NAP是主动防御技术的一种,目前只支持Windows 2008、 VISTA和 XPSP3。采用NAP的机制管理员可以根据企业的安全策略及设置,定义客户端访问网络的条件,确定该客户端是具有完全的网络访问权限还是具有受限的网络访问权限,以及是否通过修正使不符合客户端变得符合。
![](https://i-blog.csdnimg.cn/blog_migrate/974c203556348aac414864aa1b90b240.jpeg)
NAP结构图
![](https://i-blog.csdnimg.cn/blog_migrate/542c8ec46082a9b4c97475bd48bf3565.jpeg)
NAP管理服务器
协调所有系统将抗检验器的输出并确定NAP强制服务器组件是否应该基于配置的将抗策略要求限制客户端的访问
声明客户端系统的健康状态
SHV (系统健康验证器)
验证SHA提交的健康状况是够符合所需的将抗状况
HCS(系统健康状况服务器)
定义客户端上系统组件的状况要求 健康证书服务器是将抗注册机构和CA的组合
RS(修补服务器)
为不符合健康状态的客户端安装必要的补丁 配置和应用程序并使客户端成为将抗状态。
EC
与网络访问设备协调访问
网络访问设备
提供对健康断电的网络访问。
健康注册机构
向通过健康检查的客户端颁发证书
隔离代理
报告客户端的健康状态以及SHA和EC之间的协作
隔离服务器QS
根据SHV验证的情况限制客户端的网络访问
NAP配置步骤
安装ADDS服务器
PS:基本和以前的版本以前,多了选择域级别和林级别的选项
![](https://i-blog.csdnimg.cn/blog_migrate/0c7758cd2b1575f3f52a897dd8af5d83.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/445228e1e4e80001bbb25928e6abac44.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/d40100857222442bb0396d1205dafc1b.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/15f148422560d121bb59241a494d7c95.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/b8d80e3337daa65b075cd8fbd67949f5.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/56aeb10b876e317bd9c2d0f78969304a.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/e377269a8e4f12432a154a52c315c004.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/012e4888b42be80fe6d3a13c43003090.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/7482cb684f746a4d8877f842320c294d.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/38f5646ef47f7bd362592ce8307dd27d.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/25351fa8c63f01c3b55b97d70f083293.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/f1ca468132358e4e07b527d98af8b250.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/5b66b3ad97fa624b4dbf60251d240e1c.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/cc2d13c49990a16df04a3ce9cf30fceb.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/6c439ed8d49bf3d049045bb963e8bfc6.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/619cbaa4d7d757d5dfe94a3aee827911.jpeg)
安装DHCP
安装NPS
配置NAP
配置系统健康验证
只验证自动更新
我用的向导,其实可以自己配置规则
当然选择DHCP
本地有DHCP服务器所以不需要选择
一会到DHCP服务器上配置
RS服务器
配置NAP
完成
下面是配置后生成的几条规则
配置DHCP
总结:最近在做SCCM和2008的测试,在这2款MS的新一代产品中都提供了对NAP的支持,所以对NAP比较感兴趣。
PS:对NAP来说上面的东西或许连入门也说不上,以后有时间还会做进一步的研究,当然前提是升级机器,试验时想再跑个VISTA作为客户端验证,却发现硬盘狂转不止而内存早已顶到虚拟区域去了。
附件是微软的SERVER 2008 Step by Step中的一个,版本较老,有些选项位置已经变了,有兴趣的朋友可以照着自己设定规则试试。
转载于:https://blog.51cto.com/dong8745/66997