微軟就替所有的用戶找到了一個強制性的執行安全策略：檢測一臺計算機系統是否已經滿足了“安全策略”，并以此來決定是否允許其接入本地網絡。這就是NAP的作用，也是Windows Server 2008 的健康策略平臺。它通過強制計算機符合系統健康策略要求，更好地保護網絡資產；借助網絡訪問保護，您可以創建自定義的健康策略以在允許訪問或通信之前驗證計算機的健康狀況、自動更新符合要求的計算機以確保持續的符合性，也可以將不符合健康策略要求的計算機限制在受限網絡，直到它們變為符合為止。

為了強制哪些存在安全隱患的客戶端計算機系統能夠重新符合網絡訪問健康標準，NAP通過系統健康驗證器、系統運行狀況代理以及第三方網絡安全保護應用程序等進行互相操作，確保讓哪些不符合健康檢查的客戶端計算機系統能夠自動使用我們事先指定的安全解決方案，例如更新系統補丁程序，安裝網絡防火墻程序，安裝防病毒軟件，使用VPN網絡連接等。

總之，在NAP功能的幫助下，網絡管理員可以讓Windows Server 2008服務器系統自動為客戶端計算機進行安全檢查，而不需要耗費客戶端計算機自身的系統資源；在NAP功能的幫助下，網絡管理員可以確定正在訪問網絡的客戶端計算機系統是否有權訪問服務器中的資源信息，如果發現客戶端計算機沒有訪問權限時，可以不需要進行任何設置或更新，讓其直接訪問網絡管理員事先指定的受限網絡；在NAP功能的幫助下，網絡管理員還可以讓Windows Server 2008服務器系統自動為客戶端計算機提供最新的更新，從而有效避免訪問Internet資源時可能帶來的潛在安全威脅。

安全檢查流程 

使用NAP功能對局域網客戶端進行安全檢查時，一般需要經過網絡訪問健康認證、隔離網絡、自動修正以及持續監控等流程。

為了判斷客戶端是否是健康的，我們往往需要事先定義好一組訪問規則，以便通過該規則對客戶端系統狀態進行驗證評估。當有客戶端企圖與局域網網絡建立連接時，NAP功能就會自動使用安全健康程序與事先定義好的健康策略進行比較，符合這些健康策略的客戶端就會被認為是安全性良好的工作站，而不符合其中任意一項健康策略的客戶端就會被看成是存在安全威脅的工作站。

對于那些存在安全威脅的客戶端，我們可以通過NAP功能將客戶端的網絡連接設置成各種狀態，當NAP功能認為目標客戶端由于不符合健康標準而被看成不安全系統時，那么NAP功能將會直接將該工作站隔離到受限網絡中，讓其與局域網中其他客戶端邏輯隔絕開來，直至目標客戶端的網絡訪問健康標準符合要求為止。

為了方便讓那些不符合健康標準的客戶端工作站快速地恢復到健康標準，我們還可以通過NAP功能為客戶端提供安全補救策略，例如更新補丁程序、安裝防火墻以及殺毒軟件等，讓那些已經處于隔離狀態的客戶端不需要通過網絡管理員的手工操作就能自動修正運行狀態。當然，要實現自動修正目的，我們需要對受限的網絡進行合適的設置，確保該網絡能夠允許存在安全隱患的客戶端訪問安裝必要的更新程序。

對那些已經符合健康標準的客戶端，NAP功能仍然會對它進行持續監控，也就是強制客戶端系統在訪問局域網網絡期間，而不單單在建立網絡連接的初始時候，始終監控這些能夠保持狀態良好的網絡訪問健康策略。一旦客戶端系統狀態與我們事先定義的健康策略不相符合時，比方說禁用了Windows系統防火墻，那么NAP功能將會自動重新開啟防火墻，直到恢復正常健康狀態后，才能讓客戶端系統重新訪問網絡。

啟用NAP功能

首先打開Windows Server 2008服務器系統的“開始”菜單，點選其中的“程序”選項，從下拉菜單中依次單擊“管理工具”/“服務器管理器”選項，進入本地服務器管理器界面。要想成功安裝啟用NAP功能，既要保證本地服務器系統已經成功安裝Windows Update中的最新安全更新，又要保證本地服務器系統的網絡參數已經設置正確，同時登錄服務器系統的用戶需要使用強密碼。

要想啟用NAP功能，我們應該將這里的“網絡策略和訪問服務”項目選中，之后繼續單擊向導框中的“下一步”按鈕，我們將看到有關網絡策略以及訪問服務簡介信息，從該信息中我們可以了解到網絡策略和訪問服務允許提供本地和遠程網絡訪問權限，并允許使用網絡策略服務器、路由和遠程訪問服務、健康注冊授權機構和憑據授權協議定義和強制用于網絡訪問身份驗證、授權和客戶端健康的策略；

之后繼續單擊“下一步”按鈕，打開如圖2所示的向導設置對話框，選中其中的“網絡策略服務器”選項以及相關選項，最后單擊“安裝”按鈕，那樣的話服務器系統就會將NAP功能安裝成功了。

安全檢查配置

首先在Windows Server 2008系統桌面中打開“開始”菜單，從中逐一點選“程序”、“管理工具”、“網絡策略服務器”項目，進入網絡策略服務器控制臺界面，如圖3所示；

通常情況下，我們先要在Windows Server 2008系統中創建兩個基本策略，一個是安全的策略，另一個就是不安全策略，符合安全策略的客戶端就會被NAP功能認為是健康客戶端，而符合不安全策略的客戶端會被NAP功能看成是不健康客戶端。

在新建客戶端的安全策略時，我們可以在圖3所示的左側列表窗格中逐一點選“策略”/“健康策略”節點選項，并右擊“健康策略”選項，執行右鍵菜單中的“新建”命令，在其后彈出的設置窗口中，將健康策略的名稱設置為“健康系統”，同時將“客戶端SHV檢查”參數修改為“客戶端通過了所有SHV檢查”，最后單擊“確定”按鈕退出設置窗口，如此一來客戶端的安全策略就創建好了。按照同樣的操作步驟，我們再新建一個不安全策略，在創建過程中只要將該策略的“客戶端SHV檢查”參數修改為“客戶端未能通過所有SHV檢查”就可以了。

哪什么樣的客戶端才是健康的、安全的呢？通過設置這里的系統健康驗證器，NAP功能就能自動連接檢測出連接到網絡中的客戶端哪些是不安全的，安全條件我們可以直接在這里設置，例如沒有安裝殺毒軟件就認為是不安全的，關閉了系統防火墻程序就會被認為是不健康等等！

在系統健康驗證器時，我們可以在圖3所示的左側列表窗格中逐一點選“網絡訪問保護”/“系統健康驗證器”節點選項，在該節點選項下面用鼠標右鍵單擊“Windows安全健康驗證程序”項目，并執行快捷菜單中的“屬性”命令，之后單擊其后界面中的“配置”按鈕，進入如圖4所示的設置對話框，在這里我們根據實際要求選用或忽略各種安全設置選項，例如要是本地局域網網絡對安全性能要求較高時，我們可以選中這里的所有安全設置選項，日后客戶端符合了所有安全選項驗證，NAP功能才會認為該客戶端系統是健康的、安全的。

當NAP功能檢測到客戶端符合不健康策略時，還能為對應系統提供相關的修正措施，以便強制不健康的客戶端從我們事先指定的更新服務器中下載安裝病毒庫更新程序或系統補丁程序，直到客戶端系統重新符合健康策略標準。在這里我們可以通過設置更新服務器參數，來強行讓不健康客戶端系統只能去訪問那些補丁程序服務器。

在設置更新服務器參數時，我們可以按照前面的操作步驟打開網絡策略服務器控制臺窗口，依次點選該窗口左側顯示窗格中的“網絡訪問保護”、“更新服務器組”節點選項，并用右擊目標節點選項，再執行右鍵菜單中的“新建”命令，在其后出現的設置窗口中（如圖5所示），單擊“添加”按鈕，再輸入病毒庫更新服務器或系統補丁服務器所在主機的名稱或IP地址，最后單擊“確定”按鈕退出設置窗口，那樣的話不安全的客戶端日后就能自動訪問指定的服務器，去完成系統補丁下載安裝操作以及網絡病毒升級操作了。

一旦完成了病毒更新以及系統補丁程序的下載安裝操作后，客戶端再次訪問局域網網絡時，NAP功能就會認為它是健康的客戶端了，從而允許該客戶端重新訪問局域網網絡了。

完成上面的配置操作后，我們日后只要關閉局域網路由器中的DHCP服務功能，并由NAP功能下面的DHCP服務配合網絡訪問策略來完成強制安全檢查操作，就能達到保護網絡安全目的了。

最后，注意NAP不能取代計算機系統和網絡內的別的安全系統，像殺毒軟件、防火墻、入侵檢測等，實際上，NAP的作用只是用來檢查將要接入本地局域網絡的客戶端是否具有完備的安全補丁，是否有安全配置方面的錯誤等來提升用戶計算機的安全性從而達到網絡訪問保護的作用。

【編輯推薦】

1. 解讀Windows Server 2008 R2安全性和高可靠性
2. Windows Server 2008 R2中托管服務帳號的方法
3. Windows Server 2008 R2安全性能體驗
4. Windows server 2008 R2系統安全穩如磐石
5. Windows Server 2008 R2中如何托管服務賬號