学习如何设置DHCP Class,用于防止未授权的机器获得公司内部网的DHCP地址。
问题
两个技术问答的内容都在寻找阻止未授权系统连接到公司网络并访问因特网的途径。因为他们的解决方法有些相似,我们将这问和答放在一块讨论。
TechRepublic的成员slk1@rcn.com问道:“我如何在我的Windows网络中防止未授权的个人使用Macs系统访问因特网?”
同时,作为另外一个问题,TechRepublic 成员 adembo 也提到:“我正在寻找方法拒绝访问者得到DHCP地址,这些访问者使用手提电脑并且插入一个可用的端口,在我验证其具有恰当的安全设置后或运行了反病毒软件后,才能允许其得到DHCP地址。有什么方法可以实现这个目的?我想到了服务验证的方法,但是不知道是否有用,用户还没有登陆到网络,所以我也不知道Group Policy有没有用处。还有其它办法吗?”
解答
最好的解决方法是成员Zrabi的:“如果你使用Windows 2000或Windows Server 2003 作为DHCP服务器,你可以为Windows机器分配DHCP Class。在DHCP中,给类指定网关或路由地址。没有DHCP Class或只有其它类的机器将不能得到这个路由地址,因此不能访问网络。对于下面的链接:
如何创建新DHCP用户或 Vendor Class [Q240247]
在Windows 2000 DHCP 客户端如何配置DHCP Class ID [Q235272]”
来自Microsoft Knowledge Base 文章 Q240247,下面是如何设置DHCP类:
创建新用户或Vendor Option Class
1 打开DHCP管理器。
2 在树形控制台上,点击可应用的DHCP服务器分支。
3 右键点击服务器,然后点击“Define User Classes”创建一个新用户类,或者点击“Define Vendor Classes”创建一个新卖主类。
4 点击“Add”。
5 在“New Class”对话框的“Display”名字框中,为新选项输入描述性的识别名字,同时也可以在“Description”框中输入另外的信息。
6 输入DHCP Server服务用到的数字匹配由DHCP客户端提供的类ID。点击文本框左边,输入16进制数值。点击文本框的右边,输入用于信息交换(ASCII)的美国标准代码文本字符制数据。
7 点击“OK”,然后点击“Close”。
使用 New Class ID配置DHCP范围
1 在DHCP管理器中,双击恰当的DHCP范围。
2 右键点击“Scope Options”然后点击“Configure Options”。
3 点击“Advanced”。
4 点击选中新卖主或用户类中需要使用的特征的复选框。
5 点击“OK”
为客户机设置指定的DHCP Class ID字符串
与基于Windows 2000 的DHCP服务器连接的客户机可以使用下面的命令设置指定的DHCP Class ID字符串。
ipconfig /setclassid adapter_name class_id
例如,为了给名字为“Local Area Connection”的适配器配置一个名字为“myuserclass”的用户类ID,在命令行下输入“ipconfig /setclassid "Local Area Connection" myuserclass”然后回车即可。
预备方法
除了上述设置DHCP Class方法,还有其它方法也可以防止未授权的机器访问网络。
成员markusfrei@gmx.net建议:“可以创建代理服务器然后设置你的计算机智能通过代理服务器访问网络。在代理服务器中你再来设置哪个用户有权访问网络。”
成员rfurze也提供了一个方法允许客户访问网络同时保持公司网络的安全:用户可以在会议室或会客厅插入特殊的连接,这些连接返回给单个DMZ域,而这些域不在常规网络上,如果他们不需要登陆到你的网络而仅仅只需要网络访问,这将大大减少风险,但是工作复杂化了。我们也可以制定些政策和程序在他们插入前进行培训。
责任编辑:张琎
|
|
|
|
|
|
|
|
|
