33、网络访问保护与服务器认证全解析

网络访问保护与服务器认证全解析

网络访问保护（NAP）概述

网络访问保护（NAP）是微软开发的一款软件，旨在依据主机的健康状况（如是否具备最新安全补丁、当前的防病毒/反恶意软件软件包等）来管控计算机对网络的访问。NAP 内置了多种强制实施方法，包括 DHCP、Internet 协议安全（IPsec）、VPN、802.1 和远程桌面网关（RD 网关）。

系统健康代理（SHAs）负责维护和报告 NAP 客户端一个或多个健康元素的信息。每个 SHA 都会创建一份健康声明（SoH）并传输给 NAP 代理。一旦状态更新（例如防病毒软件包发布更新但客户端尚未安装），SHA 就会生成新的健康声明。NAP 代理则负责维护 NAP 客户端计算机的健康信息，并在 NAP 强制实施客户端和 SHAs 之间传输信息。

监控策略与隔离策略

在实施 NAP 时，监控策略虽然无法阻止 PC 接入网络，但会记录每个尝试连接的远程 PC 的合规状态。通常在首次实施 NAP 时使用监控策略，通过查看 NAP 服务器事件查看器中的安全日志，来测试实施效果，验证哪些计算机被阻止、哪些被允许访问生产网络。待策略调整完毕且 NAP 正常运行后，再将策略切换为隔离模式。

补救服务器与配置步骤

为帮助不合规计算机的用户，在实施 NAP 健康强制实施时，可配置补救服务器组和故障排除 URL。当用户的计算机未通过合规检查时，这些资源将为其提供帮助。常见的补救服务器包括：
1. DHCP 服务器 ：提供 IP 配置。
2. 命名服务器 ：如 DNS 服务器和 WINS 服