Windows Server 2008的NPS策略应用

　　“通过所有安全验证”策略，规定通过所有“安全中心”检查的计算机可以获得不受限制的网络访问权限。“没有通过网络安全检查”策略，对应任何未通过一项或多项 SHV(System Health Validators)检查的计算机。如果有计算机与此策略相符，则NPS会指示DHCP 服务器为该客户端提供一个具有特殊NAP受限作用域选项的IP租约。该地址仅允许违规计算机访问更新服务器组中定义的资源。启动“网络策略服务器”组件，打开“NPS(本地)”→“策略”→“网络策略”，为“通过所有安全健康检查”新建策略，同时设置访问权限。

　　NAP部署后，当外出记者回到公司登录到公司的网络时，首先进行客户端检测，没有安装最新病毒库的计算机，自动连接到病毒库更新服务器升级病毒库;没有安装系统补丁的计算机，自动连接到WSUS服务器升级补丁;没有启用防火墙的计算机，提示客户端启用防火墙。当以上条件满足后，允许客户端连接到内部网络中，最大限度地保证网络安全。

　　网络访问保护主要分为四部分：策略验证、隔离、补救和持续监控。

　　策略验证是指NAP根据网络管理员定义的一组规则，对客户端计算机系统状态进行评估。NAP在计算机尝试连接到网络时会使用安全健康程序和定义的策略相比较，符合这些策略的计算机被视为状态良好的计算机，而不符合其中一项或多项检查标准的计算机则被认为是状态不良的计算机。

　　隔离可以理解为网络连接限制。根据网络管理员定义的策略，NAP可以将计算机的网络连接设置为各种状态。例如，如果一台计算机因缺少关键的安全更新而被视为状态不良，则NAP可以将该计算机置于隔离网络中，使其与网络中其他计算机隔绝，直至恢复健康(安装补丁)为止。

　　对于已经限制连接的那些状态不良的计算机，NAP 提供了补救策略，被隔离的计算机无需网络管理员干预即可纠正运行状态。受限的网络允许状态不良的计算机访问安装必要的更新程序。

　　持续监控，即强制计算机在与网络保持连接期间，而不仅仅在初始连接时，始终监控这些可保持状态良好的策略。该计算机状态如果与策略不相符合，例如禁用了Windows防火墙，则NAP将自动开启防火墙，直至恢复正常状态后，才可访问网络。