走近NAP 全面了解Vista安全機(jī)制
時(shí)間:2010-07-15 22:38:19 整理:佚名 []
自Windows Vista操作系統(tǒng)發(fā)布以來(lái),有關(guān)UAC和Windows Defender對(duì)Vista如何進(jìn)行防護(hù)的討論就充斥了整個(gè)安全領(lǐng)域。在眾人熱議Vista安全機(jī)制的同時(shí),人們忽略了NAP這個(gè)可以改善微軟的安全政策管理與政策執(zhí)行能力的功能。在保障網(wǎng)絡(luò)連接的安全性上,微軟其實(shí)對(duì)NAP寄予厚望。
NAP的英文全稱(chēng)是Network Access Protection,也就是網(wǎng)絡(luò)接入防護(hù),它是內(nèi)置于Windows Longhorn Server以及Windows Vista客戶(hù)端操作系統(tǒng)的安全機(jī)制。比較熟悉服務(wù)器操作系統(tǒng)Windows Server 2003的朋友應(yīng)該對(duì)網(wǎng)絡(luò)接入隔離控制(Network Access Quarantine Control)有所了解,NAP正是此項(xiàng)功能的擴(kuò)展。
每一個(gè)連接到本地網(wǎng)絡(luò)的電腦都是潛在的威脅。你無(wú)法得知是否每臺(tái)電腦里都安裝了微軟 新的安全補(bǔ)丁、是否被安裝了間諜軟件、是否設(shè)置了適當(dāng)?shù)姆阑饓Γ魏我慌_(tái)計(jì)算機(jī)出現(xiàn)了安全問(wèn)題,整個(gè)本地網(wǎng)絡(luò)的計(jì)算機(jī)都會(huì)處在危險(xiǎn)之中。
所以,要保護(hù)網(wǎng)絡(luò)安全,就必須制定一個(gè)“安全策略”讓每臺(tái)電腦在連接本地網(wǎng)絡(luò)的時(shí)候都通過(guò)這個(gè)策略的允許。但是并不是所有的用戶(hù)都會(huì)自覺(jué)地遵守這個(gè)安全策略,微軟就替所有的用戶(hù)找到了一個(gè)強(qiáng)制性的執(zhí)行安全策略:檢測(cè)一個(gè)系統(tǒng)是否已經(jīng)滿足了標(biāo)準(zhǔn),并以此來(lái)決定是阻止其連入網(wǎng)絡(luò),或是對(duì)其放行。這就是NAP的用武之地,也是微軟的健康策略平臺(tái)。
NAP可以讓用戶(hù)監(jiān)視任何試圖接入用戶(hù)網(wǎng)絡(luò)的計(jì)算機(jī)的安全狀態(tài),并確保接入的計(jì)算機(jī)都具有符合用戶(hù)健康策略的安全防范措施。那些不符合用戶(hù)健康策略的電腦,將被接入到一個(gè)受限的網(wǎng)絡(luò)環(huán)境,用戶(hù)可以在這個(gè)網(wǎng)絡(luò)環(huán)境中存儲(chǔ)一些安全軟件,幫助這些安全性較差的計(jì)算機(jī)提高到符合用戶(hù)要求的安全水平。
目前,NAP已經(jīng)被內(nèi)嵌到Windows Server(現(xiàn)在被稱(chēng)為“Longhorn”),可以和Windows Vista協(xié)同使用,或和那些運(yùn)行了NAP客戶(hù)端插件的Windows XP客戶(hù)端協(xié)同使用(NAP客戶(hù)端插件將在新服務(wù)器操作系統(tǒng)發(fā)布時(shí)同步推出,而XP NAP客戶(hù)端目前已經(jīng)進(jìn)入了Beta測(cè)試階段)。據(jù)微軟工作人員透露,Windows Server 2003也有可能成為一個(gè)NAP客戶(hù)端。
不必?fù)?dān)心這個(gè)功能的兼容性,因?yàn)槲④浄Q(chēng)將把NAP開(kāi)發(fā)成一套開(kāi)放的安全架構(gòu)標(biāo)準(zhǔn),屆時(shí)將會(huì)有更多的硬件支持它。
NAP不是全面的安全機(jī)制
NAP不能取代系統(tǒng)內(nèi)別的安全系統(tǒng),像殺毒軟件、防火墻、入侵檢測(cè)等,實(shí)際上,NAP的作用只是用來(lái)檢查將要連入網(wǎng)絡(luò)的電腦是否具有完備的安全補(bǔ)丁,是否有安全配置方面的錯(cuò)誤等來(lái)提升用戶(hù)計(jì)算機(jī)的安全性。
NAP適用的系統(tǒng)
Windows用戶(hù)不必?fù)?dān)心使用問(wèn)題,即使是現(xiàn)在XP不支持NAP,但是微軟已經(jīng)承諾將會(huì)開(kāi)發(fā)出適用XP的NAP客戶(hù)端。我們要注意的是,NAP服務(wù)器是一個(gè)網(wǎng)絡(luò)策略服務(wù)器(Network Policy Server ,NPS)。而NPS則是Longhorn中替代Windows Server 2003中IAS(互聯(lián)網(wǎng)驗(yàn)證服務(wù))功能的組件,我們的服務(wù)器操作系統(tǒng)要采用Longhorn才能適用于整個(gè)本地網(wǎng)絡(luò)。
NAP如何工作
正如前面所說(shuō),并不是所有要進(jìn)入的電腦都符合安全策略,如果遇見(jiàn)了不符合條件的電腦,除了強(qiáng)行禁止,我們也有其它的選擇:
1、允許它訪問(wèn)網(wǎng)絡(luò),但是在Log中標(biāo)記具體的信息,以便你可以追蹤它,以查看它是否 終滿足了要求;
2、允許它訪問(wèn)一個(gè)受限的網(wǎng)絡(luò),而不是訪問(wèn)整個(gè)網(wǎng)絡(luò)。這一點(diǎn)很有用,這樣你可以在受限網(wǎng)絡(luò)中提供相關(guān)資源(比如,相關(guān)的安全更新或者反病毒軟件,或者某些系統(tǒng)補(bǔ)丁),以便用戶(hù)對(duì)電腦進(jìn)行修正以便 終滿足要求。也可以對(duì)不滿足要求的電腦做出限制,讓它訪問(wèn)網(wǎng)絡(luò)的時(shí)間只能在規(guī)定的長(zhǎng)度之內(nèi)。
總結(jié)
根據(jù)電腦的安全狀態(tài)來(lái)控制它的網(wǎng)絡(luò)活動(dòng),NAP可以說(shuō)是一個(gè)相當(dāng)先進(jìn)的網(wǎng)絡(luò)安全解決方案,我想用戶(hù)們不必這么早就開(kāi)始給微軟挑毛病,也許,這次的NAP真的不會(huì)讓我們失望。
NAP的英文全稱(chēng)是Network Access Protection,也就是網(wǎng)絡(luò)接入防護(hù),它是內(nèi)置于Windows Longhorn Server以及Windows Vista客戶(hù)端操作系統(tǒng)的安全機(jī)制。比較熟悉服務(wù)器操作系統(tǒng)Windows Server 2003的朋友應(yīng)該對(duì)網(wǎng)絡(luò)接入隔離控制(Network Access Quarantine Control)有所了解,NAP正是此項(xiàng)功能的擴(kuò)展。
每一個(gè)連接到本地網(wǎng)絡(luò)的電腦都是潛在的威脅。你無(wú)法得知是否每臺(tái)電腦里都安裝了微軟 新的安全補(bǔ)丁、是否被安裝了間諜軟件、是否設(shè)置了適當(dāng)?shù)姆阑饓Γ魏我慌_(tái)計(jì)算機(jī)出現(xiàn)了安全問(wèn)題,整個(gè)本地網(wǎng)絡(luò)的計(jì)算機(jī)都會(huì)處在危險(xiǎn)之中。
所以,要保護(hù)網(wǎng)絡(luò)安全,就必須制定一個(gè)“安全策略”讓每臺(tái)電腦在連接本地網(wǎng)絡(luò)的時(shí)候都通過(guò)這個(gè)策略的允許。但是并不是所有的用戶(hù)都會(huì)自覺(jué)地遵守這個(gè)安全策略,微軟就替所有的用戶(hù)找到了一個(gè)強(qiáng)制性的執(zhí)行安全策略:檢測(cè)一個(gè)系統(tǒng)是否已經(jīng)滿足了標(biāo)準(zhǔn),并以此來(lái)決定是阻止其連入網(wǎng)絡(luò),或是對(duì)其放行。這就是NAP的用武之地,也是微軟的健康策略平臺(tái)。
NAP可以讓用戶(hù)監(jiān)視任何試圖接入用戶(hù)網(wǎng)絡(luò)的計(jì)算機(jī)的安全狀態(tài),并確保接入的計(jì)算機(jī)都具有符合用戶(hù)健康策略的安全防范措施。那些不符合用戶(hù)健康策略的電腦,將被接入到一個(gè)受限的網(wǎng)絡(luò)環(huán)境,用戶(hù)可以在這個(gè)網(wǎng)絡(luò)環(huán)境中存儲(chǔ)一些安全軟件,幫助這些安全性較差的計(jì)算機(jī)提高到符合用戶(hù)要求的安全水平。
目前,NAP已經(jīng)被內(nèi)嵌到Windows Server(現(xiàn)在被稱(chēng)為“Longhorn”),可以和Windows Vista協(xié)同使用,或和那些運(yùn)行了NAP客戶(hù)端插件的Windows XP客戶(hù)端協(xié)同使用(NAP客戶(hù)端插件將在新服務(wù)器操作系統(tǒng)發(fā)布時(shí)同步推出,而XP NAP客戶(hù)端目前已經(jīng)進(jìn)入了Beta測(cè)試階段)。據(jù)微軟工作人員透露,Windows Server 2003也有可能成為一個(gè)NAP客戶(hù)端。
不必?fù)?dān)心這個(gè)功能的兼容性,因?yàn)槲④浄Q(chēng)將把NAP開(kāi)發(fā)成一套開(kāi)放的安全架構(gòu)標(biāo)準(zhǔn),屆時(shí)將會(huì)有更多的硬件支持它。
NAP不是全面的安全機(jī)制
NAP不能取代系統(tǒng)內(nèi)別的安全系統(tǒng),像殺毒軟件、防火墻、入侵檢測(cè)等,實(shí)際上,NAP的作用只是用來(lái)檢查將要連入網(wǎng)絡(luò)的電腦是否具有完備的安全補(bǔ)丁,是否有安全配置方面的錯(cuò)誤等來(lái)提升用戶(hù)計(jì)算機(jī)的安全性。
NAP適用的系統(tǒng)
Windows用戶(hù)不必?fù)?dān)心使用問(wèn)題,即使是現(xiàn)在XP不支持NAP,但是微軟已經(jīng)承諾將會(huì)開(kāi)發(fā)出適用XP的NAP客戶(hù)端。我們要注意的是,NAP服務(wù)器是一個(gè)網(wǎng)絡(luò)策略服務(wù)器(Network Policy Server ,NPS)。而NPS則是Longhorn中替代Windows Server 2003中IAS(互聯(lián)網(wǎng)驗(yàn)證服務(wù))功能的組件,我們的服務(wù)器操作系統(tǒng)要采用Longhorn才能適用于整個(gè)本地網(wǎng)絡(luò)。
NAP如何工作
正如前面所說(shuō),并不是所有要進(jìn)入的電腦都符合安全策略,如果遇見(jiàn)了不符合條件的電腦,除了強(qiáng)行禁止,我們也有其它的選擇:
1、允許它訪問(wèn)網(wǎng)絡(luò),但是在Log中標(biāo)記具體的信息,以便你可以追蹤它,以查看它是否 終滿足了要求;
2、允許它訪問(wèn)一個(gè)受限的網(wǎng)絡(luò),而不是訪問(wèn)整個(gè)網(wǎng)絡(luò)。這一點(diǎn)很有用,這樣你可以在受限網(wǎng)絡(luò)中提供相關(guān)資源(比如,相關(guān)的安全更新或者反病毒軟件,或者某些系統(tǒng)補(bǔ)丁),以便用戶(hù)對(duì)電腦進(jìn)行修正以便 終滿足要求。也可以對(duì)不滿足要求的電腦做出限制,讓它訪問(wèn)網(wǎng)絡(luò)的時(shí)間只能在規(guī)定的長(zhǎng)度之內(nèi)。
總結(jié)
根據(jù)電腦的安全狀態(tài)來(lái)控制它的網(wǎng)絡(luò)活動(dòng),NAP可以說(shuō)是一個(gè)相當(dāng)先進(jìn)的網(wǎng)絡(luò)安全解決方案,我想用戶(hù)們不必這么早就開(kāi)始給微軟挑毛病,也許,這次的NAP真的不會(huì)讓我們失望。
百度中找“走近NAP 全面了解Vista安全機(jī)制”的內(nèi)容
GOOGLE中找“走近NAP 全面了解Vista安全機(jī)制”的內(nèi)容
|
 |
關(guān)鍵詞:走近NAP 全面了解Vista安全機(jī)制 相關(guān)文章
