度来看，我们需要告诉Windows操作系统对符合或不符合要求的系统进行相关的处理。因此，我们将利用健康注册授权校验对系统是否安装了防病毒软件进行验证，以验证系统的认证策略，如同图E显示的那样。

图 E

在这里，可以对通过或未通过验证的系统进行相关处理

完成了如何对系统进行认证，现在我们就可以回到前面，对网络上的系统进行管理了。对于通过了认证的系统，我们将给予其充分的权限。对于未通过认证的系统，我们容许其进入隔离网络安装防病毒软件以进行修复。在微软网络访问保护解决方案中，策略的添加非常简单。从图F中，我们可以看到在哪里对策略进行设置。

图F

在这里，可以设置通过认证的工作站拥有全面的网络接入权限

一旦，策略成为微软网络访问保护解决方案中的核心组成部分，我们就需要对动态主机配置协议服务器进行设置，确定其在所有的范围内都有效。图G显示的是如何对动态主机配置协议服务器进行设置。

图G

动态主机配置协议服务器如何按照要求分配网络地址

我们还需要在动态主机配置协议服务器为那些未通过认证但可以访问隔离网络的系统设定权限。它们需要一个DNS服务器和DNS名称，以便访问隔离网络。Windows Server 2008的动态主机配置协议服务将提供一个所谓的“默认网络访问保护等级”，以便微软网络访问保护解决方案对使用动态主机配置协议服务的不同网络进行管理。具体情况可以看图H。

图H

基于微软网络访问保护解决方案可以对其它网络服务进行配置

基于这一点，WS2K8服务器上的动态主机配置协议服务将实施微软网络访问保护解决方案，所有申请网络地址的系统将必须首先通过认证（默认没有安装Windows Vista企业版）。

启用Windows Vista安全中心
启用动态主机配置协议的强制客户端
启用网络访问保护代理服务
禁用外部的IPv6网络和共享中心

只有SP3发布的话，Windows XP客户端才可以支持微软网络访问保护解决方案。其它的客户端还包括Windows 2000、NT和非Windows系统，它们不能在微软网络访问保护解决方案支持的网络中使用。

设置完成后，Vista客户端可以从微软网络访问保护解决方案启用的动态主机配置协议服务器上获得网络地址。相关的网络安全策略也在客户端上强制开始执行。

作者提示
在实际环境中，不要实行上面的步骤；大部分情况下，不论通过与否，客户端都无法获得网络地址。如果设备不支持网络访问保护功能的话，也不会获得网络地址。

微软网络访问保护解决方案的题外话
这个例子只是从Windows Server 2008的角度对微软网络访问保护解决方案进行一个概略的介绍。尽管仍处于测试阶段，但Windows Server 2008已经拥有了大量的可用资源，其中包括了与微软网络访问保护解决方案配置相关的基本验证和网络流量类详细的技术资料。