我們發(fā)現(xiàn)經(jīng)常有一些不滿足公司安全策略的計(jì)算機(jī)接入公司網(wǎng)絡(luò)���,從公司的DHCP服務(wù)器獲得TCP/IP配置從而訪問(wèn)公司網(wǎng)絡(luò)��,這會(huì)帶來(lái)了巨大的風(fēng)險(xiǎn)����。其實(shí)我們可以使用Windows Server 2008的網(wǎng)絡(luò)訪問(wèn)保護(hù)(NAP)技術(shù)來(lái)控制這些客戶端從DHCP服務(wù)器獲得配置���,從而達(dá)到控制它們對(duì)公司內(nèi)網(wǎng)訪問(wèn)的目的����。下面筆者部署環(huán)境就“NAP for DHCP”的部署和測(cè)試進(jìn)行一個(gè)演示�����,希望對(duì)大家有幫助����。
環(huán)境描述:
Ctocio:Windows Server 2008的DHCP服務(wù)器、NAP服務(wù)器
Test:Windows Vista的客戶端
1�����、NAP服務(wù)器端配置
(1).配置健康策略服務(wù)器
以管理員administrator身份登錄Ctocio���,依次點(diǎn)擊“開(kāi)始”→“管理工具”��,打開(kāi)“網(wǎng)絡(luò)策略服務(wù)器”窗口����。依次展開(kāi)“NPS(本地)”→“網(wǎng)絡(luò)訪問(wèn)保護(hù)”→“系統(tǒng)健康驗(yàn)證器”��,在內(nèi)容面板雙擊“Windows安全健康驗(yàn)證程序”����,在“Windows安全健康驗(yàn)證程序 屬性”對(duì)話框,點(diǎn)擊“配置”只勾選“防火墻”下的“已為所有網(wǎng)絡(luò)連接啟用防火墻”��,取消所有其它選擇(注意不需要取消對(duì)”Windows Update“的選擇)���,點(diǎn)擊“確定“關(guān)閉“Windows安全健康驗(yàn)證程序 屬性”對(duì)話框�。(圖1)
圖1 Windows安全健康驗(yàn)證程序
需要注意的是�����,“Windows安全健康驗(yàn)證程序“這一SHV是由微軟提供的,主要用于監(jiān)控客戶端計(jì)算機(jī)安全中心的狀態(tài)��。當(dāng)然如果你還想監(jiān)控第三方廠家產(chǎn)品的安全配置�����,還需要安裝由其他廠家開(kāi)發(fā)的SHV的���。
(2).配置更新服務(wù)器組
在“網(wǎng)絡(luò)策略服務(wù)器”窗口的右窗格的“網(wǎng)絡(luò)訪問(wèn)保護(hù)”下���,右擊“更新服務(wù)器組”,點(diǎn)擊“新建”彈出對(duì)話框��,在“組名“中輸入“Windows設(shè)置更新服務(wù)器組1”�����,然后點(diǎn)擊“添加”���,在“IP地址或DNS名稱”下輸入192.168.1.1����,然后點(diǎn)擊”確定“兩次����。說(shuō)明一下,此組中所包含的服務(wù)器實(shí)際上應(yīng)放在受限網(wǎng)絡(luò)中用于對(duì)客戶端進(jìn)行修補(bǔ)的服務(wù)器���,例如WSUS服務(wù)器���,病毒庫(kù)升級(jí)服務(wù)器等。(圖2)
圖2 新建WSUS服務(wù)器
上一頁(yè)12 3 4 5 下一頁(yè) 閱讀全文
