走近网络访问保护
在组网规模相对大一些的局域网工作环境中,连接到网络中的每一台计算机安全状况也是各不相同,好一些的既有杀毒软件又有网络防火墙的保护,一般化的往往是只安装了杀毒软件、防火墙中的一种,最差的当然是什么也没有安装了。那些没有任何安全防护的计算机一旦连接到局域网中时,病毒、木马很可能会通过网络袭击局域网中的文件服务器或其他重要计算机,严重时能导致局域网网络发生瘫痪现象。那对于局域网管理员来说,该如何才能有效制止那些没有采取任何安全措施的计算机直接连接到局域网中呢?对于这样的难题,网络管理员们好像始终没有找到有效的应对办法;不过,自从有了Windows Server 2008系统后,这样的难题就被迎刃而解了,因为该系统推出了一种新的安全防护措施——网络访问保护功能,该功能会自动对访问局域网的所有普通计算机强制进行安全检查,如果发现其安全健康标准不达标时,会责令其立即采取安全修正措施,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了!
走近网络访问保护
网络访问保护功能,其实并不是Windows Server 2008系统所特有的,早在Windows Vista系统中该功能就被推出了,只是该功能在Windows Server 2008组网环境中有了更大的用武之地;网络访问保护功能可以对连接到局域网中的所有普通计算机强行执行安全检查,以便确保那些通过安全检查的普通计算机才能连接到局域网中,对于那些安全标准不达标的普通计算机来说,网络访问保护功能则会强制其及时采取相关措施进行安全防护,或者干脆禁止其访问局域网网络,那样一来局域网网络的安全性就能得到有效保证了。
不同的局域网工作环境,对网络访问的安全性要求是不相同的,网络访问保护功能可以允许网络管理员依照局域网的实际组网情况,来个性化定制网络访问健康策略,并能灵活地指定究竟哪些计算机连接到局域网中时需要进行健康策略安全验证;当局域网中有计算机没有通过网络访问保护功能的安全检查时,该功能还允许网络管理员通过合适设置,来指定这些没有安全达标的普通计算机是连接到一个受限制的网络,还是进行其他安全修正操作,直到它们的安全检查符合网络访问保护功能设定的健康策略为止。
为了让那些安全措施不合格的普通计算机能够重新通过安全审查,网络访问保护功能特意内置了系统运行状况代理、系统健康验证器、第三方网络安全保护应用程序等功能组件,来帮助普通计算机自动使用网络管理员之前设置好的安全解决方案,比方说安装杀毒软件、更新补丁程序、使用虚拟连接通道、安装防火墙程序等。
当然,我们在这里需要弄清楚的是,网络访问保护功能自身是没有抵抗入侵、查杀病毒木马本领的,它其实是起一种牵头、协调作用,将局域网中的安全措施、安全设置以及第三方安全工具协调好,让它们在关键时刻各司其责、分工协作,共同保护局域网网络能够安全运行。
网络访问保护原理
利用网络访问保护功能保护局域网运行安全时,往往需要经过安全健康认证检查、网络安全隔离、强制安全修正以及持续安全监控等工作环节。
为了检查普通计算机的安全性是否符合要求,我们必须之前就要定义好一组安全健康标准,以便通过该健康标准对普通计算机进行安全评估。当有普通计算机尝试连接局域网网络时,网络访问保护功能就会自动使用安全健康标准对照检查普通计算机的安全状况,一旦发现普通计算机不符合安全健康标准时,网络访问保护功能就会认定它们为不安全的计算机。对于那些不安全的普通计算机来说,网络访问保护功能可以通过合适设置将普通计算机的网络连接设置成适当状态,例如可以将不安全的计算机设置成隔离状态,让其从局域网网络中逻辑隔绝开来,直到普通计算机通过安全检查为止。
为了让那些不安全的普通计算机快速恢复到安全状态,网络访问保护功能的强制安全修正环节会自动要求不安全的计算机连接到指定的服务器中下载、安装网络病毒程序或系统漏洞补丁程序;对于那些安全的普通计算机来说,网络访问保护功能仍然会对它们进行继续监控。
将网络访问保护启用好
由于网络访问保护功能具有很好的预防免疫特点,不少网络管理员常常会下意识地使用该功能,来有效保障局域网的运行安全性。Windows Server 2008系统在缺省状态下,并没有自动安装运行网络访问保护功能,为此我们需要采取如下步骤来手工将网络访问保护功能启用好:
首先以系统特权账号登录进Windows Server 2008系统,打开系统“开始”菜单,从中依次单击“程序”、“管理工具”、“服务器管理器”选项命令,在弹出的服务器管理器窗口左侧子窗格中,用鼠标点选其中的“角色”分支选项;
图1 开始之前
其次在目标分支选项对应的右侧子窗格中单击“添加角色”按钮,打开如图1所示的安装向导设置界面,依照向导设置界面的提示,我们不难看出要想将网络访问保护功能成功启用好,既要保证Windows Server 2008系统已经通过Windows Update程序对本地系统进行了最新的安全更新操作,又要确保Windows Server 2008系统的上网参数全部设置正确,同时要求登录Windows Server 2008系统的所有用户都必须使用强密码访问局域网服务器;
在确认上面的各项安装要求都符合条件后,单击安装向导界面中的“下一步”按钮,随后屏幕上会弹出服务器角色选择列表对话框,检查“网络策略和访问服务”功能选项有没有被选中;正常情况下,“网络策略和访问服务”功能选项不会被Windows Server 2008系统默认选中的,换句话说就是网络访问保护功能并不会被Windows系统自动安装成功;
当发现“网络策略和访问服务”功能选项确实没有被选中时,那我们就需要将该功能选项重新选中,同时单击“下一步”按钮,之后屏幕上将会出现网络策略、访问服务等方面的说明信息,我们从这些说明信息中能够知道网络访问保护功能不但可以保护本地网络安全,也能保护远程网络访问安全;
图2 角色服务器设定
紧接着再单击安装向导界面中的“下一步”按钮,在弹出的如图2所示向导设置窗口中,将“网络策略服务器”项目选中,并且将相关子项也选中,下面再单击“安装”按钮,如此一来Windows Server 2008系统就会开始自动安装启用网络访问保护功能了。
不过网络访问保护功能启用运行后,还不能立即发挥应有的作用,我们还需要进入对应的功能设置窗口对局域网访问操作进行安全、防护配置操作。此外,由于Windows Server 2008系统的网络访问保护功能已经将DHCP服务器组件集成在其中,我们还需要对局域网中的DHCP服务器进行正确设置,确保网络访问保护功能能够自动对任何访问局域网的普通计算机起到安全保护作用。
将安全保护参数配置好
为了让网络访问保护功能能够按照我们的指定要求对局域网中的普通计算机进行安全检查,我们必须对网络访问保护功能下面的各个子程序组件进行合适配置,例如对策略验证参数、隔离连接参数、自动修正或持续监控参数进行配置。下面就是配置网络访问保护功能参数的具体操作步骤:
首先以系统特权账号登录进Windows Server 2008系统,打开系统“开始”菜单,从中依次单击“程序”/“管理工具”/“网络策略服务器”选项命令,打开如图3所示的网络策略服务器设置窗口,在该窗口中我们可以创建和强制实施用于整个组织范围内的客户端健康、连接请求身份验证和连接请求授权的网络访问策略;
图3 健康策略
普通计算机究竟是不是健康的,这需要我们利用图3界面中的健康策略功能选项,来自行定义健康安全标准,该健康安全策略往往与其他安全保护组件互相配合在一起才能发挥作用。一般来说,网络管理员先要在局域网服务器中创建好两个基础健康安全策略,那就是安全的健康策略和不安全的健康策略,普通计算机只有符合安全策略的规定才能被Windows Server 2008系统网络访问保护功能看成是健康计算机,而那些符合不安全策略规定的普通计算机则会被网络访问保护功能认为是不健康计算机。
在为普通计算机创建新的安全策略时,我们可以将鼠标定位于图3界面左侧显示区域中的“策略”节点选项上,再从该选项下面选中“健康策略”子项,同时用鼠标右键单击该子项,从弹出的右键菜单中执行“新建”命令,在随后出现的设置对话框中,我们可以为新的安全健康策略取一个合适的名称,例如这里我们将该名称取为“安全策略”,此外我们还需要将“客户端SHV检查”选项设置成“客户端通过了所有SHV检查”,再单击“确定”按钮保存好上述参数设置操作,那样的话普通计算机的安全健康策略就算创建成功了。同样地,我们可以按照上面的操作步骤,再为普通计算机创建一个不安全策略,在创建的时候唯一与上面操作不相同的是必须将对应策略的“客户端SHV检查”设置选项调整成“客户端未能通过所有SHV检查”。
图4 安全健康验证策略
由于之前的健康策略中包含了SHV检查,那么SHV检查究竟要对普通计算机的哪些方面进行安全健康检查呢?为此我们需要利用图3界面中的系统健康验证器,来自行定义安全检查的范围和内容,例如定义凡是那些没有安装杀毒程序的普通计算机都是一些不安全的计算机,凡是关闭了网络防火墙程序的普通计算机也是不健康的计算机等!在利用系统健康验证器功能定义安全检查内容时,我们可以先将鼠标定位于图3界面左侧显示区域中的“网络访问保护”节点选项上,从该选项下面选中“系统健康验证器”子项,同时用鼠标右键单击该子项下面的“Windows安全健康验证程序”选项,从其后出现的快捷菜单中点选“属性”命令,再在其后窗口中单击“配置”按钮,打开如图4所示的设置窗口,在该设置窗口中我们可以依照实际组网情况选用或取消各种安全参数设置,比方说如果局域网对安全要求非常高时,我们可以选中图4界面中的“已为所有网络连接启用网络防火墙”、“防病毒软件已经启用”、“防间谍软件已经启用”、“已启用自动更新”等相关安全设置选项,普通计算机日后只有符合这里指定的所有安全检查验证,网络访问保护功能才会认为该普通计算机系统符合安全检查,并允许该计算机连接到局域网网络中。
图5 新建更新服务器组
对于那些没有通过安全检查的普通计算机来说,网络访问保护功能还允许我们通过合适设置,来责令它们及时采取安全修正措施,例如我们可以设置网络访问保护功能强制不安全的普通计算机从局域网中指定更新服务器中自动安装更新网络病毒库程序或系统漏洞补丁程序,直到普通计算机符合健康安全检查为止。在强制不安全的计算机自动连接局域网中的指定更新服务器时,我们可以先将鼠标定位于图3界面左侧显示区域中的“网络访问保护”节点选项上,从该选项下面选中“更新服务器组”子项,同时用鼠标右键单击该子项,从其后出现的快捷菜单中点选“新建”命令,打开如图5所示的设置对话框,单击其中的“添加”按钮,之后输入指定病毒库服务器或系统补丁服务器对应的主机名称或IP地址,再单击“确定”按钮保存好上述设置操作,如此一来那些没有通过安全检查的普通计算机日后就能自动连接到局域网指定的病毒库服务器或补丁服务器,去自动安装、更新网络病毒程序或系统补丁程序了。一旦网络病毒程序或系统补丁程序安装更新好后,普通计算机再次连接到局域网中时,网络访问保护功能就会认为该计算机符合安全健康检查,并认为它是健康的计算机了,从而允许该计算机能够正常连接到局域网网络中了。
当然,要使上面的各项设置正式生效,我们还需要将路由器自带的DHCP功能给关闭掉,并启用网络访问保护功能内置的DHCP功能,来协同配合网络访问保护功能来完成对局域网普通计算机的安全检查,以便禁止任何不安全因素影响局域网的运行。