【IT168 专稿】2007年一月底，千呼万唤的Windows Vista隆重上市，同时微软服务器家族的下一力作，Longhorn Server也一步步向我们走来，作为下一代的服务器操作系统，Longhorn是否可以在现在的网络环境中承诺给用户更多的保护呢？

    每当谈到安全问题，微软必然成为众矢之的，刚刚上市的Windows Vista虽然以“有史以来最安全的操作系统”自居，但早在其公测阶段就受到了业界众多专家的置疑，来自欧洲的黑客更是成功的绕过了Vista引以为豪的Kernel Patch Protection和 Mandatory Driver Signing，装载了存在风险的硬件驱动。

    对于与Windows Vista拥有太多“血缘关系”的Longhorn Server，它的安全问题是否会令人满意呢？实际上Longhorn Server在安全方面花费了太多太多的心血，同时Longhorn Server 也带给用户更加便捷的管理操作以及更加出色的性能体验。而这些改变正是企业用户迫切需要的，我们针对现有的Longhorn Server Beta版本进行了安全方面的测试，经测试，我们真实地感受到了Longhorn Server在安全方面努力。无论是在安装还是配置阶段，我们都深刻的体会到了这一点——操作系统的模块性、客户端的安全检查，加之增强的防火墙和新的IP栈构成了Longhorn Server一套完善的安全体系。 

内网安全保障

    在全新的Longhorn Server 中，我们可以看到许多针对原先Windows系统的安全隐患的改进，而这些细微之处的变化也许用户都不会察觉到，例如：在初始化配置任务向导运行的时候，服务器将无法通过网络访问，从而避免了系统遭受攻击的可能；而在一些大的方面，微软则利用例如NAP (Network Access Protection网络访问保护)这样的技术来为远程连接提供更加安全的防护。

    NAP可提高移动计算机和内部网络的安全性。通常，带着笔记本电脑旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时，连接时间可能会非常短，以至于来不及下载最新的更新内容、安全配置设置和病毒签名。因此，笔记本电脑所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性，因为它可确保在用户连接到网络前安装最新的更新内容。

    NAP的全称是Network Access Protection，它是Longhorn Server自带的功能。NAP的作用就是帮助企业管理接入到企业中的计算机必须符合企业的安全标准，只有符合企业标准的计算机才能够访问公司的内部网络，不符合标准的计算机被限制在企业的网络之外。这就有效的保证了企业的网络不会受到某个不安全的计算机接入而受到破坏。NAP这一功能非常适合于那些经常需要合作伙伴计算机接入企业网络内部的场景。

    在整个保护过程中，NAP针对存在风险的客户提供了3种解决方案：第一种是通过策略限制他们在内网中的访问；第二种是将这些用户隔离到一个指定的网段以等待下一步处理；而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成，比如SMS (Systems Management Server) ，同时这些受限的用户也可以通过策略配置的URL去访问公司内网的一些补丁分发服务器等。

    为了完成NAP功能，客户端还需要有NAP的客户代理程序。Longhorn Server 和Windows Vista 中都含有这个代理，Windows XP则需要单独下载这个代理程序，如果某客户端缺少当前安全更新、病毒签名或不符合安全条件，该代理将阻止该客户端连接到内部网络。该代理将客户端的运行状况状态（例如，安装了当前更新和最新病毒签名）报告给基于服务器的网络访问保护增强服务，该服务确定是授予客户端访问内部网络的权限还是限定其访问某个受保护的网络。客户端所具有的功能取决于“网络访问保护”的基础结构，结构则包含在 Longhorn Server 中。不过要想配置NAP功能，在服务器Longhorn Server 端的工作还是比较复杂的，用户需要配置NAP Administration Server、System Health Validator、Health Policy、Health Certificate Server、Remediation Server和Policy Server。

    NAP功能虽然强大，但是也有一些不好的消息，那就是这个被命名为NAP的网络访问保护技术，要求对我们现有的桌面操作系统加以改进或者升级。如果希望实现Longhorn Server 的NAP 保护，那么就要在现有的XP系统上安装补丁或者直接将操作系统升级为Windows Vista。但现实情况是，更多的组织和企业还在使用着多种多样的操作系统，希望他们将桌面系统升级到Windows XP都是一件相当困难的事情，更不要说还没有普及开来的Windows Vista。

    与此同时，IT部门还不得不在培训和整体架构上再投入大量精力，因为当NAP保护技术对一台可能存在风险的计算机发出警告时，IT管理员不但要通过策略来限制它们在网络中的访问，还要调整他们原先的架构，架设内网中的“补救服务器”来补上这些计算机可能存在的风险，只有所有的安全策略全部被符合时，这台计算机才可以被认可为合法的终端用户。

    好在在测试中，NAP的保护功能做的还是非常出色的，当一台没有按照安全策略规定开启Windows 防火墙的计算机通过DHCP连入内网的时候，NAP成功了对其进行了隔离，并且自动将客户端计算机的防火墙开启。随着Longhorn Server 更加成熟的版本的推出，NAP这一功能也将更加完善，更加强大。