访问保护控制|借助Win2008访问保护控制接入安全-东北IT网

借助Win2008访问保护控制接入安全

http://www.dbit.cn　2009/5/19 8:04:51 　来源:51CTO 　编辑:叶子

　　在局域网工作环境中，普通工作站系统如果感染了网络病毒或木马，那么病毒或木马很容易通过网络“传染”给其他工作站，这么一来整个局域网的运行稳定性可能就会受到威胁。为了提高网络运行的安全性，我们需要想办法控制普通工作站接入网络，以便不让病毒或木马通过网络进行疯狂传播。要做到这一点，我们可以借助Win2008系统新增加的网络访问保护功能配合DHCP服务，来限制有安全隐患的普通工作站随意接入局域网网络。

　　控制思路

　　我们可以利用Win2008系统新增加的网络访问保护功能，来制定安全健康标准，例如可以设定安装了防病毒软件、更新了系统漏洞补丁、启用了系统防火墙的工作站将被认为是安全、健康的，日后配合DHCP服务强行要求普通工作站进行安全、健康检查，如果检查不通过的话，强制普通工作站连接到一个受限制的特定网络中，在该特定网络中上网用户可以采用手工办法恢复目标工作站系统的安全状态，也可以在这里部署病毒库升级服务器、系统补丁更新服务器，来自动对不符合安全健康标准的工作站进行安全补救，直到其重新符合安全健康标准；当普通工作站通过安全、健康检查后，它就能顺利地接入到单位的局域网网络中了，这样一来整个局域网的安全就能得到有效保证了。

　　控制操作

　　由于Win2008系统在缺省状态下并没有安装启用网络访问保护功能，要想利用该功能控制网络接入安全，我们必须先将该功能组件安装好，同时对其进行合适设置，之后再配合局域网中的DHCP服务器对普通工作站的网络访问进行控制，最后强制普通工作站从DHCP服务器那里获得上网参数，这么一来普通工作站日后上网访问时就会自动受到网络访问保护功能的制约了。

　　1、启用网络访问保护

　　从Win2008系统桌面中依次点选“开始”、“程序”、“管理工具”、“服务器管理器”选项，在弹出的服务器管理器控制台窗口，选中左侧位置处的“角色”分支选项，单击该分支选项右侧位置处的“添加角色”功能，进入添加角色向导对话框，单击“下一步”按钮，选中“网络策略和访问服务”选项，之后我们从如图1所示的设置窗口中选中用网络策略服务器，再单击“安装”按钮，如此一来Win2008系统的网络访问保护功能就被成功安装好了。

　　

　　图1

　　2、定义安全健康标准

　　为了让服务器自动判断普通工作站究竟是否安全、健康，我们需要先定义好安全、健康标准，日后普通工作站只有符合这里指定的标准，才能认为是安全的、健康的。

　　在定义安全健康标准时，我们可以按照前面的操作步骤打开服务器管理器控制台窗口，在该窗口的左侧位置处依次展开“角色”/“网络策略和访问服务”/“NPS”/“网络访问保护”/“系统健康验证器”分支选项；

　　在对应目标分支选项的右侧位置处，单击“属性”按钮，进入到Windows安全健康验证程序属性设置界面，单击其中的“配置”按钮，打开如图2所示的配置对话框，选中这里的“已为所有网络连接启用防火墙”、“防病毒应用程序已启用”、“防病毒程序为最新的”、“已启用自动更新”等安全标准，日后普通工作站只有符合上面的各个标准，才能被认为是安全、健康的工作站；

　　

　　图2

　　当然，为了保证普通工作站接入网络的效率，我们在定义安全健康标准时，可以根据实际工作要求进行针对性定义，能降低要求的尽量降低要求，毕竟安全、健康标准定义得过多、过细，普通工作站日后在进行网络连接时就会受到更严格的检查、验证，这样需要耗费很长的时间，那么网络访问效率自然也就会受到明显的影响了。

　　3、设置健康验证策略

　　为了让Win2008系统自动使用我们事先定义的安全健康标准，来对普通工作站的安全状态进行健康验证，我们还需要对健康验证策略进行合适设置，在进行这种操作时我们可以按照下面的步骤来进行：

　　首先从“网络策略服务器”分支选项下面依次点选“策略”/“健康策略”子项，在对应目标子项的右侧位置处点击“新建”按钮，打开健康策略创建对话框，如图3所示；

　　

　　图3

　　其次在“策略名称”文本框中输入“安全工作站”，从“客户端SHV检查”列表中选择“客户端通过了所有SHV检查”选项，之后将“此健康策略中使用的SHV”参数设置为“Windows安全健康验证程序”，单击“确定”按钮保存好上述设置操作，如此一来符合我们定义的安全健康标准的工作站就会被Win2008系统自动认定为安全工作站。

　　同样地，我们还可以新建一个“不安全工作站”的验证策略，在新建该策略时只要从“客户端SHV检查”列表中选中“客户端未能通过一个或多个SHV检查”选项，同时其他设置保持不变就可以了。

本新闻共2页,当前在第1页 1 2

【收藏】【打印】【进入论坛】