WindowsServer2008的NetworkAccessProtection(NAP)
网络访问保护(NAP)是WindowsVista、MicrosoftWindowsXP和WindowsServer2008操作系统中内置的策略执行平台,它通过强制计算机符合系统健康要求更好地保护网络资产。借助网络访问保护,您可以创建自定义的健康策略以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性,也可以将不符合要求的计算机限制到受限网络,直到它们变为符合为止。
网络访问保护包括一个应用程序接口(API)集,开发人员和供应商可以用来为健康策略验证、网络访问限制以及现在的健康符合性创建完整的解决方案。
若要基于系统健康状况验证对网络的访问,网络体系结构需要提供以下功能区域:
•
健康策略验证:确定计算机是否符合健康策略要求。
•
网络访问限制:限制不符合的计算机的访问。
•
自动修正:提供必要的更新以允许不符合的计算机变为符合。
•
正在进行的符合:自动更新符合的计算机以便它们符合健康策略要求中正在进行的更改。
网络访问保护的方案
NAP经过精心设计为客户提供最灵活的解决方案,它可以与提供系统运行状况代理(SHA)和系统健康验证器(SHV)或识别其发布的API集的任何供应商的软件进行互操作。例如,使用网络访问保护的第三方解决方案可能是防病毒、补丁管理、VPN和网络设备。网络访问保护帮助为以下常见情况提供解决方案:
•
检查移动便携式计算机的健康和状态
借助网络访问保护,网络管理员可以在任何便携式计算机重新连接到公司网络时检查其运行状况,而不会牺牲便携式计算机的便携性和灵活性。
•
确保桌面计算机正在进行的健康状况
通过添加管理软件,您可以生成自动报告、对不符合要求的计算机自动进行更新以及当管理员更改健康策略时,可以为计算机提供最新的更新,从而防止访问公共资源带来的健康威胁。
•
确定正在访问的便携式计算机的健康状况
借助网络访问保护,管理员可以确定正在访问的便携式计算机是否有权访问网络,如果没有权限,则可以限制其对受限网络的访问,而不需要对正在访问的便携式计算机进行任何更新或配置更改。
•
验证非托管的家庭计算机的符合性和健康状况
通过使用网络访问保护,网络管理员可以在每次家庭计算机对网络进行VPN连接时检查所需的程序、注册表设置、文件或这些内容的组合,他们也可以限制到受限网络的连接,直到符合系统健康要求为止。
网络访问保护组件
NPS/RADIUS
WindowsServer2008网络策略服务器(NPS)的远程身份验证拨入用户服务(RADIUS)组件没有NAP强制服务器(ES)或NAP强制客户端(EC)组件。它与NAPES和NAPEC组件结合作为策略服务器工作。管理员必须以NPS服务器上策略的形式定义系统健康要求。当计算机尝试获得健康证书或连接到802.1X访问点、虚拟专用网(VPN)服务器或动态主机配置协议(DHCP)服务器服务时,NPS服务器提供健康状况策略检查并与ActiveDirectory目录服务协作。
健康状况组件
•
系统健康状况代理(SHA):声明健康状况(补丁状态、病毒签名、系统配置等等)。
•
系统健康验证器(SHV):验证健康状况代理所进行的声明。
•
系统健康状况服务器:定义客户端上系统组件的健康状况要求。
•
修正服务器:安装必要的补丁、配置和应用程序,并使客户端成为健康状态。
强制组件
•
强制客户端(EC):与网络访问设备协商访问。
•
网络访问设备:提供对健康端点的网络访问。(可以是交换机,也可以是访问点。)
•
健康注册机构:向通过健康检查的客户端颁发证书。
平台组件
•
隔离代理(QA):报告客户端健康状态以及SHA和EC之间的协作。
•
隔离服务器(QS):根据SHV验证的情况限制客户端的网络访问。
网络访问保护强制机制
网络访问保护提供一个灵活的平台,该平台支持多个访问强制机制,包括但不限于:
•
基于身份验证的主机的Internet协议安全(IPsec)
•
经过IEEE802.1X身份验证的网络连接
•
远程访问的虚拟专用网(VPN)
•
动态主机配置协议(DHCP)
管理员可以单独或一起使用这些技术限制不符合的计算机。网络策略服务器在WindowsServer2003和WindowsServer2008中是Internet身份验证服务(IAS)的替代品,作为所有这些技术的健康策略服务器。
网络访问保护要求服务器运行WindowsServer2008,要求客户端运行WindowsVista、WindowsXPServicePack2(SP2)或WindowsServer2008。
IPsec强制
IPsec强制由健康证书服务器和IPsecNAPEC组成。当确定客户端符合时,健康证书服务器颁发X.509证书隔离它们。然后当NAP客户端开始与Intranet上的其他NAP客户端通信时,使用这些证书对NAP客户端进行身份验证。
IPsec强制将网络上的通信限制为被认为是符合的那些节点,原因是它想利用IPsec,您可以为每个IP地址或每个TCP/UDP端口号上的符合客户端定义与其安全通信的要求。成功连接并且获得有效的IP地址配置之后,IPsec强制限制与符合计算机的通信。IPsec强制是网络访问保护中最强形式的网络访问限制。
802.1X强制
802.1X强制由NPS服务器和EAPHostNAPEC组件组成。使用802.1X强制,NPS服务器指导802.1X访问点(以太网交换机或无线访问点)在802.1X客户端上放置受限制的访问配置文件,直到它执行一组修正功能为止。受限制的访问配置文件可以由一组IP数据包筛选器或虚拟LAN(VLAN)标识符组成,用于限制802.1X客户端的通信。802.1X强制为通过802.1X连接访问网络的所有计算机的网络访问提供比较强的限制。
VPN强制
VPN强制由VPNNAPES组件和VPNNAPEC组件组成。使用VPN强制,VPN服务器可以在计算机尝试对网络进行VPN连接时强制健康策略要求。VPN强制为通过VPN连接访问网络的所有计算机的网络访问提供比较强的限制。
DHCP强制
DHCP强制由DHCPNAPES组件和DHCPNAPEC组件组成。使用DHCP强制,DHCP服务器可以在计算机尝试租用或续订网络上的IP地址配置时强制健康策略要求。DHCP强制是最简单的部署强制,因为所有DHCP客户端计算机必须租用IP地址。由于DHCP强制依赖于IP路由表中的条目,因此它是网络访问保护中最弱的网络访问限制形式。
网络访问保护的其他组件和资源
网络访问保护由其他服务器组件、其他客户端组件、修正服务器和策略服务器组成。管理员可以在实施网络访问保护时配置一些或所有下列组件。NAP管理服务器
NAP管理服务器是NPS服务器的一个组件,它协调所有系统健康验证器(SHV)的输出并确定NAP强制服务器(NAPES)组件是否应该基于配置的健康策略要求限制客户端的访问。
系统健康验证器
系统健康验证器(SHV)是一个服务器软件,它验证SHA提交的健康状况(SoH)是否符合所需的健康状况。SHV在NPS服务器上运行,因此必须协调所有SHV的输出。SHV使用健康状况响应(SoHR)指出是符合所需的健康状况还是不符合所需的健康状况,并且提供修正说明。
健康策略
健康策略指定无限制访问所需的条件。在NPS服务器上配置健康策略。网络可能有多个健康策略。例如,VPN强制和DHCP强制可能使用不同的健康策略。
帐户数据库
帐户数据库存储用户和计算机的帐户及其网络访问属性。对于WindowsServer2008域而言,ActiveDirectory作为帐户数据库。
健康证书服务器
健康证书服务器是健康注册机构(HRA)(运行WindowsServer2008和Internet信息服务(IIS)的计算机)和证书颁发机构(CA)的组合。CA可以安装在运行WindowsServer2008的计算机上,也可以安装在单独的计算机上。健康证书服务器为符合要求的计算机获得健康证书。可以使用健康证书代替健康状况(SoH)来证明客户端符合系统健康要求。
修正服务器
修正服务器由服务器、服务或受限网络上不符合的计算机可以访问的其他资源组成。这些资源执行名称解析或存储使计算机符合健康要求所需的最新软件更新或组件。例如,辅助域名系统(DNS)服务器、防病毒签名文件服务器和软件更新服务器都可能是修正服务器。SHA可以直接与修正服务器通信,也可以使用安装的客户端软件的工具。
策略服务器
SHV与策略服务器通信以验证来自相应的SHA的SoH。
网络访问保护(NAP)是WindowsVista、MicrosoftWindowsXP和WindowsServer2008操作系统中内置的策略执行平台,它通过强制计算机符合系统健康要求更好地保护网络资产。借助网络访问保护,您可以创建自定义的健康策略以在允许访问或通信之前验证计算机的健康状况、自动更新符合要求的计算机以确保持续的符合性,也可以将不符合要求的计算机限制到受限网络,直到它们变为符合为止。
网络访问保护包括一个应用程序接口(API)集,开发人员和供应商可以用来为健康策略验证、网络访问限制以及现在的健康符合性创建完整的解决方案。
若要基于系统健康状况验证对网络的访问,网络体系结构需要提供以下功能区域:
•
健康策略验证:确定计算机是否符合健康策略要求。
•
网络访问限制:限制不符合的计算机的访问。
•
自动修正:提供必要的更新以允许不符合的计算机变为符合。
•
正在进行的符合:自动更新符合的计算机以便它们符合健康策略要求中正在进行的更改。
网络访问保护的方案
NAP经过精心设计为客户提供最灵活的解决方案,它可以与提供系统运行状况代理(SHA)和系统健康验证器(SHV)或识别其发布的API集的任何供应商的软件进行互操作。例如,使用网络访问保护的第三方解决方案可能是防病毒、补丁管理、VPN和网络设备。网络访问保护帮助为以下常见情况提供解决方案:
•
检查移动便携式计算机的健康和状态
借助网络访问保护,网络管理员可以在任何便携式计算机重新连接到公司网络时检查其运行状况,而不会牺牲便携式计算机的便携性和灵活性。
•
确保桌面计算机正在进行的健康状况
通过添加管理软件,您可以生成自动报告、对不符合要求的计算机自动进行更新以及当管理员更改健康策略时,可以为计算机提供最新的更新,从而防止访问公共资源带来的健康威胁。
•
确定正在访问的便携式计算机的健康状况
借助网络访问保护,管理员可以确定正在访问的便携式计算机是否有权访问网络,如果没有权限,则可以限制其对受限网络的访问,而不需要对正在访问的便携式计算机进行任何更新或配置更改。
•
验证非托管的家庭计算机的符合性和健康状况
通过使用网络访问保护,网络管理员可以在每次家庭计算机对网络进行VPN连接时检查所需的程序、注册表设置、文件或这些内容的组合,他们也可以限制到受限网络的连接,直到符合系统健康要求为止。
网络访问保护组件
NPS/RADIUS
WindowsServer2008网络策略服务器(NPS)的远程身份验证拨入用户服务(RADIUS)组件没有NAP强制服务器(ES)或NAP强制客户端(EC)组件。它与NAPES和NAPEC组件结合作为策略服务器工作。管理员必须以NPS服务器上策略的形式定义系统健康要求。当计算机尝试获得健康证书或连接到802.1X访问点、虚拟专用网(VPN)服务器或动态主机配置协议(DHCP)服务器服务时,NPS服务器提供健康状况策略检查并与ActiveDirectory目录服务协作。
健康状况组件
•
系统健康状况代理(SHA):声明健康状况(补丁状态、病毒签名、系统配置等等)。
•
系统健康验证器(SHV):验证健康状况代理所进行的声明。
•
系统健康状况服务器:定义客户端上系统组件的健康状况要求。
•
修正服务器:安装必要的补丁、配置和应用程序,并使客户端成为健康状态。
强制组件
•
强制客户端(EC):与网络访问设备协商访问。
•
网络访问设备:提供对健康端点的网络访问。(可以是交换机,也可以是访问点。)
•
健康注册机构:向通过健康检查的客户端颁发证书。
平台组件
•
隔离代理(QA):报告客户端健康状态以及SHA和EC之间的协作。
•
隔离服务器(QS):根据SHV验证的情况限制客户端的网络访问。
网络访问保护强制机制
网络访问保护提供一个灵活的平台,该平台支持多个访问强制机制,包括但不限于:
•
基于身份验证的主机的Internet协议安全(IPsec)
•
经过IEEE802.1X身份验证的网络连接
•
远程访问的虚拟专用网(VPN)
•
动态主机配置协议(DHCP)
管理员可以单独或一起使用这些技术限制不符合的计算机。网络策略服务器在WindowsServer2003和WindowsServer2008中是Internet身份验证服务(IAS)的替代品,作为所有这些技术的健康策略服务器。
网络访问保护要求服务器运行WindowsServer2008,要求客户端运行WindowsVista、WindowsXPServicePack2(SP2)或WindowsServer2008。
IPsec强制
IPsec强制由健康证书服务器和IPsecNAPEC组成。当确定客户端符合时,健康证书服务器颁发X.509证书隔离它们。然后当NAP客户端开始与Intranet上的其他NAP客户端通信时,使用这些证书对NAP客户端进行身份验证。
IPsec强制将网络上的通信限制为被认为是符合的那些节点,原因是它想利用IPsec,您可以为每个IP地址或每个TCP/UDP端口号上的符合客户端定义与其安全通信的要求。成功连接并且获得有效的IP地址配置之后,IPsec强制限制与符合计算机的通信。IPsec强制是网络访问保护中最强形式的网络访问限制。
802.1X强制
802.1X强制由NPS服务器和EAPHostNAPEC组件组成。使用802.1X强制,NPS服务器指导802.1X访问点(以太网交换机或无线访问点)在802.1X客户端上放置受限制的访问配置文件,直到它执行一组修正功能为止。受限制的访问配置文件可以由一组IP数据包筛选器或虚拟LAN(VLAN)标识符组成,用于限制802.1X客户端的通信。802.1X强制为通过802.1X连接访问网络的所有计算机的网络访问提供比较强的限制。
VPN强制
VPN强制由VPNNAPES组件和VPNNAPEC组件组成。使用VPN强制,VPN服务器可以在计算机尝试对网络进行VPN连接时强制健康策略要求。VPN强制为通过VPN连接访问网络的所有计算机的网络访问提供比较强的限制。
DHCP强制
DHCP强制由DHCPNAPES组件和DHCPNAPEC组件组成。使用DHCP强制,DHCP服务器可以在计算机尝试租用或续订网络上的IP地址配置时强制健康策略要求。DHCP强制是最简单的部署强制,因为所有DHCP客户端计算机必须租用IP地址。由于DHCP强制依赖于IP路由表中的条目,因此它是网络访问保护中最弱的网络访问限制形式。
网络访问保护的其他组件和资源
网络访问保护由其他服务器组件、其他客户端组件、修正服务器和策略服务器组成。管理员可以在实施网络访问保护时配置一些或所有下列组件。NAP管理服务器
NAP管理服务器是NPS服务器的一个组件,它协调所有系统健康验证器(SHV)的输出并确定NAP强制服务器(NAPES)组件是否应该基于配置的健康策略要求限制客户端的访问。
系统健康验证器
系统健康验证器(SHV)是一个服务器软件,它验证SHA提交的健康状况(SoH)是否符合所需的健康状况。SHV在NPS服务器上运行,因此必须协调所有SHV的输出。SHV使用健康状况响应(SoHR)指出是符合所需的健康状况还是不符合所需的健康状况,并且提供修正说明。
健康策略
健康策略指定无限制访问所需的条件。在NPS服务器上配置健康策略。网络可能有多个健康策略。例如,VPN强制和DHCP强制可能使用不同的健康策略。
帐户数据库
帐户数据库存储用户和计算机的帐户及其网络访问属性。对于WindowsServer2008域而言,ActiveDirectory作为帐户数据库。
健康证书服务器
健康证书服务器是健康注册机构(HRA)(运行WindowsServer2008和Internet信息服务(IIS)的计算机)和证书颁发机构(CA)的组合。CA可以安装在运行WindowsServer2008的计算机上,也可以安装在单独的计算机上。健康证书服务器为符合要求的计算机获得健康证书。可以使用健康证书代替健康状况(SoH)来证明客户端符合系统健康要求。
修正服务器
修正服务器由服务器、服务或受限网络上不符合的计算机可以访问的其他资源组成。这些资源执行名称解析或存储使计算机符合健康要求所需的最新软件更新或组件。例如,辅助域名系统(DNS)服务器、防病毒签名文件服务器和软件更新服务器都可能是修正服务器。SHA可以直接与修正服务器通信,也可以使用安装的客户端软件的工具。
策略服务器
SHV与策略服务器通信以验证来自相应的SHA的SoH。