告別傳統激活 - 小白一鍵重裝系統

免費在線客服 - 專業熱情五星一對一指導...

在線重裝系統 - 解決花屏、卡頓、藍屏、開機慢...

無須密鑰 - 無限制、永久使用...

已下載 +126,159
支持 Windows 10/8/8.1/7/XP

巧用Windows Server 2008的NPS策略

windows server2008技巧2014-08-28 16:02:38
 

     單位員工大部分是移動辦公一族,由于病毒庫更新不及時、系統補丁沒有安裝,使移動辦公設備處于危險狀態,訪問內部網絡時很可能威脅整個網絡。該如何防守網絡訪問這扇門呢?
  筆者所在的單位是一家傳媒公司,有數百人的記者隊伍,每位記者都配備了筆記本電腦以及上網設備。記者經常攜帶筆記本電腦出差,很長時間不登錄內部網絡。網絡中統一部署了防病毒軟件以及系統補丁更新,記者通過VPN或者其他方式連接公司網絡時,連接時間非常短,不能夠立即下載系統補丁和病毒庫。由于病毒庫更新不及時,以及系統補丁沒有安裝,使其筆記本電腦處于“危險”狀態,一旦感染病毒并將病毒或者木馬等其他惡意軟件帶到內部網絡中,將對網絡造成極大影響。

  有什么樣的方法,可以在剛登錄網絡時,自動檢測客戶端計算機的安全性,符合安全標準后,才允許登錄到網絡中呢?那就是NAP,網絡保護策略。

  NAP嚴把關

  windows server 2008提供了NAP(Network Access Protection)功能,網絡保護策略是任何客戶端計算機(客戶端以及VPN客戶)必須通過網絡健康檢查,如是否安裝最新的安全補丁、防病毒軟件的特征庫是否更新、是否啟用防火墻等,符合安全條件后才允許進入內部網絡。未通過系統健康檢查的計算機會被隔離到一個受限制訪問網絡。在受限制訪問網絡中,修復計算機的狀態(如從補丁服務器下載專門的系統補丁,強制開啟防火墻策略等),在達到網絡健康標準后,才允許接入公司內部網絡。

  windows server 2008提供了多種網絡訪問保護的方法,最簡捷的方法就是使用NPS(Network Policy server)策略配合DHCP服務,完成網絡訪問保護。部署該策略,需要對客戶端計算機進行配置:在組策略中啟用“啟用安全中心(僅限域PC)”策略;啟用“DHCP隔離強制客戶端”策略。啟用NAP代理服務,建議設置為“自動”啟動模式。

  安裝NPS服務

  默認安裝完成Windows server 2008后,沒有安裝NPS(網絡訪問策略)服務,需要網絡管理員手動安裝該服務。

 

  啟動“服務器管理器”,運行“角色添加”向導,在選擇服務器角色對話框的“角色”列表中,選擇需要安裝的“網絡策略和訪問服務”選項,其他按默認安裝即可。

  安裝完成NPS服務后,成員服務器中的DHCP服務將被新的包含NPS功能的組件所取代,網絡管理員需要對NPS涉及的DHCP選項進行配置。在默認狀態下,NPS關聯的組件“網絡訪問保護”沒有被啟用,該策略在DHCP作用域屬性中,啟用該策略。

  NAP通過添加的“用戶類作用域”類別,使計算機在同一作用域內的受限網絡和不受限網絡訪問之間切換。在向狀態不良的客戶端計算機提供租約時,會使用這組特殊的作用域選項(DNS服務器、DNS域名、路由器等)。例如,提供給狀態良好的客戶端的默認 DNS 后綴為“book.com”,而提供給狀態不良的客戶端的DNS后綴為“Testbook.com”。

  配置NPS策略

  NPS策略包含四部分的內容,分別為:網絡健康驗證器、更新服務器組、健康策略和網絡策略,將對加入到公司網絡的計算機進行驗證、隔離、補救以及健康策略審核。

  網絡健康驗證器:評估計算機運行狀態,需要執行哪些檢查以及設置檢查列表,根據設置的策略檢測連接到網絡中的計算機哪些是安全的,哪些是不安全的,例如防火墻關閉就認為不安全、沒安裝殺毒軟件就是不安全的計算機等。啟動“網絡策略服務器”組件,打開“NPS(本地)”→“網絡訪問保護”→“系統健康驗證器”,在屬性列表中配置需要檢測的狀態,如圖1所示。

  更新服務器組:允許網絡管理員設置狀態不良的計算機可以訪問的系統,通過訪問定義的系統,狀態不良的計算機將恢復到正常狀態。在設置的過程中,注意目標服務器的IP地址和DNS域名解析要一致。啟動“網絡策略服務器”組件,打開“NPS”→“網絡訪問保護”→“系統健康驗證器”,新建一個“更新服務器組”,設置病毒庫更新服務器或者補丁更新服務器的IP地址以及名稱。

  健康策略用于創建客戶端計算機是否健康的標準。建議創建兩個策略,一個是安全計算機策略,另一個是不安全計算機的策略。網絡健康驗證器驗證出來的計算機如果是安全的就歸類到安全計算機策略中,如果網絡健康驗證器驗證計算機是不安全的,將歸類到不安全計算機的策略。啟動“網絡策略服務器”組件,打開“NPS”→“策略”→“健康策略”,新建兩個“健康策略”,一個是“通過所有安全驗證”策略,如圖2所示;另一個是“沒有通過安全健康檢查”策略。

  網絡策略:定義處理邏輯規則,根據計算機運行狀況確定如何對其進行處理。網絡健康驗證器、更新服務器組以及健康處理通過網絡策略組合在一起。網絡策略由管理員定義,用于指導NPS如何根據計算機的運行狀態處理計算機。NPS會從上到下評估這些策略,一旦計算機與策略規則相符,處理將立即停止。

  已經創建的兩條策略,分別為“通過所有安全驗證”策略和“沒有通過網絡安全檢查”策略。

 “通過所有安全驗證”策略,規定通過所有“安全中心”檢查的計算機可以獲得不受限制的網絡訪問權限。“沒有通過網絡安全檢查”策略,對應任何未通過一項或多項 SHV(system Health Validators)檢查的計算機。如果有計算機與此策略相符,則NPS會指示DHCP 服務器為該客戶端提供一個具有特殊NAP受限作用域選項的IP租約。該地址僅允許違規計算機訪問更新服務器組中定義的資源。啟動“網絡策略服務器”組件,打開“NPS(本地)”→“策略”→“網絡策略”,為“通過所有安全健康檢查”新建策略,同時設置訪問權限。
  NAP部署后,當外出記者回到公司登錄到公司的網絡時,首先進行客戶端檢測,沒有安裝最新病毒庫的計算機,自動連接到病毒庫更新服務器升級病毒庫;沒有安裝系統補丁的計算機,自動連接到WSUS服務器升級補丁;沒有啟用防火墻的計算機,提示客戶端啟用防火墻。當以上條件滿足后,允許客戶端連接到內部網絡中,最大限度地保證網絡安全。

  網絡訪問保護四步曲

  網絡訪問保護主要分為四部分:策略驗證、隔離、補救和持續監控。

  策略驗證

  策略驗證是指NAP根據網絡管理員定義的一組規則,對客戶端計算機系統狀態進行評估。NAP在計算機嘗試連接到網絡時會使用安全健康程序和定義的策略相比較,符合這些策略的計算機被視為狀態良好的計算機,而不符合其中一項或多項檢查標準的計算機則被認為是狀態不良的計算機。

  隔離

  隔離可以理解為網絡連接限制。根據網絡管理員定義的策略,NAP可以將計算機的網絡連接設置為各種狀態。例如,如果一臺計算機因缺少關鍵的安全更新而被視為狀態不良,則NAP可以將該計算機置于隔離網絡中,使其與網絡中其他計算機隔絕,直至恢復健康(安裝補丁)為止。

  補救

  對于已經限制連接的那些狀態不良的計算機,NAP 提供了補救策略,被隔離的計算機無需網絡管理員干預即可糾正運行狀態。受限的網絡允許狀態不良的計算機訪問安裝必要的更新程序。

  持續監控

  持續監控,即強制計算機在與網絡保持連接期間,而不僅僅在初始連接時,始終監控這些可保持狀態良好的策略。該計算機狀態如果與策略不相符合,例如禁用了Windows防火墻,則NAP將自動開啟防火墻,直至恢復正常狀態后,才可訪問網絡。

 

原文地址:4545.html

標簽:
巧用Windows Server 2008的NPS策略w
關注微信 關注電腦粉 立即獲取
Win7/8/10通用密鑰
以及Office資源
軟件下載
小白

小白一鍵重裝系統

下載數:1509823次
更新時間:04-17
軟件大小:35MB
立即下載

Copyright ?2018-2020 www.jrwiuk.live 閩ICP備15001027號-1

2019年074期看图找生肖