我們發現經常有一些不滿足公司安全策略的計算機接入公司網絡，從公司的DHCP服務器獲得TCP/IP配置從而訪問公司網絡，這會帶來了巨大的風險。其實我們可以使用Windows Server 2008的網絡訪問保護(NAP)技術來控制這些客戶端從DHCP服務器獲得配置，從而達到控制它們對公司內網訪問的目的。下面筆者部署環境就“NAP for DHCP”的部署和測試進行一個演示，希望對大家有幫助。

　　環境描述：

　　Ctocio：Windows Server 2008的DHCP服務器、NAP服務器

　　Test：Windows Vista的客戶端

　　1、NAP服務器端配置

　　(1).配置健康策略服務器

　　以管理員administrator身份登錄Ctocio，依次點擊“開始”→“管理工具”，打開“網絡策略服務器”窗口。依次展開“NPS(本地)”→“網絡訪問保護”→“系統健康驗證器”，在內容面板雙擊“Windows安全健康驗證程序”，在“Windows安全健康驗證程序 屬性”對話框，點擊“配置”只勾選“防火墻”下的“已為所有網絡連接啟用防火墻”，取消所有其它選擇(注意不需要取消對”Windows Update“的選擇)，點擊“確定“關閉“Windows安全健康驗證程序 屬性”對話框。(圖1)

　　圖1 Windows安全健康驗證程序

　　 需要注意的是，“Windows安全健康驗證程序“這一SHV是由微軟提供的，主要用于監控客戶端計算機安全中心的狀態。當然如果你還想監控第三方廠家產品的安全配置，還需要安裝由其他廠家開發的SHV的。

　　(2).配置更新服務器組

　　在“網絡策略服務器”窗口的右窗格的“網絡訪問保護”下，右擊“更新服務器組”，點擊“新建”彈出對話框，在“組名“中輸入“Windows設置更新服務器組1”，然后點擊“添加”，在“IP地址或DNS名稱”下輸入192.168.1.1，然后點擊”確定“兩次。說明一下，此組中所包含的服務器實際上應放在受限網絡中用于對客戶端進行修補的服務器，例如WSUS服務器，病毒庫升級服務器等。(圖2)

　　圖2 新建WSUS服務器