第一份已經(jīng)發(fā)布的測試報告主要是針對Windows 7.0 build 7000的一個功能概覽，讓大家看看Windows 7.0的主要更新和一些新特性的展現(xiàn)。那么大多數(shù)東西是粗淺的，沒有細(xì)細(xì)的品味Windows 7.0給我們帶來的奧妙，那么從第二份報告開始，我將細(xì)數(shù)、細(xì)測它的不同之處，讓大家看看最新的微軟前沿技術(shù)。雖然本系列的報告不能給Vista的目前市場拓展帶來積極的影響，還希望微軟同仁能海量包容，畢竟我只是希望感受前沿的技術(shù)。 這是新的2009年的第一份測試報告，也是我寫的第一份關(guān)于Windows 7.0的深度技術(shù)測試報告，希望與大家一起探討和學(xué)習(xí)。 首先說明一下架構(gòu)情況： 一共兩臺虛擬機：（1）Windows 2008 server ，已經(jīng)安裝了AD、DHCP、DNS、網(wǎng)絡(luò)策略和訪問服務(wù)。 IP地址：192.168.1.1 域名：AD.com （2）Windows 7.0 build 7000 需要啟用NAP服務(wù)、啟用Client端NAP配置 IP地址：192.168.1.11 加入域：ad.com 我們來形象的看截圖的操作過程吧： 在windows server 2008上安裝相應(yīng)的服務(wù)器角色，如上圖所示。 我們來看接下來的截圖： 角色服務(wù)中只需要選擇“網(wǎng)絡(luò)策略服務(wù)器”，其他的功能在本次測試中暫時用不到。 選擇一個DHCP向客戶端分發(fā)IP地址的網(wǎng)卡。Windows server 2008會自動檢測到。 填寫好父域的名稱，然后驗證DNS的IP地址，有效后方可點下一步。 由于沒有安裝WINS服務(wù)器，所以這里選擇不需要。 這里填寫相關(guān)的作用域信息，并且選擇子網(wǎng)類型，有“有線”和“無線”兩種，兩者的租用持續(xù)時間不同。 這里的IP v6選擇無狀態(tài)模式。 這里選擇當(dāng)前的憑據(jù)做驗證就好了。 這樣就可以開始安裝了。 在DHCP中右鍵單擊作用域選擇“屬性”，在“網(wǎng)絡(luò)訪問保護”選項卡中把“網(wǎng)絡(luò)訪問保護設(shè)置”設(shè)定為“對此作用域啟用”，如上圖。 然后在“作用域選項”中增加“默認(rèn)的網(wǎng)絡(luò)訪問級別”的“DNS服務(wù)器”，并且把DHCP服務(wù)器的IP地址增加進去。 然后在此作用域選項增加一個當(dāng)NAP檢測Client不滿足需求時所訪問的限制網(wǎng)絡(luò)域地址，在可用選項中選擇“DNS域名”，字符串我擬定為：NAPerror.Ad.com。 DHCP的配置就結(jié)束了。 接下來看“網(wǎng)絡(luò)策略服務(wù)器”的配置： 這里選擇“動態(tài)主機配置協(xié)議”，這里如果有其他的驗證方法，大家也可以選擇適當(dāng)?shù)倪x項。點下一步。 這里都是點“下一步”，這里會自動選取缺省值。 然后最后選擇“安全健康驗證程序”做相應(yīng)的選項配置。配置后，相應(yīng)的效果如下截圖： 安全健康驗證程序可以選擇你所需要的驗證項目。這里我全選了。 好了，Windows 2008 server上的所有配置到此結(jié)束，接下來我們看看客戶端的配置步驟。 我在客戶端的驗證測試就三個項目： 1. Windows 7.0 build 7000防火墻健康驗證 2. Windows 7.0 build 7000自動更新服務(wù)健康驗證 3. Windows 7.0 build 7000中安裝金山毒霸2009套裝，病毒服務(wù)的自動健康驗證。 詳細(xì)的步驟如下： 1. 首先在客戶端啟用NAP服務(wù)，這個在“計算機管理”的“服務(wù)”中可以啟用。 2. 在NAP Client配置中啟用“DHCP隔離強制客戶端” 此時我脫離開AD域網(wǎng)絡(luò)，而直接接入Internet網(wǎng)絡(luò)，自動分配IP：192.168.2.102（直連外網(wǎng)），開始安裝金山毒霸2009套裝。 安裝完成后，更新病毒庫到最新狀態(tài)。 因為部分的服務(wù)不支持Windows 7.0所以沒有辦法啟用，但是至少文件防毒實時監(jiān)控是啟用了，這樣就可以測試?yán)病? 我首先把金山毒霸的文件病毒實時監(jiān)控關(guān)閉掉，有以上提示，接下來把防火墻和windows自動更新服務(wù)關(guān)閉。 這樣就把相關(guān)的服務(wù)關(guān)閉了，然后右下角有了相應(yīng)的提示。接著把網(wǎng)絡(luò)調(diào)整到域AD網(wǎng)絡(luò)，進行ipconfig /renew. 當(dāng)獲得AD.com域的網(wǎng)絡(luò)IP地址的時候，此時健康驗證不滿足策略要求，那么分配到的網(wǎng)域就是：NAPerror.ad.com 如上圖的提示，點右下角的提示查看細(xì)項。 這時以上的防火墻服務(wù)、自動更新服務(wù)已經(jīng)通過NAP檢測自動啟用，只剩下金山毒霸2009的服務(wù)不能自動啟用： 此時需要手動啟用該病毒實時檢測服務(wù)，而另測卡巴斯基2009安全套裝測試則是可以自動啟用服務(wù)的： 這樣一來，就可以看到健康檢測為100%了，就自動連入ad.com網(wǎng)域、退出NAPerror.ad.com限制網(wǎng)域。 這樣整個NAP在Windows 7.0中的測試就結(jié)束了。(*^__^*) 嘻嘻…… 在Windows Server 2008中的各項特色中，可用于輔助企業(yè)強化個人端計算機安全管理的網(wǎng)絡(luò)訪問防護(Network Access Protection，NAP)，這項功能無疑是大家最渴望了解的項目之一，尤其是網(wǎng)絡(luò)信息安全這兩個領(lǐng)域。 簡單地說，為了預(yù)防不符合企業(yè)安全策略的計算機，NAP可以透過批準(zhǔn)連接與否而加以限制，這些不符合策略的狀態(tài)包括：未啟動自動更新、定期修補系統(tǒng)漏洞不確實、未安裝防毒軟件或啟用個人防火墻、防毒軟件特征碼/掃毒引擎超過期限而未更新。 整合策略控管與身分的認(rèn)證、授權(quán)。 想要啟動NAP，必須從Server Manager上加入新的服務(wù)器角色開始，它的名稱是Network Policy and Access Services(NPAS)。完成一系列安裝步驟之后，「開始」的程序集中的系統(tǒng)工具會增加一個快捷方式——Network Policy Server(NPS)。 當(dāng)執(zhí)行Network Policy Server的主控臺時，會立即出現(xiàn)三種標(biāo)準(zhǔn)選項，讓你可以快速套用設(shè)定。按下Configure NAP，會啟動安裝助手協(xié)助管理員一步步完成設(shè)定。 其實NPS的前身就是Windows Server 2003上的Internet驗證服務(wù)(Internet Authentication Services，IAS)，搭配集中化的RADIUS認(rèn)證、授權(quán)與記錄機制，繼續(xù)涵蓋有線、無線與VPN網(wǎng)絡(luò)，而不是額外產(chǎn)生一個新的服務(wù)器執(zhí)行環(huán)境。因此它也可以轉(zhuǎn)送認(rèn)證與統(tǒng)計訊息到其它RADIUS服務(wù)器上，作為RADUIS代理服務(wù)器之用。 總而言之，NAP是功能名稱，但對于Windows Server 2008而言，這項功能的提供，主要仰賴上面提到的服務(wù)器角色。 包含策略服務(wù)器與強制檢查服務(wù)器。 在第一次安裝NPAS時，我們可以看到里面包括了NPS、遠程訪問服務(wù)(RAS)、路由(Routing)、Health Registration Authority(HRA)。 HRA相當(dāng)特殊，主要是用在NAP IPsec策略強制執(zhí)行的架構(gòu)，在受到IPsec防護的局域網(wǎng)絡(luò)范圍內(nèi)，當(dāng)個人端計算機被判定為符合網(wǎng)絡(luò)安全策略時，會獲得一份代表健康的憑證，假如其它共處同一個網(wǎng)絡(luò)的個人端計算機與它連接，也會同步驗證這份憑證;如果通不過策略遵循的檢查，即無法取得健康憑證，IPsec的端點認(rèn)證也會跟著失敗，這臺電腦也就無法和其它計算機通訊。 NPS還可以細(xì)分成四個主要組件： RADIUS Clients and Servers：是指其它的RADIUS個人端裝置，服務(wù)器所指的是其它的NPS服務(wù)器，當(dāng)企業(yè)用戶將NPS服務(wù)器設(shè)為RADIUS代理服務(wù)器時，可以將認(rèn)證和授權(quán)的連接需求轉(zhuǎn)送其它RADIUS服務(wù)器，如果公司的網(wǎng)絡(luò)環(huán)境采用多網(wǎng)域或多重樹系，可以透過這個機制導(dǎo)引。 Policy：分成連接需求、網(wǎng)絡(luò)與健康狀態(tài)等三種類型的策略設(shè)定。連接需求的策略用來處理連接至遠程NPS服務(wù)器或其它RADIUS服務(wù)器的狀況，讓NPS成為檢驗是否遵循RADIUS協(xié)議認(rèn)證的網(wǎng)關(guān)裝置，例如支持802.1x的無線AP和認(rèn)證交換器、執(zhí)行路由和遠程訪問服務(wù)(RRAS)而成為VPN或撥接網(wǎng)絡(luò)的服務(wù)器，以及Terminal Services網(wǎng)關(guān)。本地網(wǎng)域和信任網(wǎng)域用預(yù)設(shè)策略即可。 網(wǎng)絡(luò)策略可以分成6種以上的形態(tài)包括未指定、遠程訪問服務(wù)器、以太網(wǎng)絡(luò)、Terminal Services網(wǎng)關(guān)、無線AP、HRA、HCAP服務(wù)器與DHCP服務(wù)器。 至于健康狀態(tài)的策略，一般來說，可設(shè)定成「通過全部檢查」或「其中一項未通過」，還可以選擇其它5種選項，例如全部失敗、部分通過、判定為已感染惡意程序、無法判定，都可以找到對應(yīng)的情境去套用策略。 Network Access Protection：只負(fù)責(zé)檢查受控端計算機的健康狀態(tài)(System Health Validator，SHV)和補救服務(wù)器(Remediation Server)的設(shè)定。所謂的補救服務(wù)器，包括DNS服務(wù)器、網(wǎng)域控制站、置放防毒特征碼的檔案服務(wù)器、軟件更新服務(wù)器等，讓那些無法通過健康檢查的計算機有修正的機會。驗證完畢之后如果要再執(zhí)行其它工作，須從策略上加以制定。 在SHV可以定義Windows XP和Vista的健康狀態(tài)，例如是否啟用Windows防火墻、自動更新，是否安裝防毒軟件、防間諜軟件(Windows XP的SHV不支持這項檢查)，以及兩者的特征碼是否屬于最新狀態(tài)，以及可以設(shè)定幾小時內(nèi)再完成安全更新。如果企業(yè)內(nèi)部先前已經(jīng)架設(shè)微軟提供Windows Server Update Services(WSUS)更新服務(wù)器，也可以在這里設(shè)定，就近取得更新信息與檔案。 關(guān)于防毒軟件的支持，微軟聲稱可以辨識本身的Forefront Client Secuirty，以及Symantec、趨勢、McAfee等廠牌防毒軟件的特征碼，至于防間諜程序目前只支持Windows Defender。 Accounting：負(fù)責(zé)產(chǎn)生記錄文件，可存成IAS.log，或是SQL Server所能讀寫的記錄文件。如果企業(yè)本身的稽核程度較嚴(yán)格，例如金融業(yè)，可以將這些信息轉(zhuǎn)存到SQL Server內(nèi)。 NPS負(fù)責(zé)策略與評估作業(yè) 實際上NPS是怎么認(rèn)證每一臺受控端呢?使用者將計算機開機上網(wǎng)，打算訪問網(wǎng)絡(luò)，因此網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)策略服務(wù)器要求使用者出示健康證明，例如系統(tǒng)自動更新狀態(tài)、防火墻、防毒軟件是否啟用等，如果個人端計算機中的System Health Agent(SHA)所宣告的系統(tǒng)狀態(tài)通過SHV的檢查以及NAP的策略，這些設(shè)備和系統(tǒng)會將證明與連接細(xì)項傳回策略服務(wù)器。 評估連接細(xì)項后，網(wǎng)絡(luò)策略服務(wù)器將使用者授權(quán)證明傳遞給Active Directory要求授權(quán)，如果符合策略要求且使用者授權(quán)通過，則允許訪問網(wǎng)絡(luò)，接下來批準(zhǔn)使用者或裝置訪問。 需要特別注意的是NPS只負(fù)責(zé)以本身存放的策略設(shè)定加以評估，不處理授權(quán)的動作。所有的網(wǎng)絡(luò)訪問授權(quán)與賬戶的管理，都需要搭配網(wǎng)域控制站。 好了，關(guān)于在Windows 7.0 build 7000中NAP的健康測試到此結(jié)束，希望能對大家有所幫助，需要相互交流學(xué)習(xí)。

本文轉(zhuǎn)自xury 51CTO博客，原文鏈接：http://blog.51cto.com/xury007/125200，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。