全面了解Vista安全机制　走近NAP功能

自Windows Vista操作系统发布以来，有关UAC和Windows Defender对Vista如何进行防护的讨论就充斥了整个安全领域。在众人热议Vista安全机制的同时，人们忽略了NAP这个可以改善微软的安全政策管理与政策执行能力的功能。在保障网络连接的安全性上，微软其实对NAP寄予厚望。   : Q& f3 \6 b1 M

! n% D" f4 t$ j, V8 s% O3 ?NAP的英文全称是Network Access Protection，也就是网络接入防护，它是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制。比较熟悉服务器操作系统Windows Server 2003的朋友应该对网络接入隔离控制（Network Access Quarantine Control）有所了解，NAP正是此项功能的扩展。   / H$ ]0 _. `9 H2 l* v: \1 E" {

: g! k9 o8 ?3 t: \9 I$ q. _每一个连接到本地网络的电脑都是潜在的威胁。你无法得知是否每台电脑里都安装了微软最新的安全补丁、是否被安装了间谍软件、是否设置了适当的防火墙，任何一台计算机出现了安全问题，整个本地网络的计算机都会处在危险之中。   ' {7 X3 f- @& o& A$ |) a, d

6 Z# g/ a/ e" X1 G# Q所以，要保护网络安全，就必须制定一个“安全策略”让每台电脑在连接本地网络的时候都通过这个策略的允许。但是并不是所有的用户都会自觉地遵守这个安全策略，微软就替所有的用户找到了一个强制性的执行安全策略：检测一个系统是否已经满足了标准，并以此来决定是阻止其连入网络，或是对其放行。这就是NAP的用武之地，也是微软的健康策略平台。   - k! }0 F# v/ p, f9 D8 U5 ~" U
) d' Q* E4 X/ J7 ^
NAP可以让用户监视任何试图接入用户网络的计算机的安全状态，并确保接入的计算机都具有符合用户健康策略的安全防范措施。那些不符合用户健康策略的电脑，将被接入到一个受限的网络环境，用户可以在这个网络环境中存储一些安全软件，帮助这些安全性较差的计算机提高到符合用户要求的安全水平。   ! {" T7 {+ g* T/ e8 C  j% {$ Q/ z

' F: X5 ^8 \9 {# _4 w/ K" M' e% R4 B目前，NAP已经被内嵌到Windows Server（现在被称为“Longhorn”），可以和Windows Vista协同使用，或和那些运行了NAP客户端插件的Windows XP客户端协同使用（NAP客户端插件将在新服务器操作系统发布时同步推出，而XP NAP客户端目前已经进入了Beta测试阶段）。据微软工作人员透露，Windows Server 2003也有可能成为一个NAP客户端。   ! l" {6 P6 l& k' ]5 P+ K! i& y& r
+ `! r" |- n- |0 `3 T5 w2 ]% Y
不必担心这个功能的兼容性，因为微软称将把NAP开发成一套开放的安全架构标准，届时将会有更多的硬件支持它。   . J& X; R2 E5 ~! @

, M! _6 `! N, |6 T) N3 L, H2 r* INAP不是全面的安全机制   
* |. Y6 D: f0 S; [( }9 Q
3 Y4 {2 N6 {. `0 LNAP不能取代系统内别的安全系统，像杀毒软件、防火墙、入侵检测等，实际上，NAP的作用只是用来检查将要连入网络的电脑是否具有完备的安全补丁，是否有安全配置方面的错误等来提升用户计算机的安全性。   
6 `. g% s6 ^7 M  F4 t4 W
: m, d5 m, Z7 P: w& {9 HNAP适用的系统   
* F( _4 i! a: a2 s& z" J
- o+ c2 s$ u, p3 x3 K% o:</BR>Windows用户不必担心使用问题，即使是现在XP不支持NAP，但是微软已经承诺将会开发出适用XP的NAP客户端。我们要注意的是，NAP服务器是一个网络策略服务器（Network Policy Server ，NPS）。而NPS则是Longhorn中替代Windows Server 2003中IAS（互联网验证服务）功能的组件，我们的服务器操作系统要采用Longhorn才能适用于整个本地网络。   * U4 ^9 |3 f5 k2 t0 t8 Q: p5 V

5 x( z: |% c& z) F* QNAP如何工作   
% |( ?) P9 R, u+ {1 k* Q4 j$ }) l4 d
正如前面所说，并不是所有要进入的电脑都符合安全策略，如果遇见了不符合条件的电脑，除了强行禁止，我们也有其它的选择：   : e  p5 e- v. S# E

% W! O( K/ g* o  X4 c/ D1 y1、允许它访问网络，但是在Log中标记具体的信息，以便你可以追踪它，以查看它是否最终满足了要求；   
$ W7 {! e! [' H) I! s5 K/ D! u0 [' z+ r, S) k0 w" K& K
2、允许它访问一个受限的网络，而不是访问整个网络。这一点很有用，这样你可以在受限网络中提供相关资源（比如，相关的安全更新或者反病毒软件，或者某些系统补丁），以便用户对电脑进行修正以便最终满足要求。也可以对不满足要求的电脑做出限制，让它访问网络的时间只能在规定的长度之内。   : I9 I  g& T& c5 C
- j# R/ G# h' X1 F9 o# r& R
总结   
0 D- U$ G! M: |( e  s; |
* m% f, ~$ {( c根据电脑的安全状态来控制它的网络活动，NAP可以说是一个相当先进的网络安全解决方案，我想用户们不必这么早就开始给微软挑毛病，也许，这次的NAP真的不会让我们失望。   :