第一份已經發布的測試報告主要是針對Windows 7.0 build 7000的一個功能概覽，讓大家看看Windows 7.0的主要更新和一些新特性的展現。那么大多數東西是粗淺的，沒有細細的品味Windows 7.0給我們帶來的奧妙，那么從第二份報告開始，我將細數、細測它的不同之處，讓大家看看最新的微軟前沿技術。雖然本系列的報告不能給Vista的目前市場拓展帶來積極的影響，還希望微軟同仁能海量包容，畢竟我只是希望感受前沿的技術。 這是新的2009年的第一份測試報告，也是我寫的第一份關于Windows 7.0的深度技術測試報告，希望與大家一起探討和學習。 首先說明一下架構情況： 一共兩臺虛擬機：（1）Windows 2008 server ，已經安裝了AD、DHCP、DNS、網絡策略和訪問服務。 IP地址：192.168.1.1 域名：AD.com （2）Windows 7.0 build 7000 需要啟用NAP服務、啟用Client端NAP配置 IP地址：192.168.1.11 加入域：ad.com 我們來形象的看截圖的操作過程吧： 在windows server 2008上安裝相應的服務器角色，如上圖所示。 我們來看接下來的截圖： 角色服務中只需要選擇“網絡策略服務器”，其他的功能在本次測試中暫時用不到。 選擇一個DHCP向客戶端分發IP地址的網卡。Windows server 2008會自動檢測到。 填寫好父域的名稱，然后驗證DNS的IP地址，有效后方可點下一步。 由于沒有安裝WINS服務器，所以這里選擇不需要。 這里填寫相關的作用域信息，并且選擇子網類型，有“有線”和“無線”兩種，兩者的租用持續時間不同。 這里的IP v6選擇無狀態模式。 這里選擇當前的憑據做驗證就好了。 這樣就可以開始安裝了。 在DHCP中右鍵單擊作用域選擇“屬性”，在“網絡訪問保護”選項卡中把“網絡訪問保護設置”設定為“對此作用域啟用”，如上圖。 然后在“作用域選項”中增加“默認的網絡訪問級別”的“DNS服務器”，并且把DHCP服務器的IP地址增加進去。 然后在此作用域選項增加一個當NAP檢測Client不滿足需求時所訪問的限制網絡域地址，在可用選項中選擇“DNS域名”，字符串我擬定為：NAPerror.Ad.com。 DHCP的配置就結束了。 接下來看“網絡策略服務器”的配置： 這里選擇“動態主機配置協議”，這里如果有其他的驗證方法，大家也可以選擇適當的選項。點下一步。 這里都是點“下一步”，這里會自動選取缺省值。 然后最后選擇“安全健康驗證程序”做相應的選項配置。配置后，相應的效果如下截圖： 安全健康驗證程序可以選擇你所需要的驗證項目。這里我全選了。 好了，Windows 2008 server上的所有配置到此結束，接下來我們看看客戶端的配置步驟。 我在客戶端的驗證測試就三個項目： 1. Windows 7.0 build 7000防火墻健康驗證 2. Windows 7.0 build 7000自動更新服務健康驗證 3. Windows 7.0 build 7000中安裝金山毒霸2009套裝，病毒服務的自動健康驗證。 詳細的步驟如下： 1. 首先在客戶端啟用NAP服務，這個在“計算機管理”的“服務”中可以啟用。 2. 在NAP Client配置中啟用“DHCP隔離強制客戶端” 此時我脫離開AD域網絡，而直接接入Internet網絡，自動分配IP：192.168.2.102（直連外網），開始安裝金山毒霸2009套裝。 安裝完成后，更新病毒庫到最新狀態。 因為部分的服務不支持Windows 7.0所以沒有辦法啟用，但是至少文件防毒實時監控是啟用了，這樣就可以測試啦。 我首先把金山毒霸的文件病毒實時監控關閉掉，有以上提示，接下來把防火墻和windows自動更新服務關閉。 這樣就把相關的服務關閉了，然后右下角有了相應的提示。接著把網絡調整到域AD網絡，進行ipconfig /renew. 當獲得AD.com域的網絡IP地址的時候，此時健康驗證不滿足策略要求，那么分配到的網域就是：NAPerror.ad.com 如上圖的提示，點右下角的提示查看細項。 這時以上的防火墻服務、自動更新服務已經通過NAP檢測自動啟用，只剩下金山毒霸2009的服務不能自動啟用： 此時需要手動啟用該病毒實時檢測服務，而另測卡巴斯基2009安全套裝測試則是可以自動啟用服務的： 這樣一來，就可以看到健康檢測為100%了，就自動連入ad.com網域、退出NAPerror.ad.com限制網域。 這樣整個NAP在Windows 7.0中的測試就結束了。(*^__^*) 嘻嘻…… 在Windows Server 2008中的各項特色中，可用于輔助企業強化個人端計算機安全管理的網絡訪問防護(Network Access Protection，NAP)，這項功能無疑是大家最渴望了解的項目之一，尤其是網絡信息安全這兩個領域。 簡單地說，為了預防不符合企業安全策略的計算機，NAP可以透過批準連接與否而加以限制，這些不符合策略的狀態包括：未啟動自動更新、定期修補系統漏洞不確實、未安裝防毒軟件或啟用個人防火墻、防毒軟件特征碼/掃毒引擎超過期限而未更新。 整合策略控管與身分的認證、授權。 想要啟動NAP，必須從Server Manager上加入新的服務器角色開始，它的名稱是Network Policy and Access Services(NPAS)。完成一系列安裝步驟之后，「開始」的程序集中的系統工具會增加一個快捷方式——Network Policy Server(NPS)。 當執行Network Policy Server的主控臺時，會立即出現三種標準選項，讓你可以快速套用設定。按下Configure NAP，會啟動安裝助手協助管理員一步步完成設定。 其實NPS的前身就是Windows Server 2003上的Internet驗證服務(Internet Authentication Services，IAS)，搭配集中化的RADIUS認證、授權與記錄機制，繼續涵蓋有線、無線與VPN網絡，而不是額外產生一個新的服務器執行環境。因此它也可以轉送認證與統計訊息到其它RADIUS服務器上，作為RADUIS代理服務器之用。 總而言之，NAP是功能名稱，但對于Windows Server 2008而言，這項功能的提供，主要仰賴上面提到的服務器角色。 包含策略服務器與強制檢查服務器。 在第一次安裝NPAS時，我們可以看到里面包括了NPS、遠程訪問服務(RAS)、路由(Routing)、Health Registration Authority(HRA)。 HRA相當特殊，主要是用在NAP IPsec策略強制執行的架構，在受到IPsec防護的局域網絡范圍內，當個人端計算機被判定為符合網絡安全策略時，會獲得一份代表健康的憑證，假如其它共處同一個網絡的個人端計算機與它連接，也會同步驗證這份憑證;如果通不過策略遵循的檢查，即無法取得健康憑證，IPsec的端點認證也會跟著失敗，這臺電腦也就無法和其它計算機通訊。 NPS還可以細分成四個主要組件： RADIUS Clients and Servers：是指其它的RADIUS個人端裝置，服務器所指的是其它的NPS服務器，當企業用戶將NPS服務器設為RADIUS代理服務器時，可以將認證和授權的連接需求轉送其它RADIUS服務器，如果公司的網絡環境采用多網域或多重樹系，可以透過這個機制導引。 Policy：分成連接需求、網絡與健康狀態等三種類型的策略設定。連接需求的策略用來處理連接至遠程NPS服務器或其它RADIUS服務器的狀況，讓NPS成為檢驗是否遵循RADIUS協議認證的網關裝置，例如支持802.1x的無線AP和認證交換器、執行路由和遠程訪問服務(RRAS)而成為VPN或撥接網絡的服務器，以及Terminal Services網關。本地網域和信任網域用預設策略即可。 網絡策略可以分成6種以上的形態包括未指定、遠程訪問服務器、以太網絡、Terminal Services網關、無線AP、HRA、HCAP服務器與DHCP服務器。 至于健康狀態的策略，一般來說，可設定成「通過全部檢查」或「其中一項未通過」，還可以選擇其它5種選項，例如全部失敗、部分通過、判定為已感染惡意程序、無法判定，都可以找到對應的情境去套用策略。 Network Access Protection：只負責檢查受控端計算機的健康狀態(System Health Validator，SHV)和補救服務器(Remediation Server)的設定。所謂的補救服務器，包括DNS服務器、網域控制站、置放防毒特征碼的檔案服務器、軟件更新服務器等，讓那些無法通過健康檢查的計算機有修正的機會。驗證完畢之后如果要再執行其它工作，須從策略上加以制定。 在SHV可以定義Windows XP和Vista的健康狀態，例如是否啟用Windows防火墻、自動更新，是否安裝防毒軟件、防間諜軟件(Windows XP的SHV不支持這項檢查)，以及兩者的特征碼是否屬于最新狀態，以及可以設定幾小時內再完成安全更新。如果企業內部先前已經架設微軟提供Windows Server Update Services(WSUS)更新服務器，也可以在這里設定，就近取得更新信息與檔案。 關于防毒軟件的支持，微軟聲稱可以辨識本身的Forefront Client Secuirty，以及Symantec、趨勢、McAfee等廠牌防毒軟件的特征碼，至于防間諜程序目前只支持Windows Defender。 Accounting：負責產生記錄文件，可存成IAS.log，或是SQL Server所能讀寫的記錄文件。如果企業本身的稽核程度較嚴格，例如金融業，可以將這些信息轉存到SQL Server內。 NPS負責策略與評估作業 實際上NPS是怎么認證每一臺受控端呢?使用者將計算機開機上網，打算訪問網絡，因此網絡設備和網絡策略服務器要求使用者出示健康證明，例如系統自動更新狀態、防火墻、防毒軟件是否啟用等，如果個人端計算機中的System Health Agent(SHA)所宣告的系統狀態通過SHV的檢查以及NAP的策略，這些設備和系統會將證明與連接細項傳回策略服務器。 評估連接細項后，網絡策略服務器將使用者授權證明傳遞給Active Directory要求授權，如果符合策略要求且使用者授權通過，則允許訪問網絡，接下來批準使用者或裝置訪問。 需要特別注意的是NPS只負責以本身存放的策略設定加以評估，不處理授權的動作。所有的網絡訪問授權與賬戶的管理，都需要搭配網域控制站。 好了，關于在Windows 7.0 build 7000中NAP的健康測試到此結束，希望能對大家有所幫助，需要相互交流學習。

本文轉自xury 51CTO博客，原文鏈接：http://blog.51cto.com/xury007/125200，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。