部署n如ap for dhcp 限制非法客户端.docxVIP

我们发现经常有一些不满足公司安全策略的计算机接入公司网络，从公司的DHCP服务器获得TCP/IP配置从而访问公司网络，这会带来了巨大的风险。其实我们可以使用Windows Server 2008的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置，从而达到控制它们对公司内网访问的目的。下面笔者部署环境就“NAP for DHCP”的部署和测试进行一个演示，希望对大家有帮助。　环境描述：　Ctocio：Windows Server 2008的DHCP服务器、NAP服务器　Test：Windows Vista的客户端　1、NAP服务器端配置　(1).配置健康策略服务器　以管理员administrator身份登录Ctocio，依次点击“开始”→“管理工具”，打开“网络策略服务器”窗口。依次展开“NPS(本地)”→“网络访问保护”→“系统健康验证器”，在内容面板双击“Windows安全健康验证程序”，在“Windows安全健康验证程序 属性”对话框，点击“配置”只勾选“防火墙”下的“已为所有网络连接启用防火墙”，取消所有其它选择(注意不需要取消对”Windows Update“的选择)，点击“确定“关闭“Windows安全健康验证程序 属性”对话框。(图1)图1 Windows安全健康验证程序　需要注意的是，“Windows安全健康验证程序“这一SHV是由微软提供的，主要用