巧用Windows Server 2008的NPS策略

单位员工大部分是移动办公一族,由于病毒库更新不及时、系统补丁没有安装,使移动办公设备处于危险状态,访问内部网络时很可能威胁整个网络。该如何防守网络访问这扇门呢?

笔者所在的单位是一家传媒公司,有数百人的记者队伍,每位记者都配备了笔记本电脑以及上网设备。记者经常携带笔记本电脑出差,很长时间不登录内部网络。网络中统一部署了防病毒软件以及系统补丁更新,记者通过VPN或者其他方式连接公司网络时,连接时间非常短,不能够立即下载系统补丁和病毒库。由于病毒库更新不及时,以及系统补丁没有安装,使其笔记本电脑处于“危险”状态,一旦感染病毒并将病毒或者木马等其他恶意软件带到内部网络中,将对网络造成极大影响。

有什么样的方法,可以在刚登录网络时,自动检测客户端计算机的安全性,符合安全标准后,才允许登录到网络中呢?那就是NAP,网络保护策略。

NAP严把关

Windows Server 2008提供了NAP(Network Access Protection)功能,网络保护策略是任何客户端计算机(客户端以及VPN客户)必须通过网络健康检查,如是否安装最新的安全补丁、防病毒软件的特征库是否更新、是否启用防火墙等,符合安全条件后才允许进入内部网络。未通过系统健康检查的计算机会被隔离到一个受限制访问网络。在受限制访问网络中,修复计算机的状态(如从补丁服务器下载专门的系统补丁,强制开启防火墙策略等),在达到网络健康标准后,才允许接入公司内部网络。

Windows Server 2008提供了多种网络访问保护的方法,最简捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服务,完成网络访问保护。部署该策略,需要对客户端计算机进行配置:在组策略中启用“启用安全中心(仅限域PC)”策略;启用“DHCP隔离强制客户端”策略。启用NAP代理服务,建议设置为“自动”启动模式。

安装NPS服务

默认安装完成Windows Server 2008后,没有安装NPS(网络访问策略)服务,需要网络管理员手动安装该服务。

启动“服务器管理器”,运行“角色添加”向导,在选择服务器角色对话框的“角色”列表中,选择需要安装的“网络策略和访问服务”选项,其他按默认安装即可。

安装完成NPS服务后,成员服务器中的DHCP服务将被新的包含NPS功能的组件所取代,网络管理员需要对NPS涉及的DHCP选项进行配置。在默认状态下,NPS关联的组件“网络访问保护”没有被启用,该策略在DHCP作用域属性中,启用该策略。

NAP通过添加的“用户类作用域”类别,使计算机在同一作用域内的受限网络和不受限网络访问之间切换。在向状态不良的客户端计算机提供租约时,会使用这组特殊的作用域选项(DNS服务器、DNS域名、路由器等)。例如,提供给状态良好的客户端的默认 DNS 后缀为“book.com”,而提供给状态不良的客户端的DNS后缀为“Testbook.com”。

配置NPS策略

NPS策略包含四部分的内容,分别为:网络健康验证器、更新服务器组、健康策略和网络策略,将对加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。

网络健康验证器:评估计算机运行状态,需要执行哪些检查以及设置检查列表,根据设置的策略检测连接到网络中的计算机哪些是安全的,哪些是不安全的,例如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等。启动“网络策略服务器”组件,打开“NPS(本地)”→“网络访问保护”→“系统健康验证器”,在属性列表中配置需要检测的状态,如图1所示。

更新服务器组:允许网络管理员设置状态不良的计算机可以访问的系统,通过访问定义的系统,状态不良的计算机将恢复到正常状态。在设置的过程中,注意目标服务器的IP地址和DNS域名解析要一致。启动“网络策略服务器”组件,打开“NPS”→“网络访问保护”→“系统健康验证器”,新建一个“更新服务器组”,设置病毒库更新服务器或者补丁更新服务器的IP地址以及名称。

健康策略用于创建客户端计算机是否健康的标准。建议创建两个策略,一个是安全计算机策略,另一个是不安全计算机的策略。网络健康验证器验证出来的计算机如果是安全的就归类到安全计算机策略中,如果网络健康验证器验证计算机是不安全的,将归类到不安全计算机的策略。启动“网络策略服务器”组件,打开“NPS”→“策略”→“健康策略”,新建两个“健康策略”,一个是“通过所有安全验证”策略,如图2所示;另一个是“没有通过安全健康检查”策略。

网络策略:定义处理逻辑规则,根据计算机运行状况确定如何对其进行处理。网络健康验证器、更新服务器组以及健康处理通过网络策略组合在一起。网络策略由管理员定义,用于指导NPS如何根据计算机的运行状态处理计算机。NPS会从上到下评估这些策略,一旦计算机与策略规则相符,处理将立即停止。

已经创建的两条策略,分别为“通过所有安全验证”策略和“没有通过网络安全检查”策略。

上一页12 下一页

(0)

相关推荐

  • Windows Server 2008的NPS策略应用

    单位员工大部分是移动办公一族,由于病毒库更新不及时、系统补丁没有安装,使移动办公设备处于危险状态,访问内部网络时很可能威胁整个网络。该如何防守网络访问这扇门呢? 笔者所在的单位是一家传媒公司,有数百人 ...

  • 详述Windows Server 2008全面审核策略

    在信息技术世界里,变更是永恒的。如果您的 IT 组织与大多数其他 组织并无二致,那么了解在您的环境中所发生的变更就会成为您不得不面对的压力,而且这种压力与日俱增。IT 环境的复杂性和规模不断变大,由于 ...

  • 修改Windows server 2008 的密码策略是什么

    做法是:管理工具----组策略管理----组策略对象----Default Domain Policy----设置(或者运行gpmc.msc),找到安全设置中的 帐户策略/密码策略, 右击该选项进行编 ...

  • 用组策略保护Windows Server 2008系统安全

    尽管Windows Server 2008系统的安全性要领先其他操作系统一大步,不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作,为此许 ...

  • Windows Server 2008域环境下组策略两例应用

    作为微软最新的服务器平台,Windows Server 2008确实强大。基于Server 2008D的AD功能更强劲,管理更加细化,特别是在组策略方面有了不少改进。比如,笔者将要和大家分享的这两例应 ...

  • Windows Server 2008 R2网络安全巧设置

    针对一般中小企业型来说,如果希望对企业网络进行安全管理,不一定非得花高价钱购买专业的防火墙设置,直接借助操作系统本身自带的防火墙功能即可以满足一般企业的应用,今天我们就一起来探究一下Windows S ...

  • Windows Server 2008 NAP教程

    在Windows Server 2008中的各项特色中,可用于辅助企业强化个人端计算机安全管理的网络访问防护(Network Access Protection,NAP),这项功能无疑是大家最渴望了解 ...

  • 让Windows Server 2008设备驱动安装图文教程

    安装设备驱动程序原本是一件非常简单的事情,很多驱动程序在安装的时候我们只要不停单击“下一步”按钮,就能让驱动程序顺利地在对应计算机系统“落户”;不过,当身边的计算机系统升级为Windows Serve ...

  • windows server 2008下一些设置技巧及优化经验总结

    今天把以前的windows server 2003给覆盖了,在C盘地下安装了windows server 2008。安装好windows server 2008后,系统很多地方都需要设置。我就说下我遇 ...