在局域网工作环境中,普通工作站系统如果感染了网络病毒或木马,那么病毒或木马很容易通过网络“传染”给其他工作站,这么一来整个局域网的运行稳定性可能就会受到威胁。为了提高网络运行的安全性,我们需要想办法控制普通工作站接入网络,以便不让病毒或木马通过网络进行疯狂传播。要做到这一点,我们可以借助Win2008系统新增加的网络访问保护功能配合DHCP服务,来限制有安全隐患的普通工作站随意接入局域网网络。
控制思路
我们可以利用Win2008系统新增加的网络访问保护功能,来制定安全健康标准,例如可以设定安装了防病毒软件、更新了系统漏洞补丁、启用了系统防火墙的工作站将被认为是安全、健康的,日后配合DHCP服务强行要求普通工作站进行安全、健康检查,如果检查不通过的话,强制普通工作站连接到一个受限制的特定网络中,在该特定网络中上网用户可以采用手工办法恢复目标工作站系统的安全状态,也可以在这里部署病毒库升级服务器、系统补丁更新服务器,来自动对不符合安全健康标准的工作站进行安全补救,直到其重新符合安全健康标准;当普通工作站通过安全、健康检查后,它就能顺利地接入到单位的局域网网络中了,这样一来整个局域网的安全就能得到有效保证了。
控制操作
由于Win2008系统在缺省状态下并没有安装启用网络访问保护功能,要想利用该功能控制网络接入安全,我们必须先将该功能组件安装好,同时对其进行合适设置,之后再配合局域网中的DHCP服务器对普通工作站的网络访问进行控制,最后强制普通工作站从DHCP服务器那里获得上网参数,这么一来普通工作站日后上网访问时就会自动受到网络访问保护功能的制约了。
1、启用网络访问保护
从Win2008系统桌面中依次点选“开始”、“程序”、“管理工具”、“服务器管理器”选项,在弹出的服务器管理器控制台窗口,选中左侧位置处的“角色”分支选项,单击该分支选项右侧位置处的“添加角色”功能,进入添加角色向导对话框,单击“下一步”按钮,选中“网络策略和访问服务”选项,之后我们从如图1所示的设置窗口中选中用网络策略服务器,再单击“安装”按钮,如此一来Win2008系统的网络访问保护功能就被成功安装好了。
图一
2、定义安全健康标准
为了让服务器自动判断普通工作站究竟是否安全、健康,我们需要先定义好安全、健康标准,日后普通工作站只有符合这里指定的标准,才能认为是安全的、健康的。
在定义安全健康标准时,我们可以按照前面的操作步骤打开服务器管理器控制台窗口,在该窗口的左侧位置处依次展开“角色”/“网络策略和访问服务”/“NPS”/“网络访问保护”/“系统健康验证器”分支选项;
在对应目标分支选项的右侧位置处,单击“属性”按钮,进入到Windows安全健康验证程序属性设置界面,单击其中的“配置”按钮,打开如图2所示的配置对话框,选中这里的“已为所有网络连接启用防火墙”、“防病毒应用程序已启用”、“防病毒程序为最新的”、“已启用自动更新”等安全标准,日后普通工作站只有符合上面的各个标准,才能被认为是安全、健康的工作站;
图二
当然,为了保证普通工作站接入网络的效率,我们在定义安全健康标准时,可以根据实际工作要求进行针对性定义,能降低要求的尽量降低要求,毕竟安全、健康标准定义得过多、过细,普通工作站日后在进行网络连接时就会受到更严格的检查、验证,这样需要耗费很长的时间,那么网络访问效率自然也就会受到明显的影响了。
#p#
3、设置健康验证策略
为了让Win2008系统自动使用我们事先定义的安全健康标准,来对普通工作站的安全状态进行健康验证,我们还需要对健康验证策略进行合适设置,在进行这种操作时我们可以按照下面的步骤来进行:
首先从“网络策略服务器”分支选项下面依次点选“策略”/“健康策略”子项,在对应目标子项的右侧位置处点击“新建”按钮,打开健康策略创建对话框,如图3所示;
图三
其次在“策略名称”文本框中输入“安全工作站”,从“客户端SHV检查”列表中选择“客户端通过了所有SHV检查”选项,之后将“此健康策略中使用的SHV”参数设置为“Windows安全健康验证程序”,单击“确定”按钮保存好上述设置操作,如此一来符合我们定义的安全健康标准的工作站就会被Win2008系统自动认定为安全工作站。
同样地,我们还可以新建一个“不安全工作站”的验证策略,在新建该策略时只要从“客户端SHV检查”列表中选中“客户端未能通过一个或多个SHV检查”选项,同时其他设置保持不变就可以了。
4、设置网络控制策略
为了让普通工作站在接入网络时,自动接受Win2008系统的安全、健康验证,我们还需要对网络控制策略进行适当设置,下面就是具体的设置步骤:
首先在Win2008系统的服务器管理器控制台窗口左侧位置处,依次展开“角色”/“网络策略和访问服务”/“NPS”/“策略”/“网络策略”分支选项,在目标分支选项的右侧位置处单击“新建”按钮,打开如图4所示的网络控制策略新建向导对话框;
图四
其次在该对话框的“策略名称”文本框中输入“安全连接”,同时将“网络访问服务器类型”参数设置为“DHCP Server”,之后单击“下一步”按钮,单击其后页面中的击“添加”按钮,从弹出的“选择条件”列表中选中之前定义好的“安全工作站”策略,,之后依照向导屏幕提示依次选中“已授予访问权限”、“仅执行计算机健康检查”选项,最后从“策略设置”列表中选中“NAP强制允许完全网络访问”选项,再单击“完成”按钮完成网络控制策略设置任务。
同样地,我们还需要创建一个“不安全连接”的控制策略,在进行这种策略创建操作时,我们只要从“选择条件”列表中选中之前定义好的“不安全工作站”策略,同时选中“拒绝访问”选项,其余参数跟上面几乎一样,最后再单击“完成”按钮就可以了。
5、设置DHCP服务参数
由于普通工作站在进行网络接入操作时,首先是与局域网中的DHCP服务器进行通信的,为此我们还需要在该服务器中对网络访问保护参数进行一下相关设置,以便让其将普通工作站的上网请求转交给网络策略服务器进行安全、健康验证。在进行这种设置操作时,其实很简单,我们只要先以系统管理员身份打开DHCP服务器控制台窗口,再进入目标作用域的属性设置对话框,打开“网络访问保护”标签设置页面,将其中的“对此作用域启用”项目选中,同时将“使用默认网络访问保护配置文件”项目也选中,最后单击”确定“按钮保存好上述设置操作就好了。
下面还需要对普通工作站的上网参数进行设置,让其必须通过DHCP服务才能上网,如果使用静态IP地址来上网的,该工作站就不会受到网络访问保护功能的控制了。在进行这种设置操作时,我们可以依次单击普通工作站系统桌面中的“开始”/“设置”/“网络连接”选项,右击“本地连接”图标命令,选中本地连接属性设置窗口中的“Internet协议(TCP/IP)”选项,再单击该选项下面的“属性”按钮,打开如图5所示的TCP/IP属性设置对话框,选中这里的“自动获得IP地址”选项,再单击“确定”按钮保存好上述设置操作,如此一来局域网中的普通工作站日后进行网络连接时,就会自动受到Win2008系统中的网络策略服务器的访问保护,那样的话病毒或木马也就不会随意通过网络传播、感染其他工作站了。
图五
【编辑推荐】
