网络访问保护 (NAP) 是一种创建、强制和修正客户端健康策略的技术,包含在 Windows Vista(R)、Windows Server(R) 2008、Windows(R) 7 和 Windows Server(R) 2008 R2 中。通过使用 NAP,可以建立定义连接到网络的计算机的软件要求、安全更新要求以及所需的配置设置等事项的健康策略。

在授予客户端计算机完全网络访问权限之前,NAP 通过检查和评估客户端计算机的健康,在客户端计算机不符合健康策略时限制网络访问,以及修正不符合的客户端计算机以使其符合健康策略来强制健康策略。NAP 在尝试连接到网络的客户端计算机上强制执行健康策略。如果客户端计算机连接到网络上,NAP 还提供即时的健康遵从性强制。

NAP 是一个可扩展的平台,提供一个基础结构和一个应用程序编程接口 (API) 集。通过使用 NAP API 集,可以向运行检查计算机健康的网络策略服务器 (NPS) 的 NAP 客户端和服务器添加组件、强制执行网络健康策略并修正不符合要求的计算机使其符合健康策略。

NAP 本身不提供组件来验证或修正计算机的健康。其他组件(称为“系统健康代理 (SHA)”和“系统健康验证程序 (SHV)”)提供客户端计算机健康状况检查和报告、对比健康策略来验证客户端计算机健康状况以及有助于客户端计算机符合健康策略的配置设置。

Windows 安全健康代理 (WSHA) 作为操作系统的一部分包含在 Windows Vista 和 Windows 7 中。相应的 Windows 安全健康验证程序 (WSHV) 作为操作系统的一部分包含在 Windows Server 2008 和 Windows Server 2008 R2 中。通过使用 NAP API 集,其他产品也可以实施 SHA 和 SHV 以便与 NAP 集成。例如,防病毒软件供应商可以使用 API 集创建自定义的 SHA 和 SHV。然后可以将这些组件集成到软件供应商的客户部署的 NAP 解决方案中。

如果您是计划部署 NAP 的网络或系统管理员,则可以使用操作系统附带的 WSHA 和 WSHV 来部署 NAP。还可以咨询其他软件供应商,看他们是否为其产品提供 SHA 和 SHV。

NAP 概述

大多数组织创建网络策略,这些网络策略指示可以在组织网络上部署的硬件和软件类型。通常这些策略包括在连接到网络之前如何配置客户端计算机的规则。例如,很多组织要求客户端运行安装了最新防病毒更新的防病毒软件,并且要求客户端计算机在连接到组织网络之前安装并启用软件防火墙。可以将根据组织策略配置的客户端计算机视为符合策略,而将未根据组织网络策略配置的计算机视为不符合策略。

NAP 允许您使用 NPS 创建定义客户端计算机健康的策略。NAP 还允许您强制执行所创建的客户端健康策略、自动更新或修正,这样支持 NAP 的客户端计算机就能使这些策略符合客户端健康策略。NAP 提供连续检测客户端健康的功能,从而防止出现当客户端计算机连接组织网络时符合,而已连接时不符合健康策略的情况。

NAP 通过确保连接到网络的计算机符合组织网络和客户端健康策略,提供互补型的客户端计算机和组织网络保护。这样可以使网络免受客户端计算机所引入的有害元素(如计算机病毒)的侵害,并且还可以使客户端计算机免受由于连接网络而引入的有害元素的侵害。

此外,NAP 自动修正还会减少阻止不符合的客户端计算机访问组织网络资源的时间。当配置了自动修正并且客户端处于不符合的状态中时,NAP 客户端组件可以使用修正网络上提供的资源快速更新计算机,从而允许 NPS 以更快的速度授权现在符合的客户端连接到网络。

NPS 和 NAP

NPS 可以充当所有 NAP 强制方法的 NAP 策略服务器。

将 NPS 配置为 NAP 策略服务器时,NPS 将评估要连接到网络并可用 NAP 的客户端计算机发送的健康声明 (SoH)。您可以在 NPS 上配置 NAP 策略,让客户端计算机更新其配置,以符合组织网络策略的要求。

客户端计算机健康

“健康”定义为有关客户端计算机的信息,NAP 使用该信息来确定是允许还是拒绝客户端访问网络。客户端计算机健康状态的评估表示与健康策略所需的状态进行对比的客户端计算机的配置状态。

例如,健康的度量包括:

  • Windows 防火墙的操作状态。防火墙处于启用状态还是处于禁用状态?

  • 防病毒签名的更新状态。防病毒签名是可用的最新签名吗?

  • 安全更新的安装状态。客户端上安装了最新的安全更新吗?

客户端计算机的健康状态被封装在 SoH 中,由 NAP 客户端组件颁发。NAP 客户端组件将 SoH 发送到 NAP 服务器组件进行评估,以确定客户端是否符合以及是否可以授予客户端完全的网络访问权限。

以 NAP 术语来说,验证计算机是否符合定义的健康要求称为“运行状况策略验证”。NPS 对 NAP 执行运行状态策略验证。

NAP 强制的工作方式

NAP 通过使用以下组件强制执行健康策略:用于检查和评估客户端计算机健康的客户端组件,客户端计算机被认为是不符合时限制其网络访问的服务器端组件,以及有助于修正不符合的客户端计算机使其获得完全的网络访问权限的客户端组件和服务器端组件。

NAP 的主要进程

若要帮助保护网络访问,NAP 依赖于三个进程:策略验证、NAP 强制和网络限制、修正和即时符合。

策略验证

借助 NPS,可以使用允许 NAP 检测、强制和修正客户端计算机配置的 SHV 创建客户端健康策略。

WSHA 和 WSHV 为支持 NAP 的计算机提供以下功能:

  • 客户端计算机已安装并启用了防火墙软件。

  • 客户端计算机已安装并且正在运行防病毒软件。

  • 客户端计算机已安装最新的防病毒更新。

  • 客户端计算机已安装并且正在运行反间谍软件。

  • 客户端计算机已安装最新的反间谍更新。

  • 已在客户端计算机上启用 Microsoft Update 服务。

此外,如果支持 NAP 的客户端计算机正在运行 Windows 更新代理并且已注册 Windows 服务器更新服务 (WSUS) 服务器,则 NAP 可以验证是否在与 Microsoft 安全响应中心 (MSRC) 中的安全严重等级匹配的四个可能的值中的一个值的基础上安装最新的软件安全更新。

当创建定义客户端计算机健康状态的策略时,由 NPS 对这些策略进行验证。在网络连接过程中,NAP 客户端组件将 SoH 发送到 NPS 服务器。NPS 检查 SoH 并将其与健康策略进行对比。

NAP 强制和网络限制

NAP 拒绝不符合的客户端计算机访问网络或只允许它们访问特定的受限网络(称为“修正网络”)。修正网络向客户端计算机提供对修正服务器的访问权限,该修正服务器(如健康注册机构 (HRA) 服务器)提供使不符合的 NAP 客户端符合健康策略所需的软件更新和其他主要 NAP 服务。

NPS 网络策略中的 NAP 强制设置允许您使用 NAP 限制网络访问或观察不符合网络健康策略的、支持 NAP 的客户端计算机的状态。

借助网络策略设置,可以选择限制访问、推迟访问限制或允许访问。

修正

置于受限网络中的不符合的客户端计算机可能需要进行修正。“修正”是自动更新客户端计算机以使其符合最新的健康策略的过程。例如,受限网络可能包含文件传输协议 (FTP) 服务器,该服务器会自动更新具有过期签名的不符合的客户端计算机的病毒签名。

即时符合

NAP 可以在已连接到网络的客户端计算机上强制执行健康符合。该功能对于确保在健康策略更改以及客户端计算机的健康更改时即时保护网络非常有用。例如,如果健康策略要求打开 Windows 防火墙并且管理员无意中关闭了客户端计算机上的防火墙,则 NAP 确定客户端计算机处于不符合状态。然后,NAP 将断开客户端计算机与组织网络的连接,并且将客户端计算机连接到修正网络,直到 Windows 防火墙再次打开为止。

可以使用 NPS 网络策略中的 NAP 设置来配置自动修正,以便在客户端计算机不符合时,NAP 客户端组件自动尝试更新客户端计算机。与 NAP 强制设置一样,在网络策略设置中配置了自动修正。

目录