网络访问保护

　　病毒和恶意软件在运行在用户区域之前即被软件拦截，但是保护的终极目标应该是实现这些病毒软件完全无法进入网络。在Windows Server 2008中，管理员将根据基线对计算机进行检查。如果发现计算机存在问题，则这一系统不能访问网络，也就是被隔离，直到用户修复其机器，才被获准进入健康区域。

　　这一功能被称为网络访问保护(Network Access Protection)功能，这一功能可以被拆分为三个核心部分：

　　健康政策确认——试图连接到网络的机子经检查并检验其特定健康标准(由管理员设定)的合规性。(参看图四：Windows Vista的确认标准)。

　　健康政策的服从可用于检查配置，没有进行验证的计算机可通过Systems Management Server或其他管理软件(例如Microsoft Update或Windows Update)自动更新或者确认。

　　访问限制——NAP的强制装置。可以实现在仅监控模式下运行NAP，这一模式将连接到网络计算机的从规和确认声明进行了记录。但是处于活动模式的计算机无法进行确认，这些计算机则被加入网络的访问限制区域(这一区域阻隔几乎所有网络访问并限制了一系列特定的hardened服务器(包含了使服务器正常运行最常见的工具)。看图三来了解一些控制(准予、限制和禁制网络访问)的大概情况。

　　图三——新的网络政策

　　了解到NAP是进行检查的唯一平台，在配置了Windows Server 2008后很多部分仍是需要的。这些需求包括系统安全代理(system health agents)以及系统安全验证(system health validators)，这些确保了每台客户机都经检查和验证。Windows Vista系统发布时将系统安全代理和验证设置成了缺省值，这样就可自行定制(见图四)。

　　图四——Vista系统的System Health Validator