|
在组网规模相对大一些的局域网工作环境中,连接到网络中的每一台计算机安全状况也是各不相同,好一些的既有杀毒软件又有网络防火墙的保护,一般化的往往是只安装了杀毒软件、防火墙中的一种,最差的当然是什么也没有安装了。那些没有任何安全防护的计算机一旦连接到局域网中时,病毒、木马很可能会通过网络袭击局域网中的文件服务器或其他重要计算机,严重时能导致局域网网络发生瘫痪现象。那对于局域网管理员来说,该如何才能有效制止那些没有采取任何安全措施的计算机直接连接到局域网中呢?对于这样的难题,网络管理员们好像始终没有找到有效的应对办法;不过,自从有了Windows Server 2008系统后,这样的难题就被迎刃而解了,因为该系统推出了一种新的安全防护措施——网络访问保护功能,该功能会自动对访问局域网的所有普通计算机强制进行安全检查,如果发现其安全健康标准不达标时,会责令其立即采取安全修正措施,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了! 走近网络访问保护 网络访问保护功能,其实并不是Windows Server 2008系统所特有的,早在Windows Vista系统中该功能就被推出了,只是该功能在Windows Server 2008组网环境中有了更大的用武之地;网络访问保护功能可以对连接到局域网中的所有普通计算机强行执行安全检查,以便确保那些通过安全检查的普通计算机才能连接到局域网中,对于那些安全标准不达标的普通计算机来说,网络访问保护功能则会强制其及时采取相关措施进行安全防护,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了。 不同的局域网工作环境,对网络访问的安全性要求是不相同的,网络访问保护功能可以允许网络管理员依照局域网的实际组网情况,来个性化定制网络访问健康策略,并能灵活地指定究竟哪些计算机连接到局域网中时需要进行健康策略安全验证;当局域网中有计算机没有通过网络访问保护功能的安全检查时,该功能还允许网络管理员通过合适设置,来指定这些没有安全达标的普通计算机是连接到一个受限制的网络,还是进行其他安全修正操作,直到它们的安全检查符合网络访问保护功能设定的健康策略为止。 为了让那些安全措施不合格的普通计算机能够重新通过安全审查,网络访问保护功能特意内置了系统运行状况代理、系统健康验证器、第三方网络安全保护应用程序等功能组件,来帮助普通计算机自动使用网络管理员之前设置好的安全解决方案,比方说安装杀毒软件、更新补丁程序、使用虚拟连接通道、安装防火墙程序等。 当然,我们在这里需要弄清楚的是,网络访问保护功能自身是没有抵抗入侵、查杀病毒木马本领的,它其实是起一种牵头、协调作用,将局域网中的安全措施、安全设置以及第三方安全工具协调好,让它们在关键时刻各司其责、分工协作,共同保护局域网网络能够安全运行。 网络访问保护原理 利用网络访问保护功能保护局域网运行安全时,往往需要经过安全健康认证检查、网络安全隔离、强制安全修正以及持续安全监控等工作环节。 为了检查普通计算机的安全性是否符合要求,我们必须之前就要定义好一组安全健康标准,以便通过该健康标准对普通计算机进行安全评估。当有普通计算机尝试连接局域网网络时,网络访问保护功能就会自动使用安全健康标准对照检查普通计算机的安全状况,一旦发现普通计算机不符合安全健康标准时,网络访问保护功能就会认定它们为不安全的计算机。对于那些不安全的普通计算机来说,网络访问保护功能可以通过合适设置将普通计算机的网络连接设置成适当状态,例如可以将不安全的计算机设置成隔离状态,让其从局域网网络中逻辑隔绝开来,直到普通计算机通过安全检查为止。
为了让那些不安全的普通计算机快速恢复到安全状态,网络访问保护功能的强制安全修正环节会自动要求不安全的计算机连接到指定的服务器中下载、安装网络病毒程序或系统漏洞补丁程序;对于那些安全的普通计算机来说,网络访问保护功能仍然会对它们进行继续监控。 将网络访问保护启用好 由于网络访问保护功能具有很好的预防免疫特点,不少网络管理员常常会下意识地使用该功能,来有效保障局域网的运行安全性。Windows Server 2008系统在缺省状态下,并没有自动安装运行网络访问保护功能,为此我们需要采取如下步骤来手工将网络访问保护功能启用好: 首先以系统特权账号登录进Windows Server 2008系统,打开系统“开始”菜单,从中依次单击“程序”、“管理工具”、“服务器管理器”选项命令,在弹出的服务器管理器窗口左侧子窗格中,用鼠标点选其中的“角色”分支选项;
图1 开始之前 其次在目标分支选项对应的右侧子窗格中单击“添加角色”按钮,打开如图1所示的安装向导设置界面,依照向导设置界面的提示,我们不难看出要想将网络访问保护功能成功启用好,既要保证Windows Server 2008系统已经通过Windows Update程序对本地系统进行了最新的安全更新操作,又要确保Windows Server 2008系统的上网参数全部设置正确,同时要求登录Windows Server 2008系统的所有用户都必须使用强密码访问局域网服务器; 在确认上面的各项安装要求都符合条件后,单击安装向导界面中的“下一步”按钮,随后屏幕上会弹出服务器角色选择列表对话框,检查“网络策略和访问服务”功能选项有没有被选中;正常情况下,“网络策略和访问服务”功能选项不会被Windows Server 2008系统默认选中的,换句话说就是网络访问保护功能并不会被Windows系统自动安装成功; 当发现“网络策略和访问服务”功能选项确实没有被选中时,那我们就需要将该功能选项重新选中,同时单击“下一步”按钮,之后屏幕上将会出现网络策略、访问服务等方面的说明信息,我们从这些说明信息中能够知道网络访问保护功能不但可以保护本地网络安全,也能保护远程网络访问安全;
图2 角色服务器设定
不过网络访问保护功能启用运行后,还不能立即发挥应有的作用,我们还需要进入对应的功能设置窗口对局域网访问操作进行安全、防护配置操作。此外,由于Windows Server 2008系统的网络访问保护功能已经将DHCP服务器组件集成在其中,我们还需要对局域网中的DHCP服务器进行正确设置,确保网络访问保护功能能够自动对任何访问局域网的普通计算机起到安全保护作用。 将安全保护参数配置好 为了让网络访问保护功能能够按照我们的指定要求对局域网中的普通计算机进行安全检查,我们必须对网络访问保护功能下面的各个子程序组件进行合适配置,例如对策略验证参数、隔离连接参数、自动修正或持续监控参数进行配置。下面就是配置网络访问保护功能参数的具体操作步骤: 首先以系统特权账号登录进Windows Server 2008系统,打开系统“开始”菜单,从中依次单击“程序”/“管理工具”/“网络策略服务器”选项命令,打开如图3所示的网络策略服务器设置窗口,在该窗口中我们可以创建和强制实施用于整个组织范围内的客户端健康、连接请求身份验证和连接请求授权的网络访问策略;
图3 健康策略 普通计算机究竟是不是健康的,这需要我们利用图3界面中的健康策略功能选项,来自行定义健康安全标准,该健康安全策略往往与其他安全保护组件互相配合在一起才能发挥作用。一般来说,网络管理员先要在局域网服务器中创建好两个基础健康安全策略,那就是安全的健康策略和不安全的健康策略,普通计算机只有符合安全策略的规定才能被Windows Server 2008系统网络访问保护功能看成是健康计算机,而那些符合不安全策略规定的普通计算机则会被网络访问保护功能认为是不健康计算机。 |
