安全体检配置

　　要想使用NAP功能对企图访问网络的客户端工作站系统进行安全体检，我们还需要先对NAP功能进行合适配置，以便让NAP功能能够自动对访问网络的客户端工作站系统进行策略验证、隔离连接、自动修正和持续监控。配置NAP功能，其实主要就是对网络健康验证器、健康策略、网络策略和更新服务器组进行设置，下面就是具体的设置步骤：

　　首先在Windows Server 2008系统桌面中打开“开始”菜单，从中逐一点选“程序”、“管理工具”、“网络策略服务器”项目（该项目只有成功安装了NAP功能后才会显示在系统的“开始”菜单中），进入网络策略服务器控制台界面，如图3所示；

　　如何才能准确区分客户端工作站是符合健康标准还是不健康标准呢？通过这里的健康策略，我们就能自行定义客户端工作站的健康标准，该策略一般与其他网络访问保护组件配合在一起使用。通常情况下，我们先要在Windows Server 2008系统中创建两个基本策略，一个是安全的策略，另一个就是不安全策略，符合安全策略的客户端工作站就会被NAP功能认为是健康工作站，而符合不安全策略的客户端工作站会被NAP功能看成是不健康工作站。在新建工作站的安全策略时，我们可以在图3所示的左侧列表窗格中逐一点选“策略”/“健康策略”节点选项，并右击“健康策略”选项，执行右键菜单中的“新建”命令，在其后弹出的设置窗口中，将健康策略的名称设置为“健康系统”，同时将“客户端SHV检查”参数修改为“客户端通过了所有SHV检查”，最后单击“确定”按钮退出设置窗口，如此一来工作站的安全策略就创建好了。按照同样的操作步骤，我们再新建一个不安全策略，在创建过程中只要将该策略的“客户端SHV检查”参数修改为“客户端未能通过所有SHV检查”就可以了。

　　那什么样的客户端工作站才是健康的、安全的呢？通过设置这里的系统健康验证器，NAP功能就能自动连接检测出连接到网络中的客户端工作站哪些是不安全的，安全条件我们可以直接在这里设置，例如没有安装杀毒软件就认为是不安全的，关闭了系统防火墙程序就会被认为是不健康等等！在系统健康验证器时，我们可以在图3所示的左侧列表窗格中逐一点选“网络访问保护”/“系统健康验证器”节点选项，在该节点选项下面用鼠标右键单击“Windows安全健康验证程序”项目，并执行快捷菜单中的“属性”命令，之后单击其后界面中的“配置”按钮，进入如图4所示的设置对话框，在这里我们根据实际要求选用或忽略各种安全设置选项，例如要是本地局域网网络对安全性能要求较高时，我们可以选中这里的所有安全设置选项，日后客户端工作站符合了所有安全选项验证，NAP功能才会认为该工作站系统是健康的、安全的。

　　当NAP功能检测到客户端工作站符合不健康策略时，还能为对应系统提供相关的修正措施，以便强制不健康的客户端工作站从我们事先指定的更新服务器中下载安装病毒库更新程序或系统补丁程序，直到客户端工作站系统重新符合健康策略标准。在这里我们可以通过设置更新服务器参数，来强行不健康工作站系统去访问哪些补丁程序服务器。在设置更新服务器参数时，我们可以按照前面的操作步骤打开网络策略服务器控制台窗口，依次点选该窗口左侧显示窗格中的“网络访问保护”、“更新服务器组”节点选项，并用右击目标节点选项，再执行右键菜单中的“新建”命令，在其后出现的设置窗口中（如图5所示），单击“添加”按钮，再输入病毒库更新服务器或系统补丁服务器所在主机的名称或IP地址，最后单击“确定”按钮退出设置窗口，那样的话不安全的客户端工作站日后就能自动访问指定的服务器，去完成系统补丁下载安装操作以及网络病毒升级操作了。一旦完成了病毒更新以及系统补丁程序的下载安装操作后，客户端工作站再次访问局域网网络时，NAP功能就会认为它是健康的工作站了，从而允许该工作站重新访问局域网网络了。

　　完成上面的配置操作后，我们日后只要关闭局域网路由器中的DHCP服务功能，并由NAP功能下面的DHCP服务配合网络访问策略来完成强制安全体检操作，就能达到保护网络安全目的了。