網路存取保護 (NAP) 是一種用戶端健康原則的建立、強制及修復技術,包含在 Windows Vista®、Windows Server® 2008、Windows® 7 及 Windows Server® 2008 R2 中。您可以使用 NAP 建立健康原則,其中定義軟體需求、安全性更新需求以及連線到網路之電腦所需的組態設定等事項。
藉由檢查和評定用戶端電腦的健康情況、用戶端電腦不符合健康原則時限制網路存取,以及修復不合格的用戶端電腦,使其在被授與完整網路存取權之前符合健康原則,NAP 可強制健康原則。NAP 會對嘗試連線到網路的用戶端電腦強制健康原則。當用戶端電腦連線到網路時,NAP 也會提供進行中的健康相容強制。
NAP 是一個提供基礎結構與應用程式開發介面 (API) 集的可延伸平台。使用 NAP API 集,您就可以將用於檢查電腦健康情況、強制網路健康原則和修復不相容電腦的元件,新增至 NAP 用戶端與執行網路原則伺服器 (NPS) 的伺服器,利用健康原則使其恢復相容性。
NAP 本身不會提供元件來確認或修復電腦的健康情況。其他元件 (稱為「系統健康情況代理程式」(SHA) 與「系統健康情況驗證程式」(SHV)) 會提供用戶端電腦健康狀態檢查與報告、與健康原則比較的用戶端電腦健康狀態驗證,以及用於協助用戶端電腦符合健康原則的組態設定。
Windows 安全性健康情況代理程式 (WSHA) 包含在 Windows Vista 與 Windows 7 中,是作業系統的一部分。相對應的 Windows 安全性健康情況驗證程式 (WSHV) 包含在 Windows Server 2008 與 Windows Server 2008 R2 中,是作業系統的一部分。使用 NAP API 集,其他產品也可以執行 SHA 與 SHV,與 NAP 整合。例如,防毒軟體廠商可以使用 API 集建立自訂的 SHA 與 SHV。然後,這些元件就可以整合至軟體廠商之客戶所部署的 NAP 解決方案。
如果您是計劃部署 NAP 的網路或系統管理員,可以使用作業系統所含的 WSHA 與 WSHV 部署 NAP。您也可以與其他軟體廠商確認,查明他們是否提供其產品的 SHA 與 SHV。
NAP 概觀
多數組織都會建立網路原則,指定可在組織網路上部署的硬體與軟體類型。這些原則通常包含在連線到網路之前如何設定用戶端電腦的規則。例如,許多組織需要用戶端電腦執行安裝最新防毒更新的防毒軟體,而且在連線到組織網路之前,該用戶端電腦已安裝並啟用軟體防火牆。依據組織網路原則設定的用戶端電腦可被視為符合原則,而未依據組織網路原則設定的電腦可被視為不符合原則。
NAP 可讓您使用 NPS 建立定義用戶端電腦健康情況的原則。NAP 還可讓您強制所建立的用戶端健康原則,以及自動更新或修復支援 NAP 的用戶端電腦,使其符合用戶端健康原則。NAP 會連續偵測用戶端電腦健康情況,以防護用戶端電腦連線到組織網路時合格、但連線時變成不合格的狀況。
藉由確定連線到網路的電腦符合組織網路與用戶端健康原則,NAP 提供互補性用戶端電腦以及組織網路保護。如此可保護網路不受用戶端電腦引入的有害元素影響,例如電腦病毒,也會保護用戶端電腦不受所連線的網路引入的有害元素影響。
此外,NAP 自動修復可減少不合格用戶端電腦無法存取組織網路資源的時間量。如果已設定自動修復且用戶端處於不相容狀態,則 NAP 用戶端元件可以使用您在補救網路上提供的資源來快速更新電腦,讓不相容的用戶端更快由 NPS 授權以連線到網路。
NPS 與 NAP
NPS 可做為所有 NAP 強制方法的 NAP 原則伺服器。
將 NPS 設定為 NAP 原則伺服器時,NPS 會評估要連線到網路且支援 NAP 的用戶端電腦的健康狀態 (SoH)。您可以在 NPS 中設定 NAP 原則,讓用戶端電腦更新其設定,使其符合組織的網路原則。
用戶端電腦健康情況
「健康情況」定義為 NAP 用來決定允許或拒絕用戶端存取網路之用戶端電腦的相關資訊。用戶端電腦健康狀態的評定,代表用戶端電腦與健康原則所需之狀態相較的設定狀態。
健康情況度量範例包括:
-
Windows 防火牆的操作狀態。啟用或停用防火牆?
-
防毒簽章的更新狀態。防毒簽章是最新可用的簽章嗎?
-
安全性更新的安裝狀態。用戶端上已安裝最新的安全性更新嗎?
用戶端電腦的健康狀態壓縮於 NAP 用戶端元件所發出的 SoH 中。NAP 用戶端電腦傳送 SoH 至 NAP 伺服器元件進行評估,以判定用戶端是否合格並可授與完整網路存取權。
在 NAP 技術中,確認電腦符合您定義的健康需求,就稱為「健康原則驗證」。NPS 執行 NAP 的健康原則驗證。
NAP 強制如何運作
NAP 使用用戶端元件強制健康原則,以檢查和評定用戶端電腦的健康情況;當用戶端電腦視為不合格時,使用限制網路存取的伺服器端元件強制健康原則;協助修復不合格用戶端電腦以取得完整網路存取權則使用用戶端及伺服器端元件。
NAP 的重要程序
NAP 依賴三個程序協助保護網路存取:原則驗證、NAP 強制及網路限制,以及修復和進行中符合。
原則驗證
您可以利用 NPS 以 SHV 建立用戶端健康原則,允許 NAP 偵測、強制以及修復用戶端電腦設定。
WSHA 與 WSHV 提供支援 NAP 電腦的下列功能:
-
用戶端電腦已安裝和啟用防火牆軟體。
-
用戶端電腦已安裝和執行防毒軟體。
-
用戶端電腦已安裝最新的防毒更新。
-
用戶端電腦已安裝和執行反間諜軟體。
-
用戶端電腦已安裝最新的反間諜更新。
-
用戶端電腦已啟用 Microsoft Update Services。
此外,如果支援 NAP 的用戶端電腦執行 Windows Update 代理程式並註冊 Windows Server Update Service (WSUS) 伺服器,根據符合來自 Microsoft Security Response Center (MSRC) 的安全性嚴重性分級的四個可能值之一,NAP 可以確認已安裝最新軟體安全性更新。
在建立定義用戶端電腦健康狀態的原則時,由 NPS 驗證這些原則。在網路連線程序期間,NAP 用戶端元件會傳送 SoH 至 NPS 伺服器。NPS 檢查 SoH 並將它與健康原則比較。
NAP 強制及網路限制
NAP 會拒絕不相容的用戶端電腦存取網路,或只允許它們存取一個名為「補救網路」的特殊受限網路。補救網路為用戶端電腦提供補救伺服器的存取權,而這些伺服器可提供軟體更新及其他重要的 NAP 服務,例如,健康情況登錄授權 (HRA) 伺服器,這是使不相容之 NAP 用戶端與健康原則相容所需的服務。
NPS 網路原則中的 NAP 強制設定,可讓您使用 NAP 限制網路存取或觀察不符合網路健康原則但支援 NAP 的用戶端電腦的狀態。
您可以選擇限制存取、延遲存取的限制或允許使用網路原則設定存取。
修復
放入受限網路中的不合格用戶端電腦可能進行修復。「修復」是自動更新用戶端電腦使其符合目前健康原則的處理程序。例如,受限網路可能包含檔案傳輸通訊協定 (FTP) 伺服器,可自動更新擁有過時簽章的不合格用戶端電腦的病毒簽章。
進行中符合
NAP 可以在已經連線到網路的用戶端電腦強制健康情況符合。在健康原則變更及用戶端電腦健康情況變更時,此功能可以確保網路在進行中受到保護。例如,如果健康原則需要啟動 Windows 防火牆,而系統管理員不慎關閉用戶端電腦的防火牆,NAP 會判定用戶端電腦處於不合格狀態。然後 NAP 將中斷用戶端電腦與組織網路的連線,並將用戶端電腦連線到補救網路,直到 Windows 防火牆再次啟動。
您可以在 NPS 網路原則中使用 NAP 設定以設定自動修復,使 NAP 用戶端元件在用戶端電腦不合格時自動嘗試更新。使用 NAP 強制設定時,網路原則設定中會設定自動修復。