在windows server 2008中的各项特色中，可用于辅助企业强化个人端计算机安全管理的网络访问防护(network access protection，nap)，这项功能无疑是大家最渴望了解的项目之一，尤其是网络信息安全这两个领域。

E^站^网^络

简单地说，为了预防不符合企业安全策略的计算机，nap可以透过批准连接与否而加以限制，这些不符合策略的状态包括：未启动自动更新、定期修补系统漏洞不确实、未安装防毒软件或启用个人防火墙、防毒软件特征码/扫毒引擎超过期限而未更新。www*eZhannet*com

整合策略控管与身分的认证、授权[E站][网络]

想要启动nap，必须从server manager上加入新的服务器角色开始，它的名称是network policy and access services(npas)。完成一系列安装步骤之后，「开始」的程序集中的系统工具会增加一个快捷方式——network policy server(nps)。www~eZhannet~com

当执行network policy server的主控台时，会立即出现三种标准选项，让你可以快速套用设定。按下configure nap，会启动安装助手协助管理员一步步完成设定。w~w~w~e~Z~h~a~n~n~e~t~c~o~m

其实nps的前身就是windows server 2003上的internet验证服务(internet authentication services，ias)，搭配集中化的radius认证、授权与记录机制，继续涵盖有线、无线与vpn网络，而不是额外产生一个新的服务器执行环境。因此它也可以转送认证与统计讯息到其它radius服务器上，作为raduis代理服务器之用。[E站@网络]

总而言之，nap是功能名称，但对于windows server 2008而言，这项功能的提供，主要仰赖上面提到的服务器角色。E+站+网+络

包含策略服务器与强制检查服务器www*eZhannet*com

在第一次安装npas时，我们可以看到里面包括了nps、远程访问服务(ras)、路由(routing)、health registration authority(hra)。

E站~网络

hra相当特殊，主要是用在nap ipsec策略强制执行的架构，在受到ipsec防护的局域网络范围内，当个人端计算机被判定为符合网络安全策略时，会获得一份代表健康的凭证，假如其它共处同一个网络的个人端计算机与它连接，也会同步验证这份凭证;如果通不过策略遵循的检查，即无法取得健康凭证，ipsec的端点认证也会跟着失败，这台电脑也就无法和其它计算机通讯。[E站][网络]

nps还可以细分成四个主要组件：

radius clients and servers：是指其它的radius个人端装置，服务器所指的是其它的nps服务器，当企业用户将nps服务器设为radius代理服务器时，可以将认证和授权的连接需求转送其它radius服务器，如果公司的网络环境采用多网域或多重树系，可以透过这个机制导引。[E站@网络]

policy：分成连接需求、网络与健康状态等三种类型的策略设定。连接需求的策略用来处理连接至远程nps服务器或其它radius服务器的状况，让nps成为检验是否遵循radius协议认证的网关装置，例如支持802.1x的无线ap和认证交换器、执行路由和远程访问服务(rras)而成为vpn或拨接网络的服务器，以及terminal services网关。本地网域和信任网域用预设策略即可。www@eZhannet@com

网络策略可以分成6种以上的形态包括未指定、远程访问服务器、以太网络、terminal services网关、无线ap、hra、hcap服务器与dhcp服务器。www.eZhannet.com

至于健康状态的策略，一般来说，可设定成「通过全部检查」或「其中一项未通过」，还可以选择其它5种选项，例如全部失败、部分通过、判定为已感染恶意程序、无法判定，都可以找到对应的情境去套用策略。E站~网络

network access protection：只负责检查受控端计算机的健康状态(system health validator，shv)和补救服务器(remediation server)的设定。所谓的补救服务器，包括dns服务器、网域控制站、置放防毒特征码的档案服务器、软件更新服务器等，让那些无法通过健康检查的计算机有修正的机会。验证完毕之后如果要再执行其它工作，须从策略上加以制定。E站*网络

在shv可以定义windows xp和vista的健康状态，例如是否启用windows防火墙、自动更新，是否安装防毒软件、防间谍软件(windows xp的shv不支持这项检查)，以及两者的特征码是否属于最新状态，以及可以设定几小时内再完成安全更新。如果企业内部先前已经架设微软提供windows server update services(wsus)更新服务器，也可以在这里设定，就近取得更新信息与档案。www[eZhannet]com

关于防毒软件的支持，微软声称可以辨识本身的forefront client secuirty，以及symantec、趋势、mcafee等厂牌防毒软件的特征码，至于防间谍程序目前只支持windows defender。过简单的网络生活

accounting：负责产生记录文件，可存成ias.log，或是sql server所能读写的记录文件。如果企业本身的稽核程度较严格，例如金融业，可以将这些信息转存到sql server内。

E站*网络

nps负责策略与评估作业过简单的网络生活

实际上nps是怎么认证每一台受控端呢?使用者将计算机开机上网，打算访问网络，因此网络设备和网络策略服务器要求使用者出示健康证明，例如系统自动更新状态、防火墙、防毒软件是否启用等，如果个人端计算机中的system health agent(sha)所宣告的系统状态通过shv的检查以及nap的策略，这些设备和系统会将证明与连接细项传回策略服务器。过简单的网络生活

评估连接细项后，网络策略服务器将使用者授权证明传递给active directory要求授权，如果符合策略要求且使用者授权通过，则允许访问网络，接下来批准使用者或装置访问。E站/网络

需要特别注意的是nps只负责以本身存放的策略设定加以评估，不处理授权的动作。所有的网络访问授权与账户的管理，都需要搭配网域控制站。E*站*网*络