設置網絡策略 讓訪問Windows 2008更安全

    在局域網環境中，許多普通工作站由於沒有及時安裝系統補丁程序或者沒有更新病毒庫，導致對應系統可能存在很多安全隱患，當這些工作站嘗試訪問局域網網絡時，可能會給整個網絡的安全帶來比較大的威脅。那如何才能避免這些工作站將各種潛在的安全威脅帶到服務器系統中，從而給服務器系統造成非常大的影響呢？要做到這一點，我們可以通過設置Windows Server 2008系統的網絡策略，來保護服務器系統的安全，禁止危險工作站將網絡病毒或木馬帶入到服務器系統中!

　　認識網絡策略

　　為了有效保護網絡以及服務器系統的安全，Windows Server 2008特意為我們新增加了網絡策略服務器功能以及其他多項安全保護措施，利用網絡策略功能服務器系統將會強制要求任何一台企圖與之連接的普通工作站都要通過特定的網絡健康檢查，比方說普通工作站中是否安裝了防火牆程序，是否及時更新了病毒庫內容，是否安裝了最新版本的系統補丁程序等，只有當普通工作站符合各種安全檢查之後，服務器系統才允許該工作站連接服務器並訪問其中的內容;而那些沒有通過服務器系統安全檢查的普通工作站將會被隔離到另外一個受限網絡，或者降低服務器的訪問權限。在被隔離到另外一個受限網絡中時，普通工作站需要及時通過受限網絡來修復該工作站的安全狀態，比方說迅速從局域網中的補丁服務器中下載安裝系統補丁程序，強制啟用系統中的防火牆程序等，在符合網絡安全條件之後，該工作站往往就能正常訪問服務器系統中的任何內容了。

　　安裝網絡策略服務器

　　雖然Windows Server 2008系統已經內置了網絡策略服務器功能，不過在默認狀態下該功能並沒有被啟用，此時我們只有先將該功能組件安裝起來，才能利用該功能的安全防范本領來保護服務器系統的安全。

　　在安裝網絡策略組件時，我們首先要以系統管理員權限進入到Windows Server 2008系統，打開該系統的“開始”菜單，從中依次選擇“程序”/“管理工具”/“服務器管理器”命令，打開對應系統的服務器管理器窗口;

　　在該服務器管理器窗口的左側顯示區域，選中“角色”選項，在對應該選項的右側顯示區域中，單擊“添加角色”功能圖標，打開角色添加向導設置窗口;從該設置窗口的提示信息中，我們看到要安裝網絡策略組件需要做好三個方面的准備工作，第一就是確保管理員賬號具有強密碼，第二就是保證網絡設置已經配制好，第三就是已經安裝Windows Update中的最新安全更新;

   

 

 

    
    在確認上面的各項准備工作已經完成後，單擊“下一步”按鈕，打開如圖1所示的服務器角色列表窗口中，在這裡我們看到服務器系統在默認狀態下並沒有選中“網絡策略和訪問服務”功能組件，這說明網絡策略功能此時並沒有被安裝;此時，我們可以及時選中這裡的“網絡策略和訪問服務”選項，再單擊“下一步”按鈕;當屏幕上出現如圖2所示的角色服務列表窗口時，選中“網絡策略服務器”選項，繼續單擊“下一步”按鈕，最後單擊“安裝”按鈕，這樣一來服務器系統就會自動將所選的角色、角色服務依次安裝好了。

   

    
    當網絡策略組件安裝操作結束後，系統會自動彈出提示現在可以利用該功能組件來配置服務器系統的網絡訪問保護了;並且此時此刻服務器系統中的DHCP服務也會自動將被新安裝的網絡策略服務器組件所替代，我們必須對網絡策略服務器涉及的相關DHCP參數進行正確配置，才能起到很好的網絡安全保護效果。在缺省狀態下，Windows Server 2008系統並沒有將與網絡策略服務器相關的“網絡訪問保護”組件啟用起來，這需要我們在網絡策略服務器的DHCP作用域屬性中進行手工啟用。

　　設置網絡策略服務器

　　在成功安裝好網絡策略服務器功能組件後，我們現在就能進入網絡策略服務器來對它正確進行配置了，以便讓它及時發揮作用，保護服務器系統的安全。

　　首先打開Windows Server 2008系統的“開始”菜單，從中依次選擇“程序”/“管理工具”/“網絡策略服務器”選項，打開網絡策略服務器控制台窗口，如圖3所示;

   

 

 

    
    在該控制台窗口的左側顯示區域，我們發現網絡策略服務器包含四方面的內容，它們分別是連接請求策略、網絡策略、健康策略以及網絡訪問保護組件，這些策略和組件將會對訪問單位服務器系統的普通工作站系統進行網絡隔離、安全處理、健康策略審核以及網絡訪問保護;

　　使用連接請求策略，我們能夠指定是在本地處理連接請求，還是將其轉發到遠程Radius服務器中去處理;

　　選用健康策略我們可以自定義普通工作站是否健康的標准，該策略通常與網絡訪問保護組件一起配合使用。一般來說，我們通常需要在服務器系統中創建好兩個基本策略，其中一個策略就是安全工作站的策略，另外一個就是不安全工作站的策略。創建安全工作站的策略時，我們可以在網絡策略服務器控制台窗口的左側顯示區域中，依次展開“策略”/“健康策略”選項，用鼠標右鍵單擊“健康策略”選項，從彈出的快捷菜單中選擇“新建”命令，打開如圖4所示的設置對話框;在該設置對話框中將策略名稱取為“安全工作站”，將“客戶端SHV檢查”設置為“客戶端通過了所有SHV檢查”，再單擊“確定”按鈕，這樣一來安全工作站策略就創建成功了。同樣地，我們可以再創建一個“不安全工作站”策略，並將該策略的“客戶端SHV檢查”設置為“客戶端未能通過所有SHV檢查”。

   

 

 

    
    那麼究竟哪些工作站是安全的呢，又有哪些工作站是不安全的呢？這需要借助網絡訪問保護組件下面的系統健康驗證器進行評估!而系統健康驗證器將會強制檢查普通工作站的一些設置，並將這些設置對照事先已經設置好的相關安全策略，來評估普通工作站究竟屬於安全范圍的還是不安全范圍的。比方說，我們假定系統如果不安裝防火牆和殺毒軟件的話，那就認定該工作站系統是不安全的;在配置這種安全策略時，我們可以在網絡策略服務器控制台窗口的左側顯示區域中，依次展開“網絡訪問保護”/“系統健康驗證器”選項，在對應該選項的右側顯示區域中，用鼠標右鍵單擊“Windows安全健康驗證程序”選項，從彈出的快捷菜單中執行“屬性”命令，在其後出現的屬性設置窗口中單擊“配置”按鈕，打開如圖5所示的配置界面，在該界面中必須選中“已為所有網絡連接啟用防火牆”選項和“防病毒應用程序已啟用”選項，最後單擊“確定”按鈕結束Windows安全健康驗證配置操作，這麼一來日後只要普通工作站安裝了防火牆和殺毒軟件，Windows Server 2008系統就認為該工作站是安全的工作站。

   

    
    當Windows Server 2008系統檢測到普通工作站屬於不安全工作站時，網絡策略服務器還提供了補救措施，以便讓不安全的工作站自動訪問局域網中的補丁更新服務器或病毒庫更新服務器，從而及時將系統補丁程序以及更新病毒庫程序安裝到普通工作站中。為了讓不安全工作站能夠自動安裝補丁程序或自動更新病毒庫，我們需要使用更新服務器組來定義不安全工作站能夠訪問哪些系統，以便從這些系統中能夠自動將工作站的不安全狀態恢復到安全狀態。在指定不安全工作站能夠訪問的服務器系統時，我們可以在網絡策略服務器控制台窗口的左側顯示區域中，依次展開“網絡訪問保護”/“更新服務器組”選項，再用鼠標右鍵單擊“更新服務器組”選項，從彈出的快捷菜單中執行“新建”命令，打開如圖6所示的創建對話框，單擊該對話框中的“添加”按鈕，在其後界面中正確輸入系統補丁更新服務器或病毒庫更新服務器的主機名稱或IP地址，這麼一來日後普通工作站被檢測為不安全時，那它就會自動連接到系統補丁更新服務器或病毒庫更新服務器，來安裝系統補丁程序或更新病毒庫了。當普通工作站安裝了補丁程序或更新了病毒庫後，再次訪問Windows Server 2008系統時，該系統就會認為它是安全工作站，此時該工作站就能允許連接到服務器系統中，那樣一來我們就能最大限度地保證服務器系統的安全了。
    
   

    
    當然，需要在這裡提醒各位的是，上面的系統健康驗證器、健康策略、連接請求策略、更新服務器組等都需要網絡策略組合在一起，才能發揮出有效的作用;我們可以根據普通工作站安全狀態確定如何對該工作站進行處理;例如，當發現普通工作站與不安全工作站策略相符時，那麼我們可以定義網絡策略，來指示局域網中的DHCP服務器為目標普通工作站提供一個受限作用域選項的IP租約，確保該工作站地址只能訪問指定更新服務器組中定義的系統。