走进Vista系统安全机制 解析NAP功能
时间:01-16
来源:IT专家网
点击:
自Windows Vista操作系统发布以来,有关UAC以及Windows Defender对Vista如何进行防护的争论一直十分火热。笔者注意到,在用户高度关注Vista安全机制UAC的同时,却忽略了NAP(Network Access Protection)这个可以改善微软的安全策略管理与策略执行的功能。不妨我们走进NAP,看看微软的新东东如何保障网络连接的安全。
NAP的全称为Network Access Protection(网络接入防护),它是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制。熟悉Windows Server 2003的朋友一定对网络接入隔离控制(Network Access Quarantine Control)有所了解,NAP正是此项功能的扩展。
每一个连接到本地网络的电脑都是潜在的威胁。用户无法得知是否每台电脑里都安装了微软最新的安全补丁、是否被安装了间谍软件、是否正确设置了自己的防火墙,假如局域网内的任意一台计算机存在安全隐患,整个局域网的计算机都会处在危险之中。
因此"安全策略"就显得至关重要,我们知道防火墙中存在很多规则来组织非法入侵,这里就不难理解安全策略对网络的重要性。但并不是所有人都会自觉地遵守这些安全策略,为此微软为所有用户规定了一个强制执行安全策略,用来检测系统是否已经符合了这个标准,并以此来决定是阻止其连入网络,或是对其放行,这就是微软的NAP的工作原理。
NAP让用户监视任何试图接入用户网络的计算机的安全状态,并确保接入的计算机都具有符合用户安全策略。不符合安全策略的电脑,将被接入到一个受限的网络环境,用户可以在这个网络环境中存储一些安全软件,帮助这些安全性较差的计算机提高到符合用户策略要求的标准。
笔者了解到,NAP已经被内嵌到Windows Server(又被称为"Longhorn"),可以和Windows Vista一起使用,或和运行NAP客户端插件的Windows XP客户端协同使用。据微软工作人员透露,Windows Server 2003也可能成为一个NAP客户端。
或许有用户会产生类似UAC的担心,其实不然,微软表示将把NAP开发成一套开放的安全架构标准,将允许主流的软件与其兼容。IT专家网相信在有了UAC的风波之后,微软会在NAP上充分考虑用户的使用习惯。
NAP不是完善的安全机制
NAP不能取代系统内其他安全系统,像杀毒软件、防火墙、入侵检测系统(IDS)等,NAP的作用只是用来检查将要连入网络的电脑是否具有完备的安全补丁,是否有安全配置方面的错误等,帮助用户提升计算机的安全性。
NAP适用的系统
Windows用户不必担心使用问题,即使是现在XP不支持NAP,微软已经承诺将会开发出适用XP的NAP客户端。我们需要注意,NAP服务器是一个网络策略服务器(Network Policy Server ,NPS)。而NPS则是Longhorn中替代Windows Server 2003中IAS(互联网验证服务)功能的组件,服务器操作系统要采用Longhorn才能适用于整个本地网络。
NAP如何工作
正如前面所说,并不是所有要进入的电脑都符合安全策略,如果遇见了不符合条件的电脑,除了强行禁止,微软也提供了其它的选择:
1、允许它访问网络,但在Log中标记具体的信息,以便用户可以追踪访问者,查看接入计算机是否最终满足了要求;
2、允许它访问一个受限的网络,而不是整个网络资源。这样用户可以在受限网络中提供相关资源,如安全更新或杀毒软件等,以便用户对电脑进行修正并最终满足要求。也可以对不满足要求的电脑做出限制,让它访问网络的时间只能在规定的长度之内。
总结
根据电脑的安全状态来控制它的网络活动,NAP可以说是一个相当先进的网络安全解决方案。但其实施后到底会怎样,笔者并不想现在就给予评论。毕竟在UAC的风波过后,微软不会再为此成为争论的焦点。
NAP的全称为Network Access Protection(网络接入防护),它是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制。熟悉Windows Server 2003的朋友一定对网络接入隔离控制(Network Access Quarantine Control)有所了解,NAP正是此项功能的扩展。
每一个连接到本地网络的电脑都是潜在的威胁。用户无法得知是否每台电脑里都安装了微软最新的安全补丁、是否被安装了间谍软件、是否正确设置了自己的防火墙,假如局域网内的任意一台计算机存在安全隐患,整个局域网的计算机都会处在危险之中。
因此"安全策略"就显得至关重要,我们知道防火墙中存在很多规则来组织非法入侵,这里就不难理解安全策略对网络的重要性。但并不是所有人都会自觉地遵守这些安全策略,为此微软为所有用户规定了一个强制执行安全策略,用来检测系统是否已经符合了这个标准,并以此来决定是阻止其连入网络,或是对其放行,这就是微软的NAP的工作原理。
NAP让用户监视任何试图接入用户网络的计算机的安全状态,并确保接入的计算机都具有符合用户安全策略。不符合安全策略的电脑,将被接入到一个受限的网络环境,用户可以在这个网络环境中存储一些安全软件,帮助这些安全性较差的计算机提高到符合用户策略要求的标准。
笔者了解到,NAP已经被内嵌到Windows Server(又被称为"Longhorn"),可以和Windows Vista一起使用,或和运行NAP客户端插件的Windows XP客户端协同使用。据微软工作人员透露,Windows Server 2003也可能成为一个NAP客户端。
或许有用户会产生类似UAC的担心,其实不然,微软表示将把NAP开发成一套开放的安全架构标准,将允许主流的软件与其兼容。IT专家网相信在有了UAC的风波之后,微软会在NAP上充分考虑用户的使用习惯。
NAP不是完善的安全机制
NAP不能取代系统内其他安全系统,像杀毒软件、防火墙、入侵检测系统(IDS)等,NAP的作用只是用来检查将要连入网络的电脑是否具有完备的安全补丁,是否有安全配置方面的错误等,帮助用户提升计算机的安全性。
NAP适用的系统
Windows用户不必担心使用问题,即使是现在XP不支持NAP,微软已经承诺将会开发出适用XP的NAP客户端。我们需要注意,NAP服务器是一个网络策略服务器(Network Policy Server ,NPS)。而NPS则是Longhorn中替代Windows Server 2003中IAS(互联网验证服务)功能的组件,服务器操作系统要采用Longhorn才能适用于整个本地网络。
NAP如何工作
正如前面所说,并不是所有要进入的电脑都符合安全策略,如果遇见了不符合条件的电脑,除了强行禁止,微软也提供了其它的选择:
1、允许它访问网络,但在Log中标记具体的信息,以便用户可以追踪访问者,查看接入计算机是否最终满足了要求;
2、允许它访问一个受限的网络,而不是整个网络资源。这样用户可以在受限网络中提供相关资源,如安全更新或杀毒软件等,以便用户对电脑进行修正并最终满足要求。也可以对不满足要求的电脑做出限制,让它访问网络的时间只能在规定的长度之内。
总结
根据电脑的安全状态来控制它的网络活动,NAP可以说是一个相当先进的网络安全解决方案。但其实施后到底会怎样,笔者并不想现在就给予评论。毕竟在UAC的风波过后,微软不会再为此成为争论的焦点。
Windows Vista 安全机制 网络接入防护 NAP 相关文章:
- 系统安全之解开恶意锁上的注册表 (01-05)
- 卡巴斯基误杀致XP系统崩溃的解决方案(04-23)
- 让黑莓在Windows Mobile上运行(04-25)
- 解决Vista与VPN的兼容问题(04-24)
- 六步完成Windows IT业务管理(04-28)
- Windows Home Server是什么?(05-04)