第一份已经发布的测试报告主要是针对Windows 7.0 build 7000的一个功能概览,让大家看看Windows 7.0的主要更新和一些新特性的展现。那么大多数东西是粗浅的,没有细细的品味Windows 7.0给我们带来的奥妙,那么从第二份报告开始,我将细数、细测它的不同之处,让大家看看最新的微软前沿技术。虽然本系列的报告不能给Vista的目前市场拓展带来积极的影响,还希望微软同仁能海量包容,毕竟我只是希望感受前沿的技术。
这是新的2009年的第一份测试报告,也是我写的第一份关于Windows 7.0的深度技术测试报告,希望与大家一起探讨和学习。
首先说明一下架构情况:
一共两台虚拟机:(1)Windows 2008 server ,已经安装了AD、DHCP、DNS、网络策略和访问服务。
                              IP地址:192.168.1.1 域名:AD.com
                      (2)Windows 7.0 build 7000 需要启用NAP服务、启用Client端NAP配置
                             IP地址:192.168.1.11 加入域:ad.com
我们来形象的看截图的操作过程吧:
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP
在windows server 2008上安装相应的服务器角色,如上图所示。
我们来看接下来的截图:
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_02
角色服务中只需要选择“网络策略服务器”,其他的功能在本次测试中暂时用不到。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_03
选择一个DHCP向客户端分发IP地址的网卡。Windows server 2008会自动检测到。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_04
填写好父域的名称,然后验证DNS的IP地址,有效后方可点下一步。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_05
由于没有安装WINS服务器,所以这里选择不需要。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_06
这里填写相关的作用域信息,并且选择子网类型,有“有线”和“无线”两种,两者的租用持续时间不同。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_07
这里的IP v6选择无状态模式。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_08
这里选择当前的凭据做验证就好了。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_09
这样就可以开始安装了。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_10
在DHCP中右键单击作用域选择“属性”,在“网络访问保护”选项卡中把“网络访问保护设置”设定为“对此作用域启用”,如上图。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_11
然后在“作用域选项”中增加“默认的网络访问级别”的“DNS服务器”,并且把DHCP服务器的IP地址增加进去。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_12
然后在此作用域选项增加一个当NAP检测Client不满足需求时所访问的限制网络域地址,在可用选项中选择“DNS域名”,字符串我拟定为:NAPerror.Ad.com。
DHCP的配置就结束了。
接下来看“网络策略服务器”的配置:
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_13
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_14
这里选择“动态主机配置协议”,这里如果有其他的验证方法,大家也可以选择适当的选项。点下一步。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_15
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_16
这里都是点“下一步”,这里会自动选取缺省值。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_17
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_18
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_19
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_20
然后最后选择“安全健康验证程序”做相应的选项配置。配置后,相应的效果如下截图:
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_21
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_22
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_23
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_24
安全健康验证程序可以选择你所需要的验证项目。这里我全选了。
好了,Windows 2008 server上的所有配置到此结束,接下来我们看看客户端的配置步骤。
我在客户端的验证测试就三个项目:
1. Windows 7.0 build 7000防火墙健康验证
2. Windows 7.0 build 7000自动更新服务健康验证
3. Windows 7.0 build 7000中安装金山毒霸2009套装,病毒服务的自动健康验证。
详细的步骤如下:
1. 首先在客户端启用NAP服务,这个在“计算机管理”的“服务”中可以启用。
2. 在NAP Client配置中启用“DHCP隔离强制客户端”
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_25
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_26
此时我脱离开AD域网络,而直接接入Internet网络,自动分配IP:192.168.2.102(直连外网),开始安装金山毒霸2009套装。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_27
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_28
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_29
安装完成后,更新病毒库到最新状态。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_30
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_31
因为部分的服务不支持Windows 7.0所以没有办法启用,但是至少文件防毒实时监控是启用了,这样就可以测试啦。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_32
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_33
我首先把金山毒霸的文件病毒实时监控关闭掉,有以上提示,接下来把防火墙和windows自动更新服务关闭。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_34
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_35
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_36
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_37
这样就把相关的服务关闭了,然后右下角有了相应的提示。接着把网络调整到域AD网络,进行ipconfig /renew.
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_38
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_39
当获得AD.com域的网络IP地址的时候,此时健康验证不满足策略要求,那么分配到的网域就是:NAPerror.ad.com
如上图的提示,点右下角的提示查看细项。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_40
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_41
这时以上的防火墙服务、自动更新服务已经通过NAP检测自动启用,只剩下金山毒霸2009的服务不能自动启用:
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_42
此时需要手动启用该病毒实时检测服务,而另测卡巴斯基2009安全套装测试则是可以自动启用服务的:
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_43
这样一来,就可以看到健康检测为100%了,就自动连入ad.com网域、退出NAPerror.ad.com限制网域。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_44
      这样整个NAP在Windows 7.0中的测试就结束了。(*^__^*) 嘻嘻……
在Windows Server 2008中的各项特色中,可用于辅助企业强化个人端计算机安全管理的网络访问防护(Network Access Protection,NAP),这项功能无疑是大家最渴望了解的项目之一,尤其是网络信息安全这两个领域。
简单地说,为了预防不符合企业安全策略的计算机,NAP可以透过批准连接与否而加以限制,这些不符合策略的状态包括:未启动自动更新、定期修补系统漏洞不确实、未安装防毒软件或启用个人防火墙、防毒软件特征码/扫毒引擎超过期限而未更新。
整合策略控管与身分的认证、授权。
想要启动NAP,必须从Server Manager上加入新的服务器角色开始,它的名称是Network Policy and Access Services(NPAS)。完成一系列安装步骤之后,「开始」的程序集中的系统工具会增加一个快捷方式——Network Policy Server(NPS)。
当执行Network Policy Server的主控台时,会立即出现三种标准选项,让你可以快速套用设定。按下Configure NAP,会启动安装助手协助管理员一步步完成设定。
其实NPS的前身就是Windows Server 2003上的Internet验证服务(Internet Authentication Services,IAS),搭配集中化的RADIUS认证、授权与记录机制,继续涵盖有线、无线与×××网络,而不是额外产生一个新的服务器执行环境。因此它也可以转送认证与统计讯息到其它RADIUS服务器上,作为RADUIS代理服务器之用。
总而言之,NAP是功能名称,但对于Windows Server 2008而言,这项功能的提供,主要仰赖上面提到的服务器角色。
包含策略服务器与强制检查服务器。
在第一次安装NPAS时,我们可以看到里面包括了NPS、远程访问服务(RAS)、路由(Routing)、Health Registration Authority(HRA)。
HRA相当特殊,主要是用在NAP IPsec策略强制执行的架构,在受到IPsec防护的局域网络范围内,当个人端计算机被判定为符合网络安全策略时,会获得一份代表健康的凭证,假如其它共处同一个网络的个人端计算机与它连接,也会同步验证这份凭证;如果通不过策略遵循的检查,即无法取得健康凭证,IPsec的端点认证也会跟着失败,这台电脑也就无法和其它计算机通讯。
NPS还可以细分成四个主要组件:
RADIUS Clients and Servers:是指其它的RADIUS个人端装置,服务器所指的是其它的NPS服务器,当企业用户将NPS服务器设为RADIUS代理服务器时,可以将认证和授权的连接需求转送其它RADIUS服务器,如果公司的网络环境采用多网域或多重树系,可以透过这个机制导引。
Policy:分成连接需求、网络与健康状态等三种类型的策略设定。连接需求的策略用来处理连接至远程NPS服务器或其它RADIUS服务器的状况,让NPS成为检验是否遵循RADIUS协议认证的网关装置,例如支持802.1x的无线AP和认证交换器、执行路由和远程访问服务(RRAS)而成为×××或拨接网络的服务器,以及Terminal Services网关。本地网域和信任网域用预设策略即可。
网络策略可以分成6种以上的形态包括未指定、远程访问服务器、以太网络、Terminal Services网关、无线AP、HRA、HCAP服务器与DHCP服务器。
至于健康状态的策略,一般来说,可设定成「通过全部检查」或「其中一项未通过」,还可以选择其它5种选项,例如全部失败、部分通过、判定为已感染恶意程序、无法判定,都可以找到对应的情境去套用策略。
Network Access Protection:只负责检查受控端计算机的健康状态(System Health Validator,SHV)和补救服务器(Remediation Server)的设定。所谓的补救服务器,包括DNS服务器、网域控制站、置放防毒特征码的档案服务器、软件更新服务器等,让那些无法通过健康检查的计算机有修正的机会。验证完毕之后如果要再执行其它工作,须从策略上加以制定。
在SHV可以定义Windows XP和Vista的健康状态,例如是否启用Windows防火墙、自动更新,是否安装防毒软件、防间谍软件(Windows XP的SHV不支持这项检查),以及两者的特征码是否属于最新状态,以及可以设定几小时内再完成安全更新。如果企业内部先前已经架设微软提供Windows Server Update Services(WSUS)更新服务器,也可以在这里设定,就近取得更新信息与档案。
关于防毒软件的支持,微软声称可以辨识本身的Forefront Client Secuirty,以及Symantec、趋势、McAfee等厂牌防毒软件的特征码,至于防间谍程序目前只支持Windows Defender。
Accounting:负责产生记录文件,可存成IAS.log,或是SQL Server所能读写的记录文件。如果企业本身的稽核程度较严格,例如金融业,可以将这些信息转存到SQL Server内。
NPS负责策略与评估作业
实际上NPS是怎么认证每一台受控端呢?使用者将计算机开机上网,打算访问网络,因此网络设备和网络策略服务器要求使用者出示健康证明,例如系统自动更新状态、防火墙、防毒软件是否启用等,如果个人端计算机中的System Health Agent(SHA)所宣告的系统状态通过SHV的检查以及NAP的策略,这些设备和系统会将证明与连接细项传回策略服务器。
评估连接细项后,网络策略服务器将使用者授权证明传递给Active Directory要求授权,如果符合策略要求且使用者授权通过,则允许访问网络,接下来批准使用者或装置访问。
需要特别注意的是NPS只负责以本身存放的策略设定加以评估,不处理授权的动作。所有的网络访问授权与账户的管理,都需要搭配网域控制站。
 
好了,关于在Windows 7.0 build 7000中NAP的健康测试到此结束,希望能对大家有所帮助,需要相互交流学习。
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_NAP_45Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_职场_46 Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_windows7_47
Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_48 Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告_休闲_49
PS:特别鸣谢我的技术经理Silver对本文的技术贡献。