科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换Windows Server 2008中的网络访问保护功能(二)

Windows Server 2008中的网络访问保护功能(二)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

接下来是NPS策略的配置。NPS策略包含四部分的内容,分别为:1.网络健康验证器2.更新服务器组3.健康策略4.网络策略,将对加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。

来源:Zdnet软件频道 2010年4月17日

关键字: Windows Server

  • 评论
  • 分享微博
  • 分享邮件

接下来是NPS策略的配置。NPS策略包含四部分的内容,分别为:1.网络健康验证器2.更新服务器组3.健康策略4.网络策略,将对加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。
1.网络健康验证器:它可以审核计算机的运行状态,从而决定要执行哪些项目的核查,然后根据设置的策略检测连接到网络中的计算机哪些是“安全”的,哪些是“不安全”的。例如策略中规定:计算机系统的防火墙关闭被认为“不安全”的;没有在系统中检测到杀毒软件也是“不安全”的等等。启动“网络策略服务器”组件,打开“NPS(本地)”——“网络访问保护(NAP)”——“系统健康验证器”,在属性列表中配置需要检测的状态。

Windows Server 2008中的网络访问保护功能(二)

Windows Server 2008中的网络访问保护功能(二)
 
 
2.更新服务器组:允许网络管理员设置“不安全”的计算机可以访问的系统,在访问特定的系统之后,“不安全”的计算机会被恢复到“安全”状态。不过需要注意的是,在设置的过程中,我们要保持目标服务器的IP地址和DNS域名解析的一致性。具体做法:启动“网络策略服务器”选项,打开“NPS”——“网络访问保护”,然后新建一个“更新服务器组”来设置指定的“安全”更新服务器的IP地址以及名称(里面可以包含补丁和病毒库的更新等内容)。

Windows Server 2008中的网络访问保护功能(二)
 
3.健康策略:顾名思义,它是目标计算机是否“健康”的标准。在这里,我建议大家创建两条策略,一条是“安全”的计算机策略,而另一条是“不安全”的计算机的策略。在上面步骤中,经网络健康验证器判断的计算机如果是安全的就归并到“安全”计算机策略中,如果网络健康验证器判断计算机是不安全的,则会被归并到“不安全”计算机的策略中。下面是“健康策略”的设置方法:启动“网络策略服务器”组件,打开“NPS”→“策略”→“健康策略”,新建两个“健康策略”,一条是“通过所有安全验证”策略;另一条是“没有通过安全健康检查”策略。

Windows Server 2008中的网络访问保护功能(二)

Windows Server 2008中的网络访问保护功能(二)
 


4.网络策略:它的作用是定义处理逻辑规则,并且根据计算机的具体情况来决定对其的处理方案。前面提到的网络健康验证器、更新服务器组以及健康处理均是通过网络策略凝聚在一起协同工作的。网络策略由Administrator定义,用来指导NPS如何根据计算机的具体情况来处理它,而NPS会评估这些策略,从而作出处理。

 

 

我们将前文中已经创建的两条健康策略,分别起名为“Healthy Policy”策略和“Unhealthy Policy”策略。
“Healthy Policy”策略,即为任何通过安全检查的计算机可以获得自由的的网络访问权限。而相反,“Unhealthy Policy”策略,就是指如果计算机未通过任何一项(或多项)系统健康验证器(SHV)的检查,NPS就会指示DHCP 服务器为该客户端分配一个具有特殊NAP受限作用域选项的IP地址。该地址仅允许“不安全的”计算机访问更新服务器组中所含的资源。该方法具体实施的步骤:启动“网络策略服务器”组件,打开“NPS(本地)”——“策略”——“网络策略”,为“Healthy Policy”新建策略,同时设置访问权限即可。

Windows Server 2008中的网络访问保护功能(二)
 
当NAP部署后,当公司员工再登录到公司的局域网络时,系统首先会进行计算机的检测:如果没有安装最新系统补丁的计算机,就会自动连接到补丁更新服务器来升级补丁;如果没有最新病毒库的计算机,就回自动连接到病毒库更新服务器升级病毒库;如果没有启用防火墙的计算机,系统则会提示客户端启用防火墙。而当以上“安检”顺利通过或是补强通过后,计算机才被允许连接到公司局域网中,最大限度的保证网络的安全。
下面,让我们总结一下网络访问保护(NAP)的四个组成部分:策略验证、隔离控制、过错补救和持续监控。
策略验证:策略验证是指NAP根据Administrator定义的一组规则,对试图进入局域网络的计算机进行考核。NAP则会在计算机试图连接到网络时使用安全健康程序和定义的策略相比较,符合这些策略的计算机被视为“安全”的计算机,而不符合其中一项或多项标准的计算机则被认为是“不安全”的计算机。
隔离控制:根据Administrator的策略,NAP可以将计算机的网络连接设置为各种状态。比如说:如果一台计算机因为杀毒软件病毒库过旧(或缺少关键的安全更新等理由)而被视为“不安全”的,则NAP可以将该计算机隔离至目标网络之外,使其“与世隔绝”,直至此计算机进就下一步的“过错补救”之后恢复为“健康”状态为止。
过错补救:在上一步中被“与世隔绝”的那些“不安全的”计算机,NAP 提供了补救措施,以帮其“改过自新,重新做人”。此步骤可使被隔离的计算机通过预先的设置自动访问更新服务器恢复至“安全”状态。
持续监控:经过前三步之后,一台计算机基本被认为是“安全”的了,但是要达到真正的“长治久安”,还需要对其进行持续监控。即为该计算机进入网络后,系统还会对其进行监控,如股票该计算机状态与设定的安全策略不符(比如用户私自禁用了Windows防火墙之类的操作)则NAP会自动将防火墙打开,直至恢复“安全”状态后,计算机才可继续访问网络。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章