| 單位員工大部分是移動辦公一族,由于病毒庫更新不及時、系統(tǒng)補丁沒有安裝,使移動辦公設(shè)備處于危險狀態(tài),訪問內(nèi)部網(wǎng)絡(luò)時很可能威脅整個網(wǎng)絡(luò)。該如何防守網(wǎng)絡(luò)訪問這扇門呢?
筆者所在的單位是一家傳媒公司,有數(shù)百人的記者隊伍,每位記者都配備了筆記本電腦以及上網(wǎng)設(shè)備。記者經(jīng)常攜帶筆記本電腦出差,很長時間不登錄內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)中統(tǒng)一部署了防病毒軟件以及系統(tǒng)補丁更新,記者通過VPN或者其他方式連接公司網(wǎng)絡(luò)時,連接時間非常短,不能夠立即下載系統(tǒng)補丁和病毒庫。由于病毒庫更新不及時,以及系統(tǒng)補丁沒有安裝,使其筆記本電腦處于“危險”狀態(tài),一旦感染病毒并將病毒或者木馬等其他惡意軟件帶到內(nèi)部網(wǎng)絡(luò)中,將對網(wǎng)絡(luò)造成極大影響。
有什么樣的方法,可以在剛登錄網(wǎng)絡(luò)時,自動檢測客戶端計算機的安全性,符合安全標(biāo)準(zhǔn)后,才允許登錄到網(wǎng)絡(luò)中呢?那就是NAP,網(wǎng)絡(luò)保護策略。
NAP嚴(yán)把關(guān)
Windows Server 2008提供了NAP(Network Access Protection)功能,網(wǎng)絡(luò)保護策略是任何客戶端計算機(客戶端以及VPN客戶)必須通過網(wǎng)絡(luò)健康檢查,如是否安裝最新的安全補丁、防病毒軟件的特征庫是否更新、是否啟用防火墻等,符合安全條件后才允許進入內(nèi)部網(wǎng)絡(luò)。未通過系統(tǒng)健康檢查的計算機會被隔離到一個受限制訪問網(wǎng)絡(luò)。在受限制訪問網(wǎng)絡(luò)中,修復(fù)計算機的狀態(tài)(如從補丁服務(wù)器下載專門的系統(tǒng)補丁,強制開啟防火墻策略等),在達到網(wǎng)絡(luò)健康標(biāo)準(zhǔn)后,才允許接入公司內(nèi)部網(wǎng)絡(luò)。
Windows Server 2008提供了多種網(wǎng)絡(luò)訪問保護的方法,最簡捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服務(wù),完成網(wǎng)絡(luò)訪問保護。部署該策略,需要對客戶端計算機進行配置:在組策略中啟用“啟用安全中心(僅限域PC)”策略;啟用“DHCP隔離強制客戶端”策略。啟用NAP代理服務(wù),建議設(shè)置為“自動”啟動模式。
安裝NPS服務(wù)
默認(rèn)安裝完成Windows Server 2008后,沒有安裝NPS(網(wǎng)絡(luò)訪問策略)服務(wù),需要網(wǎng)絡(luò)管理員手動安裝該服務(wù)。
啟動“服務(wù)器管理器”,運行“角色添加”向?qū)В谶x擇服務(wù)器角色對話框的“角色”列表中,選擇需要安裝的“網(wǎng)絡(luò)策略和訪問服務(wù)”選項,其他按默認(rèn)安裝即可。
安裝完成NPS服務(wù)后,成員服務(wù)器中的DHCP服務(wù)將被新的包含NPS功能的組件所取代,網(wǎng)絡(luò)管理員需要對NPS涉及的DHCP選項進行配置。在默認(rèn)狀態(tài)下,NPS關(guān)聯(lián)的組件“網(wǎng)絡(luò)訪問保護”沒有被啟用,該策略在DHCP作用域?qū)傩灾校瑔⒂迷摬呗浴?/P>
NAP通過添加的“用戶類作用域”類別,使計算機在同一作用域內(nèi)的受限網(wǎng)絡(luò)和不受限網(wǎng)絡(luò)訪問之間切換。在向狀態(tài)不良的客戶端計算機提供租約時,會使用這組特殊的作用域選項(DNS服務(wù)器、DNS域名、路由器等)。例如,提供給狀態(tài)良好的客戶端的默認(rèn) DNS 后綴為“book.com”,而提供給狀態(tài)不良的客戶端的DNS后綴為“Testbook.com”。
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
當(dāng)前位置:
