網(wǎng)絡(luò)訪問保護(hù) (NAP) 是 Windows Server 2008 和 Windows Vista 操作系統(tǒng)附帶的一組新的操作系統(tǒng)組件，它提供一個平臺以幫助確保專用網(wǎng)絡(luò)上的客戶端計算機(jī)符合管理員定義的系統(tǒng)健康要求。NAP 策略為客戶端計算機(jī)的操作系統(tǒng)和關(guān)鍵軟件定義所需的配置和更新狀態(tài)。例如，可能要求計算機(jī)安裝具有最新簽名的防病毒軟件，安裝當(dāng)前操作系統(tǒng)的更新并且啟用基于主機(jī)的防火墻。通過強(qiáng)制符合健康要求，NAP 可以幫助網(wǎng)絡(luò)管理員降低因客戶端計算機(jī)配置不當(dāng)所導(dǎo)致的一些風(fēng)險，這些不當(dāng)配置可使計算機(jī)暴露給病毒和其他惡意軟件。

網(wǎng)絡(luò)訪問保護(hù)有何用途？

當(dāng)客戶端計算機(jī)嘗試連接網(wǎng)絡(luò)或在網(wǎng)絡(luò)上通信時，NAP 通過監(jiān)視和評估客戶端計算機(jī)的健康狀況來強(qiáng)制實(shí)施健康要求。如果確定客戶端計算機(jī)不符合健康要求，則可以將其置于包含資源的受限網(wǎng)絡(luò)上，以幫助更新客戶端系統(tǒng)使其符合健康策略。

誰會對該功能感興趣？

希望對連接到他們所支持網(wǎng)絡(luò)的客戶端計算機(jī)強(qiáng)制實(shí)施系統(tǒng)健康要求的網(wǎng)絡(luò)和系統(tǒng)管理員會對 NAP 感興趣。借助 NAP，網(wǎng)絡(luò)管理員可以：

確保局域網(wǎng) (LAN) 上針對 DHCP 進(jìn)行配置、通過 802.1X 身份驗證設(shè)備連接或?qū)ζ渫ㄐ艖?yīng)用 NAP Internet 協(xié)議安全性 (IPSec) 策略的臺式計算機(jī)的健康。

當(dāng)漫游便攜機(jī)重新連接到企業(yè)網(wǎng)絡(luò)時，對其強(qiáng)制實(shí)施健康要求。

驗證通過運(yùn)行路由和遠(yuǎn)程訪問的虛擬專用網(wǎng)絡(luò) (VPN) 服務(wù)器連接到企業(yè)網(wǎng)絡(luò)的非托管家用計算機(jī)是否健康并符合策略要求。

確定由訪問者和合作伙伴帶到組織的便攜機(jī)的健康狀況并限制對它的訪問。

根據(jù)需要，管理員可以配置一個解決方案來解決以上任何或全部方案的問題。

NAP 還包含一個應(yīng)用程序編程接口 (API) 集，開發(fā)人員和供應(yīng)商使用它來針對網(wǎng)絡(luò)策略驗證、即時符合和網(wǎng)絡(luò)隔離構(gòu)建自己的組件。

是否有其他特殊注意事項？

NAP 部署要求服務(wù)器運(yùn)行 Windows Server 2008。此外，還要求客戶端計算機(jī)運(yùn)行 Windows Vista、Windows Server 2008 或帶有 Service Pack 3 (SP3) 的 Windows XP。執(zhí)行 NAP 的健康確定分析的中心服務(wù)器是運(yùn)行 Windows Server 2008 和網(wǎng)絡(luò)策略服務(wù)器 (NPS) 的計算機(jī)。NPS 是遠(yuǎn)程身份驗證撥入用戶服務(wù) (RADIUS) 服務(wù)器和代理的 Windows 實(shí)現(xiàn)。NPS 將取代 Windows Server 2003 操作系統(tǒng)中的 Internet 身份驗證服務(wù) (IAS)。訪問設(shè)備和 NAP 服務(wù)器充當(dāng)基于 NPS 的 RADIUS 服務(wù)器的 RADIUS 客戶端。NPS 根據(jù)配置的系統(tǒng)健康策略對網(wǎng)絡(luò)連接嘗試執(zhí)行身份驗證和授權(quán)，確定是否符合計算機(jī)健康要求，以及如何限制不符合要求的計算機(jī)的網(wǎng)絡(luò)訪問。

此功能提供了哪些新用途？

NAP 平臺是 Windows Server 2008 和 Windows Vista 操作系統(tǒng)附帶的一種新的客戶端健康驗證和強(qiáng)制技術(shù)。

為什么此功能非常重要？

當(dāng)今企業(yè)面臨的最大挑戰(zhàn)之一就是客戶端設(shè)備越來越多地暴露給諸如病毒和蠕蟲等惡意軟件。這些程序可以進(jìn)入未受保護(hù)或配置不當(dāng)?shù)闹鳈C(jī)系統(tǒng)，并且可以使用該系統(tǒng)作為暫存點(diǎn)以傳播到企業(yè)網(wǎng)絡(luò)上的其他設(shè)備。網(wǎng)絡(luò)管理員可以使用 NAP 平臺保護(hù)他們的網(wǎng)絡(luò)，方法是確保客戶端系統(tǒng)保持正確的系統(tǒng)配置和軟件更新，以幫助它們免受惡意軟件的攻擊。

NAP 的主要進(jìn)程

若要使 NAP 正常工作，需要以下幾個主要進(jìn)程：策略驗證、NAP 強(qiáng)制和網(wǎng)絡(luò)限制、更新以及確保符合的即時監(jiān)視。

策略驗證

NPS 使用系統(tǒng)健康驗證程序 (SHV) 分析客戶端計算機(jī)的健康狀態(tài)。SHV 已被合并到根據(jù)客戶端健康狀態(tài)確定所要采取的操作（如授予完全網(wǎng)絡(luò)訪問權(quán)限或限制網(wǎng)絡(luò)訪問）的網(wǎng)絡(luò)策略中。由稱為系統(tǒng)健康代理 (SHA) 的客戶端 NAP 組件監(jiān)視健康狀態(tài)。NAP 使用 SHA 和 SHV 來監(jiān)視、強(qiáng)制實(shí)施和更新客戶端計算機(jī)配置。

Windows Server 2008 和 Windows Vista 操作系統(tǒng)附帶 Windows 安全健康代理和 Windows 安全健康驗證程序，它們對支持 NAP 的計算機(jī)強(qiáng)制實(shí)施以下設(shè)置：

客戶端計算機(jī)已安裝并啟用了防火墻軟件。

客戶端計算機(jī)已安裝并且正在運(yùn)行防病毒軟件。

客戶端計算機(jī)已安裝最新的防病毒更新。

客戶端計算機(jī)已安裝并且正在運(yùn)行反間諜軟件。

客戶端計算機(jī)已安裝最新的反間諜更新。

已在客戶端計算機(jī)上啟用 Microsoft(R) Update Services。

此外，如果支持 NAP 的客戶端計算機(jī)正在運(yùn)行 Windows Update 代理并且已注冊 Windows Server Update Service (WSUS) 服務(wù)器，則 NAP 可以驗證是否基于與 Microsoft 安全響應(yīng)中心 (MSRC) 中的安全嚴(yán)重等級匹配的四個可能的值中的一個值安裝最新的軟件安全更新。

NAP 強(qiáng)制和網(wǎng)絡(luò)限制

可以將 NAP 配置為拒絕不符合要求的客戶端計算機(jī)訪問網(wǎng)絡(luò)或只允許它們訪問受限網(wǎng)絡(luò)。受限網(wǎng)絡(luò)應(yīng)包含主要 NAP 服務(wù)，如健康注冊機(jī)構(gòu) (HRA) 服務(wù)器和更新服務(wù)器，以便不符合要求的 NAP 客戶端可以更新其配置以符合健康要求。

NAP 強(qiáng)制設(shè)置允許您限制不符合要求的客戶端的網(wǎng)絡(luò)訪問，或者僅觀察和記錄支持 NAP 的客戶端計算機(jī)的健康狀態(tài)。

您可以使用以下設(shè)置選擇限制訪問、推遲訪問限制或允許訪問：

“允許完全網(wǎng)絡(luò)訪問”。這是默認(rèn)設(shè)置。認(rèn)為與策略條件匹配的客戶端符合網(wǎng)絡(luò)健康要求，并授予這些客戶端對網(wǎng)絡(luò)的無限制的訪問權(quán)限（如果連接請求經(jīng)過身份驗證和授權(quán)）。記錄支持 NAP 的客戶端計算機(jī)的健康符合狀態(tài)。

“允許有限時間內(nèi)的完全網(wǎng)絡(luò)訪問”。臨時授予與策略條件匹配的客戶端無限制的訪問權(quán)限。將 NAP 強(qiáng)制延遲到指定的日期和時間。

“允許有限的訪問”。認(rèn)為與策略條件匹配的客戶端計算機(jī)不符合網(wǎng)絡(luò)健康要求，并將其置于受限網(wǎng)絡(luò)上。#p#

更新

置于受限網(wǎng)絡(luò)上的不符合要求的客戶端計算機(jī)可能需要進(jìn)行更新。更新是更新客戶端計算機(jī)以使其符合當(dāng)前的健康要求的過程。例如，受限網(wǎng)絡(luò)可能包含文件傳輸協(xié)議 (FTP) 服務(wù)器，該服務(wù)器提供當(dāng)前的病毒簽名，以便不符合要求的客戶端計算機(jī)可以更新其過期的簽名。

可以使用 NPS 網(wǎng)絡(luò)策略中的 NAP 設(shè)置來自動更新，以便在客戶端計算機(jī)不符合網(wǎng)絡(luò)健康要求時，NAP 客戶端組件自動嘗試更新該客戶端計算機(jī)?？梢允褂靡韵戮W(wǎng)絡(luò)策略設(shè)置配置自動更新：

“自動更新”。如果選中“啟用客戶端計算機(jī)的自動更新”，則會啟用自動更新，不符合健康要求的支持 NAP 的計算機(jī)即會自動嘗試對自身進(jìn)行更新。

確保符合的即時監(jiān)視

NAP 可以在已連接到網(wǎng)絡(luò)的符合要求的客戶端計算機(jī)上強(qiáng)制執(zhí)行健康符合。該功能對于確保在健康策略更改以及客戶端計算機(jī)的健康更改時即時保護(hù)網(wǎng)絡(luò)非常有用。例如，如果健康策略要求啟用 Windows 防火墻，但用戶無意中禁用了 Windows 防火墻，則 NAP 可以確定客戶端計算機(jī)處于不符合要求的狀態(tài)。然后，NAP 會將該客戶端計算機(jī)置于受限網(wǎng)絡(luò)上，直到重新啟用 Windows 防火墻為止。

如果啟用了自動更新，則 NAP 客戶端組件可以自動啟用 Windows 防火墻，而無需用戶干預(yù)。

NAP 強(qiáng)制方法

根據(jù)客戶端計算機(jī)的健康狀況，NAP 可以允許完全網(wǎng)絡(luò)訪問、僅限于對受限網(wǎng)絡(luò)進(jìn)行訪問或者拒絕對網(wǎng)絡(luò)進(jìn)行訪問。還可以自動更新確定為不符合健康策略的客戶端計算機(jī)，以使其符合這些要求。強(qiáng)制實(shí)施 NAP 的方式因您選擇的強(qiáng)制方法而異。NAP 對以下內(nèi)容強(qiáng)制實(shí)施健康策略：

受 IPSec 保護(hù)的通信

基于 802.1X 端口的有線和無線網(wǎng)絡(luò)訪問控制

具有路由和遠(yuǎn)程訪問的虛擬專用網(wǎng)絡(luò) (VPN)

動態(tài)主機(jī)配置協(xié)議 (DHCP) IPv4 地址租用和續(xù)訂

與終端服務(wù)網(wǎng)關(guān)（TS 網(wǎng)關(guān)）服務(wù)器的連接

以下部分介紹這些強(qiáng)制方法。

IPSec 通信的 NAP 強(qiáng)制

受 IPSec 保護(hù)的通信的 NAP 強(qiáng)制通過健康證書服務(wù)器、HRA 服務(wù)器、NPS 服務(wù)器以及 IPSec 強(qiáng)制客戶端進(jìn)行部署。在確定 NAP 客戶端符合網(wǎng)絡(luò)健康要求后，健康證書服務(wù)器會向 NAP 客戶端頒發(fā) X.509 證書。然后，當(dāng) NAP 客戶端啟動與 Intranet 上的其他 NAP 客戶端的受 IPSec 保護(hù)的通信時，會使用這些證書對 NAP 客戶端進(jìn)行身份驗證。

IPSec 強(qiáng)制將網(wǎng)絡(luò)上的通信限制于符合要求的客戶端，并提供最強(qiáng)大的 NAP 強(qiáng)制形式。由于該強(qiáng)制方法使用 IPSec，您可以逐個 IP 地址或逐個 TCP/UDP 端口號地定義受保護(hù)通信的要求。#p#

802.1X 的 NAP 強(qiáng)制

基于 802.1X 端口的網(wǎng)絡(luò)訪問控制的 NAP 強(qiáng)制通過 NPS 服務(wù)器和 EAPHost 強(qiáng)制客戶端組件進(jìn)行部署。借助基于 802.1X 端口的強(qiáng)制，NPS 服務(wù)器將指導(dǎo) 802.1X 身份驗證交換機(jī)或符合 802.1X 的無線訪問點(diǎn)將不符合要求的 802.1X 客戶端置于受限網(wǎng)絡(luò)上。NPS 服務(wù)器通過指導(dǎo)訪問點(diǎn)將 IP 篩選器或虛擬 LAN 標(biāo)識符應(yīng)用于連接，將客戶端的網(wǎng)絡(luò)訪問局限于受限網(wǎng)絡(luò)。802.1X 強(qiáng)制為通過支持 802.1X 的網(wǎng)絡(luò)訪問設(shè)備訪問網(wǎng)絡(luò)的所有計算機(jī)提供強(qiáng)有力的網(wǎng)絡(luò)限制。

VPN 的 NAP 強(qiáng)制

VPN 的 NAP 強(qiáng)制使用 VPN 強(qiáng)制服務(wù)器組件和 VPN 強(qiáng)制客戶端組件進(jìn)行部署。使用 VPN 的 NAP 強(qiáng)制，VPN 服務(wù)器可以在客戶端計算機(jī)嘗試使用遠(yuǎn)程訪問 VPN 連接來連接網(wǎng)絡(luò)時強(qiáng)制實(shí)施健康策略。VPN 強(qiáng)制為通過遠(yuǎn)程訪問 VPN 連接訪問網(wǎng)絡(luò)的所有計算機(jī)提供強(qiáng)有力的受限網(wǎng)絡(luò)訪問。

DHCP 的 NAP 強(qiáng)制

DHCP 強(qiáng)制通過 DHCP NAP 強(qiáng)制服務(wù)器組件、DHCP 強(qiáng)制客戶端組件以及 NPS 進(jìn)行部署。使用 DHCP 強(qiáng)制，DHCP 服務(wù)器和 NPS 可以在計算機(jī)嘗試租用或續(xù)訂 IP 版本 4 (IPv4) 地址時強(qiáng)制實(shí)施健康策略。NPS 服務(wù)器通過指導(dǎo) DHCP 服務(wù)器指定一個受限制的 IP 地址配置，將客戶端的網(wǎng)絡(luò)訪問局限于受限網(wǎng)絡(luò)。但如果客戶端計算機(jī)已配置有一個靜態(tài) IP 地址，或配置為避免使用受限制的 IP 地址配置，則 DHCP 強(qiáng)制無效。

TS 網(wǎng)關(guān)的 NAP 強(qiáng)制

TS 網(wǎng)關(guān)的 NAP 強(qiáng)制通過 TS 網(wǎng)關(guān)強(qiáng)制服務(wù)器組件和 TS 網(wǎng)關(guān)強(qiáng)制客戶端組件進(jìn)行部署。使用 TS 網(wǎng)關(guān)的 NAP 強(qiáng)制，TS 網(wǎng)關(guān)服務(wù)器可以對嘗試通過 TS 網(wǎng)關(guān)服務(wù)器連接內(nèi)部企業(yè)資源的客戶端計算機(jī)強(qiáng)制實(shí)施健康策略。TS 網(wǎng)關(guān)強(qiáng)制為通過 TS 網(wǎng)關(guān)服務(wù)器訪問網(wǎng)絡(luò)的所有計算機(jī)提供強(qiáng)有力的受限訪問。

組合方法

每一種 NAP 強(qiáng)制方法都有各自不同的優(yōu)勢。通過組合強(qiáng)制方法，您可以將這些不同方法的優(yōu)勢組合在一起。但是，部署多種 NAP 強(qiáng)制方法會使 NAP 實(shí)現(xiàn)更難管理。

NAP 框架還提供了一套 API，它允許除 Microsoft 之外的公司將其軟件集成到 NAP 平臺中。通過使用 NAP API，軟件開發(fā)人員和供應(yīng)商可以提供端對端解決方案，用以驗證健康并更新不符合要求的客戶端。

部署此功能應(yīng)做哪些準(zhǔn)備工作？

部署 NAP 所需的準(zhǔn)備工作取決于您所選擇的強(qiáng)制方法，以及當(dāng)客戶端計算機(jī)連接到網(wǎng)絡(luò)或在網(wǎng)絡(luò)上通信時要強(qiáng)制實(shí)施的健康要求。

如果您是網(wǎng)絡(luò)或系統(tǒng)管理員，則可以使用 Windows 安全健康代理和 Windows 安全健康驗證程序部署 NAP。還可以咨詢其他軟件供應(yīng)商，看他們是否為其產(chǎn)品提供 SHA 和 SHV。例如，如果防病毒軟件供應(yīng)商想創(chuàng)建一個包含自定義 SHA 和 SHV 的 NAP 解決方案，則他們可以使用 API 集來創(chuàng)建這些組件。然后可以將這些組件集成到其客戶部署的 NAP 解決方案中。#p#

當(dāng)客戶端計算機(jī)嘗試連接到網(wǎng)絡(luò)或在網(wǎng)絡(luò)上通信時，除了 SHA 和 SHV 之外，NAP 平臺還使用多個客戶端和服務(wù)器端組件來檢測和監(jiān)視客戶端計算機(jī)的系統(tǒng)健康狀態(tài)。下圖展示了用于部署 NAP 的一些常用組件：

NAP 客戶端組件

支持 NAP 的客戶端是一臺安裝了 NAP 組件且可以通過向 NPS 發(fā)送健康聲明 (SoH) 來驗證其健康狀態(tài)的計算機(jī)。下面是常用的 NAP 客戶端組件。

系統(tǒng)健康代理 (SHA)。監(jiān)視和報告客戶端計算機(jī)的健康狀況，以便 NPS 可以確定由 SHA 監(jiān)視的設(shè)置是否最新以及是否經(jīng)過正確配置。例如，Windows 系統(tǒng)健康代理 (WSHA) 可以監(jiān)視 Windows 防火墻，檢查防病毒軟件是否已安裝、啟用和更新，反間諜軟件是否已安裝、啟用和更新，以及 Microsoft Update Services 是否已啟用，計算機(jī)是否擁有其最新的安全更新。還可能有來自其他公司提供其他功能的 SHA。

NAP 代理。收集和管理健康信息。NAP 代理還處理來自 SHA 的 SoH，并向已安裝的強(qiáng)制客戶端報告客戶端健康狀況。若要指示 NAP 客戶端的總體健康狀況，NAP 代理應(yīng)使用系統(tǒng) SoH。

NAP 強(qiáng)制客戶端 (NAP EC)。若要使用 NAP，必須在客戶端計算機(jī)上安裝和啟用至少一個 NAP 強(qiáng)制客戶端。如前所述，各個 NAP 強(qiáng)制客戶端都是特定于強(qiáng)制方法的。NAP 強(qiáng)制客戶端集成了網(wǎng)絡(luò)訪問技術(shù)，如 IPSec、基于 802.1X 端口的有線和無線網(wǎng)絡(luò)訪問控制、具有路由和遠(yuǎn)程訪問的 VPN、DHCP 以及 TS 網(wǎng)關(guān)。NAP 強(qiáng)制客戶端請求訪問網(wǎng)絡(luò)、與 NPS 服務(wù)器交流客戶端計算機(jī)的健康狀態(tài)，并與 NAP 客戶端體系結(jié)構(gòu)的其他組件交流客戶端計算機(jī)的受限狀態(tài)。

健康聲明 (SoH)。一種聲明其健康狀態(tài)的來自 SHA 的聲明。SHA 創(chuàng)建 SoH 并將其發(fā)送給 NAP 代理。

NAP 服務(wù)器組件

下面是常用的 NAP 服務(wù)器組件。

NAP 健康策略服務(wù)器。運(yùn)行 NPS 的服務(wù)器，它充當(dāng) NAP 健康評估服務(wù)器的角色。NAP 健康策略服務(wù)器具有健康策略和網(wǎng)絡(luò)策略，這些策略為請求網(wǎng)絡(luò)訪問的客戶端計算機(jī)定義健康要求和強(qiáng)制設(shè)置。NAP 健康策略服務(wù)器使用 NPS 處理包含 NAP EC 發(fā)送的系統(tǒng) SoH 的 RADIUS 訪問請求消息，并將其傳遞給 NAP 管理服務(wù)器進(jìn)行評估。

NAP 管理服務(wù)器。提供一種類似于客戶端上的 NAP 代理的處理功能。它負(fù)責(zé)從 NAP 強(qiáng)制點(diǎn)收集 SoH，將 SoH 分發(fā)給相應(yīng)的系統(tǒng)健康驗證程序 (SHV)，以及從 SHV 收集 SoH 響應(yīng) (SoHR) 并將其傳遞給 NPS 服務(wù)進(jìn)行評估。

系統(tǒng)健康驗證程序 (SHV)。服務(wù)器軟件對應(yīng)于 SHA。客戶端上的每個 SHA 在 NPS 中都具有相應(yīng)的 SHV。SHV 驗證客戶端計算機(jī)上與其對應(yīng)的 SHA 所創(chuàng)建的 SoH。SHA 和 SHV 相互匹配，并且與相應(yīng)的健康要求服務(wù)器（如果適用）和可能的更新服務(wù)器匹配。SHV 還可以檢測到尚未接收 SoH（如 SHA 從未安裝或者已損壞或刪除的情況）。無論 SoH 符合還是不符合定義的策略，SHV 都向 NAP 管理服務(wù)器發(fā)送健康聲明響應(yīng) (SoHR) 消息。一個網(wǎng)絡(luò)可能具有多種 SHV。如果情況如此，則運(yùn)行 NPS 的服務(wù)器必須調(diào)整所有 SHV 中的輸出，并且確定是否限制不符合要求的計算機(jī)的訪問。如果您的部署使用多個 SHV，則需要了解它們交互的方式，在配置健康策略時還要進(jìn)行仔細(xì)地計劃。

NAP 強(qiáng)制服務(wù)器 (NAP ES)。與所使用 NAP 強(qiáng)制方法的相應(yīng) NAP EC 相匹配。NAP ES 接收來自 NAP EC 的 SoH 列表，并將其傳遞給 NPS 進(jìn)行評估。根據(jù)響應(yīng)，它向支持 NAP 的客戶端提供有限制或無限制的網(wǎng)絡(luò)訪問。根據(jù) NAP 強(qiáng)制的類型，NAP ES 可以是 NAP 強(qiáng)制點(diǎn)的一個組件。

NAP 強(qiáng)制點(diǎn)。使用 NAP 或可以與 NAP 結(jié)合使用以要求評估 NAP 客戶端的健康狀況并提供受限網(wǎng)絡(luò)訪問或通信的服務(wù)器或網(wǎng)絡(luò)訪問設(shè)備。NAP 強(qiáng)制點(diǎn)可以是健康注冊機(jī)構(gòu)（IPSec 強(qiáng)制）、身份驗證交換機(jī)或無線訪問點(diǎn)（802.1x 強(qiáng)制）、運(yùn)行路由和遠(yuǎn)程訪問的服務(wù)器（VPN 強(qiáng)制）、DHCP 服務(wù)器（DHCP 強(qiáng)制）或 TS 網(wǎng)關(guān)服務(wù)器（TS 網(wǎng)關(guān)強(qiáng)制）。

健康要求服務(wù)器。與 SHV 通信以提供評估系統(tǒng)健康要求時使用的信息的軟件組件。例如，健康要求服務(wù)器可以是為驗證客戶端防病毒 SoH 提供當(dāng)前簽名文件版本的防病毒簽名服務(wù)器。健康要求服務(wù)器與 SHV 相匹配，但并不是所有 SHV 都需要健康要求服務(wù)器。例如，SHV 可以只指導(dǎo)支持 NAP 的客戶端檢查本地系統(tǒng)設(shè)置，以確保啟用基于主機(jī)的防火墻。

更新服務(wù)器。承載 SHA 用來使不符合要求的客戶端計算機(jī)變?yōu)榉弦蟮目蛻舳擞嬎銠C(jī)的更新。例如，更新服務(wù)器可以承載軟件更新。如果健康策略要求 NAP 客戶端安裝最新的軟件更新，則 NAP EC 將對沒有這些更新的客戶端的網(wǎng)絡(luò)訪問加以限制。為了使客戶端能夠獲得符合健康策略所需的更新，具有受限網(wǎng)絡(luò)訪問權(quán)限的客戶端必須可以訪問更新服務(wù)器。

健康聲明響應(yīng) (SoHR)。包含客戶端 SoH 的 SHV 評估結(jié)果。沿 SoH 的路徑，將 SoHR 反向發(fā)送回客戶端計算機(jī) SHA。如果認(rèn)為客戶端計算機(jī)不符合要求，則 SoHR 包含更新說明，SHA 會使用該說明更新客戶端計算機(jī)配置，使其符合健康要求。

就像每種類型的 SoH 都包含有關(guān)系統(tǒng)健康狀態(tài)的信息一樣，每個 SoHR 消息都包含有關(guān)如何使客戶端計算機(jī)符合健康要求的信息。

原文地址 |  查看更多相關(guān)文章