Windows Server 2008中的网络访问保护功能（一）

在公司复杂的局域网环境内，一旦哪位用户杀毒软件的病毒库没有及时更新、并且操作系统的补丁没有及时的安装，那么他的计算机很可能会成为“害群之马”，从而整个使局域网安全受到威胁。我们应当怎样应对上述问题呢？
我们需要有一种方法（系统），可以在我们刚登录网络之初，就自动检测计算机的安全性，一旦符合安全标准，才准许用户登录到网络中。Windows Server 2008中为我们提出了解决方案：NAP（Network Access Protection），网络访问保护功能。
所谓网络访问保护功能就是系统会制造一个“筛子”，无论任何计算机都要过一遍这个“筛子”。当然我们可以自己制造“筛子”比如说：用户计算机系统的安全补丁是否安装完全、杀毒软件的病毒库是否是最新版本等。最后只有符合上述条件的计算机才被允许接入局域网。而没有通过“筛子”的计算机则会被系统扔到一个受限制访问网络内。在这个受限制访问网络中，计算机会被“整修”（如给系统打补丁，更新病毒库等操作），在达到“筛子”的标准之后，计算机才被允许接入局域网。
Windows Server 2008为用户提供了几种网络访问保护的策略，其中最简便且行之有效的办法就是利用NPS——Network Policy Server（即网络策略服务器）来配合DHCP服务，从而完成网络访问保护。
下面我们就来讲解这个策略的配置：在“开始”菜单的“运行”中输入“gpedit.msc”，打开组策略选项卡，一次选择“本地计算机策略”——“计算机配置”——“管理模版”——“Windows组件”——“安全中心”，然后在右面窗格中找到并启用“启用安全中心(仅限域PC)”选项；
 
紧接着要启用“DHCP隔离强制客户端”功能，在“开始”菜单的“运行”中输入“NAPCLCFG.MSC”，然后在菜单中勾选“启动此强制客户端”选项。
  

然后启用NAP代理功能即可，并且设置为“自动”模式最好。
接下来是NPS服务的安装步骤：单击“开始”中的“服务器管理器”，然后选择右边的“角色添加”选项，接着在服务器角色列表中，选择需要安装的“网络策略和访问服务”选项，其他选项均保持默认即可。
 
当以上的NPS服务安装完成后，成员服务器中的DHCP服务就会被新的包含NPS功能的组件所代替了。而相应的，网络管理员需要对NPS服务所管辖的DHCP选项进行配置。在缺省状态下，NPS关联的组件“网络访问保护”没有被启用，该策略在DHCP作用域属性中，启用该策略。而前面提到的NAP通过添加的“用户类作用域”类别，可使计算机在同一域内的受限网络和不受限网络访问之间切换。