單位員工大部分是移動(dòng)辦公一族,由于病毒庫更新不及時(shí)、系統(tǒng)補(bǔ)丁沒有安裝��,使移動(dòng)辦公設(shè)備處于危險(xiǎn)狀態(tài)���,訪問內(nèi)部網(wǎng)絡(luò)時(shí)很可能威脅整個(gè)網(wǎng)絡(luò)���。該如何防守網(wǎng)絡(luò)訪問這扇門呢?
筆者所在的單位是一家傳媒公司,有數(shù)百人的記者隊(duì)伍�,每位記者都配備了筆記本電腦以及上網(wǎng)設(shè)備。記者經(jīng)常攜帶筆記本電腦出差��,很長時(shí)間不登錄內(nèi)部網(wǎng)絡(luò)���。網(wǎng)絡(luò)中統(tǒng)一部署了防病毒軟件以及系統(tǒng)補(bǔ)丁更新��,記者通過VPN或者其他方式連接公司網(wǎng)絡(luò)時(shí)�,連接時(shí)間非常短�,不能夠立即下載系統(tǒng)補(bǔ)丁和病毒庫。由于病毒庫更新不及時(shí)�,以及系統(tǒng)補(bǔ)丁沒有安裝,使其筆記本電腦處于“危險(xiǎn)”狀態(tài)�����,一旦感染病毒并將病毒或者木馬等其他惡意軟件帶到內(nèi)部網(wǎng)絡(luò)中,將對(duì)網(wǎng)絡(luò)造成極大影響���。
有什么樣的方法�,可以在剛登錄網(wǎng)絡(luò)時(shí)���,自動(dòng)檢測(cè)客戶端計(jì)算機(jī)的安全性�,符合安全標(biāo)準(zhǔn)后�����,才允許登錄到網(wǎng)絡(luò)中呢?那就是NAP����,網(wǎng)絡(luò)保護(hù)策略。
NAP嚴(yán)把關(guān)
Windows Server 2008提供了NAP(Network Access Protection)功能��,網(wǎng)絡(luò)保護(hù)策略是任何客戶端計(jì)算機(jī)(客戶端以及VPN客戶)必須通過網(wǎng)絡(luò)健康檢查����,如是否安裝最新的安全補(bǔ)丁�、防病毒軟件的特征庫是否更新、是否啟用防火墻等��,符合安全條件后才允許進(jìn)入內(nèi)部網(wǎng)絡(luò)。未通過系統(tǒng)健康檢查的計(jì)算機(jī)會(huì)被隔離到一個(gè)受限制訪問網(wǎng)絡(luò)���。在受限制訪問網(wǎng)絡(luò)中��,修復(fù)計(jì)算機(jī)的狀態(tài)(如從補(bǔ)丁服務(wù)器下載專門的系統(tǒng)補(bǔ)丁�����,強(qiáng)制開啟防火墻策略等)�����,在達(dá)到網(wǎng)絡(luò)健康標(biāo)準(zhǔn)后�����,才允許接入公司內(nèi)部網(wǎng)絡(luò)�����。
Windows Server 2008提供了多種網(wǎng)絡(luò)訪問保護(hù)的方法�,最簡捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服務(wù)���,完成網(wǎng)絡(luò)訪問保護(hù)�����。部署該策略���,需要對(duì)客戶端計(jì)算機(jī)進(jìn)行配置:在組策略中啟用“啟用安全中心(僅限域PC)”策略;啟用“DHCP隔離強(qiáng)制客戶端”策略����。啟用NAP代理服務(wù)��,建議設(shè)置為“自動(dòng)”啟動(dòng)模式����。
安裝NPS服務(wù)
默認(rèn)安裝完成Windows Server 2008后,沒有安裝NPS(網(wǎng)絡(luò)訪問策略)服務(wù)���,需要網(wǎng)絡(luò)管理員手動(dòng)安裝該服務(wù)�。
啟動(dòng)“服務(wù)器管理器”����,運(yùn)行“角色添加”向?qū)В谶x擇服務(wù)器角色對(duì)話框的“角色”列表中�,選擇需要安裝的“網(wǎng)絡(luò)策略和訪問服務(wù)”選項(xiàng)���,其他按默認(rèn)安裝即可�。
安裝完成NPS服務(wù)后,成員服務(wù)器中的DHCP服務(wù)將被新的包含NPS功能的組件所取代����,網(wǎng)絡(luò)管理員需要對(duì)NPS涉及的DHCP選項(xiàng)進(jìn)行配置。在默認(rèn)狀態(tài)下�����,NPS關(guān)聯(lián)的組件“網(wǎng)絡(luò)訪問保護(hù)”沒有被啟用�����,該策略在DHCP作用域?qū)傩灾?����,啟用該策略?/P>
NAP通過添加的“用戶類作用域”類別�,使計(jì)算機(jī)在同一作用域內(nèi)的受限網(wǎng)絡(luò)和不受限網(wǎng)絡(luò)訪問之間切換。在向狀態(tài)不良的客戶端計(jì)算機(jī)提供租約時(shí)����,會(huì)使用這組特殊的作用域選項(xiàng)(DNS服務(wù)器、DNS域名���、路由器等)����。例如,提供給狀態(tài)良好的客戶端的默認(rèn) DNS 后綴為“book.com”�����,而提供給狀態(tài)不良的客戶端的DNS后綴為“Testbook.com”���。
配置NPS策略
NPS策略包含四部分的內(nèi)容���,分別為:網(wǎng)絡(luò)健康驗(yàn)證器、更新服務(wù)器組����、健康策略和網(wǎng)絡(luò)策略,將對(duì)加入到公司網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行驗(yàn)證��、隔離�、補(bǔ)救以及健康策略審核。
網(wǎng)絡(luò)健康驗(yàn)證器:評(píng)估計(jì)算機(jī)運(yùn)行狀態(tài)����,需要執(zhí)行哪些檢查以及設(shè)置檢查列表�����,根據(jù)設(shè)置的策略檢測(cè)連接到網(wǎng)絡(luò)中的計(jì)算機(jī)哪些是安全的,哪些是不安全的�����,例如防火墻關(guān)閉就認(rèn)為不安全�、沒安裝殺毒軟件就是不安全的計(jì)算機(jī)等。啟動(dòng)“網(wǎng)絡(luò)策略服務(wù)器”組件��,打開“NPS(本地)”→“網(wǎng)絡(luò)訪問保護(hù)”→“系統(tǒng)健康驗(yàn)證器”�����,在屬性列表中配置需要檢測(cè)的狀態(tài)���,如圖1所示�。
更新服務(wù)器組:允許網(wǎng)絡(luò)管理員設(shè)置狀態(tài)不良的計(jì)算機(jī)可以訪問的系統(tǒng)��,通過訪問定義的系統(tǒng)���,狀態(tài)不良的計(jì)算機(jī)將恢復(fù)到正常狀態(tài)����。在設(shè)置的過程中,注意目標(biāo)服務(wù)器的IP地址和DNS域名解析要一致�。啟動(dòng)“網(wǎng)絡(luò)策略服務(wù)器”組件,打開“NPS”→“網(wǎng)絡(luò)訪問保護(hù)”→“系統(tǒng)健康驗(yàn)證器”����,新建一個(gè)“更新服務(wù)器組”,設(shè)置病毒庫更新服務(wù)器或者補(bǔ)丁更新服務(wù)器的IP地址以及名稱��。
健康策略用于創(chuàng)建客戶端計(jì)算機(jī)是否健康的標(biāo)準(zhǔn)�。建議創(chuàng)建兩個(gè)策略,一個(gè)是安全計(jì)算機(jī)策略���,另一個(gè)是不安全計(jì)算機(jī)的策略�����。網(wǎng)絡(luò)健康驗(yàn)證器驗(yàn)證出來的計(jì)算機(jī)如果是安全的就歸類到安全計(jì)算機(jī)策略中�����,如果網(wǎng)絡(luò)健康驗(yàn)證器驗(yàn)證計(jì)算機(jī)是不安全的�,將歸類到不安全計(jì)算機(jī)的策略。啟動(dòng)“網(wǎng)絡(luò)策略服務(wù)器”組件����,打開“NPS”→“策略”→“健康策略”,新建兩個(gè)“健康策略”��,一個(gè)是“通過所有安全驗(yàn)證”策略��,如圖2所示;另一個(gè)是“沒有通過安全健康檢查”策略�����。
網(wǎng)絡(luò)策略:定義處理邏輯規(guī)則�,根據(jù)計(jì)算機(jī)運(yùn)行狀況確定如何對(duì)其進(jìn)行處理���。網(wǎng)絡(luò)健康驗(yàn)證器����、更新服務(wù)器組以及健康處理通過網(wǎng)絡(luò)策略組合在一起�����。網(wǎng)絡(luò)策略由管理員定義����,用于指導(dǎo)NPS如何根據(jù)計(jì)算機(jī)的運(yùn)行狀態(tài)處理計(jì)算機(jī)���。NPS會(huì)從上到下評(píng)估這些策略,一旦計(jì)算機(jī)與策略規(guī)則相符���,處理將立即停止����。
已經(jīng)創(chuàng)建的兩條策略���,分別為“通過所有安全驗(yàn)證”策略和“沒有通過網(wǎng)絡(luò)安全檢查”策略����。
上一頁12 下一頁 閱讀全文
