Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告

      第一份已经发布的测试报告主要是针对Windows 7.0 build 7000的一个功能概览，让大家看看Windows 7.0的主要更新和一些新特性的展现。那么大多数东西是粗浅的，没有细细的品味Windows 7.0给我们带来的奥妙，那么从第二份报告开始，我将细数、细测它的不同之处，让大家看看最新的微软前沿技术。虽然本系列的报告不能给Vista的目前市场拓展带来积极的影响，还希望微软同仁能海量包容，毕竟我只是希望感受前沿的技术。

这是新的2009年的第一份测试报告，也是我写的第一份关于Windows 7.0的深度技术测试报告，希望与大家一起探讨和学习。

首先说明一下架构情况：

一共两台虚拟机：（1）Windows 2008 server ，已经安装了AD、DHCP、DNS、网络策略和访问服务。

                              IP地址：192.168.1.1 域名：AD.com

                      （2）Windows 7.0 build 7000 需要启用NAP服务、启用Client端NAP配置

                             IP地址：192.168.1.11 加入域：ad.com

我们来形象的看截图的操作过程吧：

在windows server 2008上安装相应的服务器角色，如上图所示。

我们来看接下来的截图：

角色服务中只需要选择“网络策略服务器”，其他的功能在本次测试中暂时用不到。

选择一个DHCP向客户端分发IP地址的网卡。Windows server 2008会自动检测到。

填写好父域的名称，然后验证DNS的IP地址，有效后方可点下一步。

由于没有安装WINS服务器，所以这里选择不需要。

这里填写相关的作用域信息，并且选择子网类型，有“有线”和“无线”两种，两者的租用持续时间不同。

这里的IP v6选择无状态模式。

这里选择当前的凭据做验证就好了。

这样就可以开始安装了。

在DHCP中右键单击作用域选择“属性”，在“网络访问保护”选项卡中把“网络访问保护设置”设定为“对此作用域启用”，如上图。

然后在“作用域选项”中增加“默认的网络访问级别”的“DNS服务器”，并且把DHCP服务器的IP地址增加进去。

然后在此作用域选项增加一个当NAP检测Client不满足需求时所访问的限制网络域地址，在可用选项中选择“DNS域名”，字符串我拟定为：NAPerror.Ad.com。

DHCP的配置就结束了。

接下来看“网络策略服务器”的配置：

这里选择“动态主机配置协议”，这里如果有其他的验证方法，大家也可以选择适当的选项。点下一步。

这里都是点“下一步”，这里会自动选取缺省值。

然后最后选择“安全健康验证程序”做相应的选项配置。配置后，相应的效果如下截图：

安全健康验证程序可以选择你所需要的验证项目。这里我全选了。

好了，Windows 2008 server上的所有配置到此结束，接下来我们看看客户端的配置步骤。

我在客户端的验证测试就三个项目：

1. Windows 7.0 build 7000防火墙健康验证

2. Windows 7.0 build 7000自动更新服务健康验证

3. Windows 7.0 build 7000中安装金山毒霸2009套装，病毒服务的自动健康验证。

详细的步骤如下：

1. 首先在客户端启用NAP服务，这个在“计算机管理”的“服务”中可以启用。

2. 在NAP Client配置中启用“DHCP隔离强制客户端”

此时我脱离开AD域网络，而直接接入Internet网络，自动分配IP：192.168.2.102（直连外网），开始安装金山毒霸2009套装。

安装完成后，更新病毒库到最新状态。

因为部分的服务不支持Windows 7.0所以没有办法启用，但是至少文件防毒实时监控是启用了，这样就可以测试啦。

我首先把金山毒霸的文件病毒实时监控关闭掉，有以上提示，接下来把防火墙和windows自动更新服务关闭。

这样就把相关的服务关闭了，然后右下角有了相应的提示。接着把网络调整到域AD网络，进行ipconfig /renew.

当获得AD.com域的网络IP地址的时候，此时健康验证不满足策略要求，那么分配到的网域就是：NAPerror.ad.com

如上图的提示，点右下角的提示查看细项。

这时以上的防火墙服务、自动更新服务已经通过NAP检测自动启用，只剩下金山毒霸2009的服务不能自动启用：

此时需要手动启用该病毒实时检测服务，而另测卡巴斯基2009安全套装测试则是可以自动启用服务的：

这样一来，就可以看到健康检测为100%了，就自动连入ad.com网域、退出NAPerror.ad.com限制网域。

      这样整个NAP在Windows 7.0中的测试就结束了。(*^__^*) 嘻嘻……

在Windows Server 2008中的各项特色中，可用于辅助企业强化个人端计算机安全管理的网络访问防护(Network Access Protection，NAP)，这项功能无疑是大家最渴望了解的项目之一，尤其是网络信息安全这两个领域。

简单地说，为了预防不符合企业安全策略的计算机，NAP可以透过批准连接与否而加以限制，这些不符合策略的状态包括：未启动自动更新、定期修补系统漏洞不确实、未安装防毒软件或启用个人防火墙、防毒软件特征码/扫毒引擎超过期限而未更新。

整合策略控管与身分的认证、授权。

想要启动NAP，必须从Server Manager上加入新的服务器角色开始，它的名称是Network Policy and Access Services(NPAS)。完成一系列安装步骤之后，「开始」的程序集中的系统工具会增加一个快捷方式——Network Policy Server(NPS)。

当执行Network Policy Server的主控台时，会立即出现三种标准选项，让你可以快速套用设定。按下Configure NAP，会启动安装助手协助管理员一步步完成设定。

其实NPS的前身就是Windows Server 2003上的Internet验证服务(Internet Authentication Services，IAS)，搭配集中化的RADIUS认证、授权与记录机制，继续涵盖有线、无线与***网络，而不是额外产生一个新的服务器执行环境。因此它也可以转送认证与统计讯息到其它RADIUS服务器上，作为RADUIS代理服务器之用。

总而言之，NAP是功能名称，但对于Windows Server 2008而言，这项功能的提供，主要仰赖上面提到的服务器角色。

包含策略服务器与强制检查服务器。

在第一次安装NPAS时，我们可以看到里面包括了NPS、远程访问服务(RAS)、路由(Routing)、Health Registration Authority(HRA)。

HRA相当特殊，主要是用在NAP IPsec策略强制执行的架构，在受到IPsec防护的局域网络范围内，当个人端计算机被判定为符合网络安全策略时，会获得一份代表健康的凭证，假如其它共处同一个网络的个人端计算机与它连接，也会同步验证这份凭证;如果通不过策略遵循的检查，即无法取得健康凭证，IPsec的端点认证也会跟着失败，这台电脑也就无法和其它计算机通讯。

NPS还可以细分成四个主要组件：

RADIUS Clients and Servers：是指其它的RADIUS个人端装置，服务器所指的是其它的NPS服务器，当企业用户将NPS服务器设为RADIUS代理服务器时，可以将认证和授权的连接需求转送其它RADIUS服务器，如果公司的网络环境采用多网域或多重树系，可以透过这个机制导引。

Policy：分成连接需求、网络与健康状态等三种类型的策略设定。连接需求的策略用来处理连接至远程NPS服务器或其它RADIUS服务器的状况，让NPS成为检验是否遵循RADIUS协议认证的网关装置，例如支持802.1x的无线AP和认证交换器、执行路由和远程访问服务(RRAS)而成为***或拨接网络的服务器，以及Terminal Services网关。本地网域和信任网域用预设策略即可。

网络策略可以分成6种以上的形态包括未指定、远程访问服务器、以太网络、Terminal Services网关、无线AP、HRA、HCAP服务器与DHCP服务器。

至于健康状态的策略，一般来说，可设定成「通过全部检查」或「其中一项未通过」，还可以选择其它5种选项，例如全部失败、部分通过、判定为已感染恶意程序、无法判定，都可以找到对应的情境去套用策略。

Network Access Protection：只负责检查受控端计算机的健康状态(System Health Validator，SHV)和补救服务器(Remediation Server)的设定。所谓的补救服务器，包括DNS服务器、网域控制站、置放防毒特征码的档案服务器、软件更新服务器等，让那些无法通过健康检查的计算机有修正的机会。验证完毕之后如果要再执行其它工作，须从策略上加以制定。

在SHV可以定义Windows XP和Vista的健康状态，例如是否启用Windows防火墙、自动更新，是否安装防毒软件、防间谍软件(Windows XP的SHV不支持这项检查)，以及两者的特征码是否属于最新状态，以及可以设定几小时内再完成安全更新。如果企业内部先前已经架设微软提供Windows Server Update Services(WSUS)更新服务器，也可以在这里设定，就近取得更新信息与档案。

关于防毒软件的支持，微软声称可以辨识本身的Forefront Client Secuirty，以及Symantec、趋势、McAfee等厂牌防毒软件的特征码，至于防间谍程序目前只支持Windows Defender。

Accounting：负责产生记录文件，可存成IAS.log，或是SQL Server所能读写的记录文件。如果企业本身的稽核程度较严格，例如金融业，可以将这些信息转存到SQL Server内。

NPS负责策略与评估作业

实际上NPS是怎么认证每一台受控端呢?使用者将计算机开机上网，打算访问网络，因此网络设备和网络策略服务器要求使用者出示健康证明，例如系统自动更新状态、防火墙、防毒软件是否启用等，如果个人端计算机中的System Health Agent(SHA)所宣告的系统状态通过SHV的检查以及NAP的策略，这些设备和系统会将证明与连接细项传回策略服务器。

评估连接细项后，网络策略服务器将使用者授权证明传递给Active Directory要求授权，如果符合策略要求且使用者授权通过，则允许访问网络，接下来批准使用者或装置访问。

需要特别注意的是NPS只负责以本身存放的策略设定加以评估，不处理授权的动作。所有的网络访问授权与账户的管理，都需要搭配网域控制站。

 

好了，关于在Windows 7.0 build 7000中NAP的健康测试到此结束，希望能对大家有所帮助，需要相互交流学习。

PS ：特别鸣谢我的技术经理Silver对本文的技术贡献。