在組網規模相對大一些的局域網工作環境中,連接到網絡中的每一台計算機安全狀況也是各不相同,好一些的既有殺毒軟件又有網絡防火牆的保護,一般化的往往是只安裝了殺毒軟件、防火牆中的一種,最差的當然是什麼也沒有安裝了。那些沒有任何安全防護的計算機一旦連接到局域網中時,病毒、木馬很可能會通過網絡襲擊局域網中的文件服務器或其他重要計算機,嚴重時能導致局域網網絡發生癱瘓現象。那對於局域網管理員來說,該如何才能有效制止那些沒有采取任何安全措施的計算機直接連接到局域網中呢?對於這樣的難題,網絡管理員們好像始終沒有找到有效的應對辦法;不過,自從有了Windows Server 2008系統後,這樣的難題就被迎刃而解了,因為該系統推出了一種新的安全防護措施——網絡訪問保護功能,該功能會自動對訪問局域網的所有普通計算機強制進行安全檢查,如果發現其安全健康標准不達標時,會責令其立即采取安全修正措施,或者干脆禁止其訪問局域網網絡,那樣一來局域網網絡的安全性就能得到有效保證了!
走近網絡訪問保護
網絡訪問保護功能,其實並不是Windows Server 2008系統所特有的,早在Windows Vista系統中該功能就被推出了,只是該功能在Windows Server 2008組網環境中有了更大的用武之地;網絡訪問保護功能可以對連接到局域網中的所有普通計算機強行執行安全檢查,以便確保那些通過安全檢查的普通計算機才能連接到局域網中,對於那些安全標准不達標的普通計算機來說,網絡訪問保護功能則會強制其及時采取相關措施進行安全防護,或者干脆禁止其訪問局域網網絡,那樣一來局域網網絡的安全性就能得到有效保證了。
不同的局域網工作環境,對網絡訪問的安全性要求是不相同的,網絡訪問保護功能可以允許網絡管理員依照局域網的實際組網情況,來個性化定制網絡訪問健康策略,並能靈活地指定究竟哪些計算機連接到局域網中時需要進行健康策略安全驗證;當局域網中有計算機沒有通過網絡訪問保護功能的安全檢查時,該功能還允許網絡管理員通過合適設置,來指定這些沒有安全達標的普通計算機是連接到一個受限制的網絡,還是進行其他安全修正操作,直到它們的安全檢查符合網絡訪問保護功能設定的健康策略為止。
為了讓那些安全措施不合格的普通計算機能夠重新通過安全審查,網絡訪問保護功能特意內置了系統運行狀況代理、系統健康驗證器、第三方網絡安全保護應用程序等功能組件,來幫助普通計算機自動使用網絡管理員之前設置好的安全解決方案,比方說安裝殺毒軟件、更新補丁程序、使用虛擬連接通道、安裝防火牆程序等。
當然,我們在這裡需要弄清楚的是,網絡訪問保護功能自身是沒有抵抗入侵、查殺病毒木馬本領的,它其實是起一種牽頭、協調作用,將局域網中的安全措施、安全設置以及第三方安全工具協調好,讓它們在關鍵時刻各司其責、分工協作,共同保護局域網網絡能夠安全運行。
網絡訪問保護原理
利用網絡訪問保護功能保護局域網運行安全時,往往需要經過安全健康認證檢查、網絡安全隔離、強制安全修正以及持續安全監控等工作環節。
為了檢查普通計算機的安全性是否符合要求,我們必須之前就要定義好一組安全健康標准,以便通過該健康標准對普通計算機進行安全評估。當有普通計算機嘗試連接局域網網絡時,網絡訪問保護功能就會自動使用安全健康標准對照檢查普通計算機的安全狀況,一旦發現普通計算機不符合安全健康標准時,網絡訪問保護功能就會認定它們為不安全的計算機。對於那些不安全的普通計算機來說,網絡訪問保護功能可以通過合適設置將普通計算機的網絡連接設置成適當狀態,例如可以將不安全的計算機設置成隔離狀態,讓其從局域網網絡中邏輯隔絕開來,直到普通計算機通過安全檢查為止。
為了讓那些不安全的普通計算機快速恢復到安全狀態,網絡訪問保護功能的強制安全修正環節會自動要求不安全的計算機連接到指定的服務器中下載、安裝網絡病毒程序或系統漏洞補丁程序;對於那些安全的普通計算機來說,網絡訪問保護功能仍然會對它們進行繼續監控。 將網絡訪問保護啟用好
由於網絡訪問保護功能具有很好的預防免疫特點,不少網絡管理員常常會下意識地使用該功能,來有效保障局域網的運行安全性。Windows Server 2008系統在缺省狀態下,並沒有自動安裝運行網絡訪問保護功能,為此我們需要采取如下步驟來手工將網絡訪問保護功能啟用好:
首先以系統特權賬號登錄進Windows Server 2008系統,打開系統“開始”菜單,從中依次單擊“程序”、“管理工具”、“服務器管理器”選項命令,在彈出的服務器管理器窗口左側子窗格中,用鼠標點選其中的“角色”分支選項;
圖1 開始之前
其次在目標分支選項對應的右側子窗格中單擊“添加角色”按鈕,打開如圖1所示的安裝向導設置界面,依照向導設置界面的提示,我們不難看出要想將網絡訪問保護功能成功啟用好,既要保證Windows Server 2008系統已經通過Windows Update程序對本地系統進行了最新的安全更新操作,又要確保Windows Server 2008系統的上網參數全部設置正確,同時要求登錄Windows Server 2008系統的所有用戶都必須使用強密碼訪問局域網服務器;
在確認上面的各項安裝要求都符合條件後,單擊安裝向導界面中的“下一步”按鈕,隨後屏幕上會彈出服務器角色選擇列表對話框,檢查“網絡策略和訪問服務”功能選項有沒有被選中;正常情況下,“網絡策略和訪問服務”功能選項不會被Windows Server 2008系統默認選中的,換句話說就是網絡訪問保護功能並不會被Windows系統自動安裝成功;
當發現“網絡策略和訪問服務”功能選項確實沒有被選中時,那我們就需要將該功能選項重新選中,同時單擊“下一步”按鈕,之後屏幕上將會出現網絡策略、訪問服務等方面的說明信息,我們從這些說明信息中能夠知道網絡訪問保護功能不但可以保護本地網絡安全,也能保護遠程網絡訪問安全;
圖2 角色服務器設定
緊接著再單擊安裝向導界面中的“下一步”按鈕,在彈出的如圖2所示向導設置窗口中,將“網絡策略服務器”項目選中,並且將相關子項也選中,下面再單擊“安裝”按鈕,如此一來Windows Server 2008系統就會開始自動安裝啟用網絡訪問保護功能了。
為了讓網絡訪問保護功能能夠按照我們的指定要求對局域網中的普通計算機進行安全檢查,我們必須對網絡訪問保護功能下面的各個子程序組件進行合適配置,例如對策略驗證參數、隔離連接參數、自動修正或持續監控參數進行配置。下面就是配置網絡訪問保護功能參數的具體操作步驟:
首先以系統特權賬號登錄進Windows Server 2008系統,打開系統“開始”菜單,從中依次單擊“程序”/“管理工具”/“網絡策略服務器”選項命令,打開如圖3所示的網絡策略服務器設置窗口,在該窗口中我們可以創建和強制實施用於整個組織范圍內的客戶端健康、連接請求身份驗證和連接請求授權的網絡訪問策略;
圖3 健康策略
普通計算機究竟是不是健康的,這需要我們利用圖3界面中的健康策略功能選項,來自行定義健康安全標准,該健康安全策略往往與其他安全保護組件互相配合在一起才能發揮作用。一般來說,網絡管理員先要在局域網服務器中創建好兩個基礎健康安全策略,那就是安全的健康策略和不安全的健康策略,普通計算機只有符合安全策略的規定才能被Windows Server 2008系統網絡訪問保護功能看成是健康計算機,而那些符合不安全策略規定的普通計算機則會被網絡訪問保護功能認為是不健康計算機。
在為普通計算機創建新的安全策略時,我們可以將鼠標定位於圖3界面左側顯示區域中的“策略”節點選項上,再從該選項下面選中“健康策略”子項,同時用鼠標右鍵單擊該子項,從彈出的右鍵菜單中執行“新建”命令,在隨後出現的設置對話框中,我們可以為新的安全健康策略取一個合適的名稱,例如這裡我們將該名稱取為“安全策略”,此外我們還需要將“客戶端SHV檢查”選項設置成“客戶端通過了所有SHV檢查”,再單擊“確定”按鈕保存好上述參數設置操作,那樣的話普通計算機的安全健康策略就算創建成功了。同樣地,我們可以按照上面的操作步驟,再為普通計算機創建一個不安全策略,在創建的時候唯一與上面操作不相同的是必須將對應策略的“客戶端SHV檢查”設置選項調整成“客戶端未能通過所有SHV檢查”。
圖4 安全健康驗證策略 由於之前的健康策略中包含了SHV檢查,那麼SHV檢查究竟要對普通計算機的哪些方面進行安全健康檢查呢?為此我們需要利用圖3界面中的系統健康驗證器,來自行定義安全檢查的范圍和內容,例如定義凡是那些沒有安裝殺毒程序的普通計算機都是一些不安全的計算機,凡是關閉了網絡防火牆程序的普通計算機也是不健康的計算機等!在利用系統健康驗證器功能定義安全檢查內容時,我們可以先將鼠標定位於圖3界面左側顯示區域中的“網絡訪問保護”節點選項上,從該選項下面選中“系統健康驗證器”子項,同時用鼠標右鍵單擊該子項下面的“Windows安全健康驗證程序”選項,從其後出現的快捷菜單中點選“屬性”命令,再在其後窗口中單擊“配置”按鈕,打開如圖4所示的設置窗口,在該設置窗口中我們可以依照實際組網情況選用或取消各種安全參數設置,比方說如果局域網對安全要求非常高時,我們可以選中圖4界面中的“已為所有網絡連接啟用網絡防火牆”、“防病毒軟件已經啟用”、“防間諜軟件已經啟用”、“已啟用自動更新”等相關安全設置選項,普通計算機日後只有符合這裡指定的所有安全檢查驗證,網絡訪問保護功能才會認為該普通計算機系統符合安全檢查,並允許該計算機連接到局域網網絡中。
圖5 新建更新服務器組
對於那些沒有通過安全檢查的普通計算機來說,網絡訪問保護功能還允許我們通過合適設置,來責令它們及時采取安全修正措施,例如我們可以設置網絡訪問保護功能強制不安全的普通計算機從局域網中指定更新服務器中自動安裝更新網絡病毒庫程序或系統漏洞補丁程序,直到普通計算機符合健康安全檢查為止。在強制不安全的計算機自動連接局域網中的指定更新服務器時,我們可以先將鼠標定位於圖3界面左側顯示區域中的“網絡訪問保護”節點選項上,從該選項下面選中“更新服務器組”子項,同時用鼠標右鍵單擊該子項,從其後出現的快捷菜單中點選“新建”命令,打開如圖5所示的設置對話框,單擊其中的“添加”按鈕,之後輸入指定病毒庫服務器或系統補丁服務器對應的主機名稱或IP地址,再單擊“確定”按鈕保存好上述設置操作,如此一來那些沒有通過安全檢查的普通計算機日後就能自動連接到局域網指定的病毒庫服務器或補丁服務器,去自動安裝、更新網絡病毒程序或系統補丁程序了。一旦網絡病毒程序或系統補丁程序安裝更新好後,普通計算機再次連接到局域網中時,網絡訪問保護功能就會認為該計算機符合安全健康檢查,並認為它是健康的計算機了,從而允許該計算機能夠正常連接到局域網網絡中了。
當然,要使上面的各項設置正式生效,我們還需要將路由器自帶的DHCP功能給關閉掉,並啟用網絡訪問保護功能內置的DHCP功能,來協同配合網絡訪問保護功能來完成對局域網普通計算機的安全檢查,以便禁止任何不安全因素影響局域網的運行。