那如何才能避免這些工作站將各種潛在的安全威脅帶到服務(wù)器系統(tǒng)中，從而給服務(wù)器系統(tǒng)造成非常大的影響呢?要做到這一點(diǎn)，我們可以通過(guò)設(shè)置Windows Server 2008系統(tǒng)的網(wǎng)絡(luò)策略，來(lái)保護(hù)服務(wù)器系統(tǒng)的安全，禁止危險(xiǎn)工作站將網(wǎng)絡(luò)病毒或木馬帶入到服務(wù)器系統(tǒng)中!

認(rèn)識(shí)網(wǎng)絡(luò)策略

為了有效保護(hù)網(wǎng)絡(luò)以及服務(wù)器系統(tǒng)的安全，Windows Server 2008特意為我們新增加了網(wǎng)絡(luò)策略服務(wù)器功能以及其他多項(xiàng)安全保護(hù)措施，利用網(wǎng)絡(luò)策略功能服務(wù)器系統(tǒng)將會(huì)強(qiáng)制要求任何一臺(tái)企圖與之連接的普通工作站都要通過(guò)特定的網(wǎng)絡(luò)健康檢查，比方說(shuō)普通工作站中是否安裝了防火墻程序，是否及時(shí)更新了病毒庫(kù)內(nèi)容，是否安裝了最新版本的系統(tǒng)補(bǔ)丁程序等，只有當(dāng)普通工作站符合各種安全檢查之后，服務(wù)器系統(tǒng)才允許該工作站連接服務(wù)器并訪問(wèn)其中的內(nèi)容;而那些沒(méi)有通過(guò)服務(wù)器系統(tǒng)安全檢查的普通工作站將會(huì)被隔離到另外一個(gè)受限網(wǎng)絡(luò)，或者降低服務(wù)器的訪問(wèn)權(quán)限。在被隔離到另外一個(gè)受限網(wǎng)絡(luò)中時(shí)，普通工作站需要及時(shí)通過(guò)受限網(wǎng)絡(luò)來(lái)修復(fù)該工作站的安全狀態(tài)，比方說(shuō)迅速?gòu)木钟蚓W(wǎng)中的補(bǔ)丁服務(wù)器中下載安裝系統(tǒng)補(bǔ)丁程序，強(qiáng)制啟用系統(tǒng)中的防火墻程序等，在符合網(wǎng)絡(luò)安全條件之后，該工作站往往就能正常訪問(wèn)服務(wù)器系統(tǒng)中的任何內(nèi)容了。

　　安裝網(wǎng)絡(luò)策略服務(wù)器

　　雖然Windows Server 2008系統(tǒng)已經(jīng)內(nèi)置了網(wǎng)絡(luò)策略服務(wù)器功能，不過(guò)在默認(rèn)狀態(tài)下該功能并沒(méi)有被啟用，此時(shí)我們只有先將該功能組件安裝起來(lái)，才能利用該功能的安全防范本領(lǐng)來(lái)保護(hù)服務(wù)器系統(tǒng)的安全。

　　在安裝網(wǎng)絡(luò)策略組件時(shí)，我們首先要以系統(tǒng)管理員權(quán)限進(jìn)入到Windows Server 2008系統(tǒng)，打開(kāi)該系統(tǒng)的“開(kāi)始”菜單，從中依次選擇“程序”/“管理工具”/“服務(wù)器管理器”命令，打開(kāi)對(duì)應(yīng)系統(tǒng)的服務(wù)器管理器窗口;

　　在該服務(wù)器管理器窗口的左側(cè)顯示區(qū)域，選中“角色”選項(xiàng)，在對(duì)應(yīng)該選項(xiàng)的右側(cè)顯示區(qū)域中，單擊“添加角色”功能圖標(biāo)，打開(kāi)角色添加向?qū)гO(shè)置窗口;從該設(shè)置窗口的提示信息中，我們看到要安裝網(wǎng)絡(luò)策略組件需要做好三個(gè)方面的準(zhǔn)備工作，第一就是確保管理員賬號(hào)具有強(qiáng)密碼，第二就是保證網(wǎng)絡(luò)設(shè)置已經(jīng)配制好，第三就是已經(jīng)安裝Windows Update中的最新安全更新;

　在確認(rèn)上面的各項(xiàng)準(zhǔn)備工作已經(jīng)完成后，單擊“下一步”按鈕，打開(kāi)如圖1所示的服務(wù)器角色列表窗口中，在這里我們看到服務(wù)器系統(tǒng)在默認(rèn)狀態(tài)下并沒(méi)有選中“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”功能組件，這說(shuō)明網(wǎng)絡(luò)策略功能此時(shí)并沒(méi)有被安裝;此時(shí)，我們可以及時(shí)選中這里的“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”選項(xiàng)，再單擊“下一步”按鈕;當(dāng)屏幕上出現(xiàn)如圖2所示的角色服務(wù)列表窗口時(shí)，選中“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)，繼續(xù)單擊“下一步”按鈕，最后單擊“安裝”按鈕，這樣一來(lái)服務(wù)器系統(tǒng)就會(huì)自動(dòng)將所選的角色、角色服務(wù)依次安裝好了。

　　當(dāng)網(wǎng)絡(luò)策略組件安裝操作結(jié)束后，系統(tǒng)會(huì)自動(dòng)彈出提示現(xiàn)在可以利用該功能組件來(lái)配置服務(wù)器系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)保護(hù)了;并且此時(shí)此刻服務(wù)器系統(tǒng)中的DHCP服務(wù)也會(huì)自動(dòng)將被新安裝的網(wǎng)絡(luò)策略服務(wù)器組件所替代，我們必須對(duì)網(wǎng)絡(luò)策略服務(wù)器涉及的相關(guān)DHCP參數(shù)進(jìn)行正確配置，才能起到很好的網(wǎng)絡(luò)安全保護(hù)效果。在缺省狀態(tài)下，Windows Server 2008系統(tǒng)并沒(méi)有將與網(wǎng)絡(luò)策略服務(wù)器相關(guān)的“網(wǎng)絡(luò)訪問(wèn)保護(hù)”組件啟用起來(lái)，這需要我們?cè)诰W(wǎng)絡(luò)策略服務(wù)器的DHCP作用域?qū)傩灾羞M(jìn)行手工啟用。

　　設(shè)置網(wǎng)絡(luò)策略服務(wù)器

　　在成功安裝好網(wǎng)絡(luò)策略服務(wù)器功能組件后，我們現(xiàn)在就能進(jìn)入網(wǎng)絡(luò)策略服務(wù)器來(lái)對(duì)它正確進(jìn)行配置了，以便讓它及時(shí)發(fā)揮作用，保護(hù)服務(wù)器系統(tǒng)的安全。

　　首先打開(kāi)Windows Server 2008系統(tǒng)的“開(kāi)始”菜單，從中依次選擇“程序”/“管理工具”/“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)，打開(kāi)網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口，如圖3所示;

　　在該控制臺(tái)窗口的左側(cè)顯示區(qū)域，我們發(fā)現(xiàn)網(wǎng)絡(luò)策略服務(wù)器包含四方面的內(nèi)容，它們分別是連接請(qǐng)求策略、網(wǎng)絡(luò)策略、健康策略以及網(wǎng)絡(luò)訪問(wèn)保護(hù)組件，這些策略和組件將會(huì)對(duì)訪問(wèn)單位服務(wù)器系統(tǒng)的普通工作站系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離、安全處理、健康策略審核以及網(wǎng)絡(luò)訪問(wèn)保護(hù);

　　使用連接請(qǐng)求策略，我們能夠指定是在本地處理連接請(qǐng)求，還是將其轉(zhuǎn)發(fā)到遠(yuǎn)程Radius服務(wù)器中去處理;

　　選用健康策略我們可以自定義普通工作站是否健康的標(biāo)準(zhǔn)，該策略通常與網(wǎng)絡(luò)訪問(wèn)保護(hù)組件一起配合使用。一般來(lái)說(shuō)，我們通常需要在服務(wù)器系統(tǒng)中創(chuàng)建好兩個(gè)基本策略，其中一個(gè)策略就是安全工作站的策略，另外一個(gè)就是不安全工作站的策略。創(chuàng)建安全工作站的策略時(shí)，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口的左側(cè)顯示區(qū)域中，依次展開(kāi)“策略”/“健康策略”選項(xiàng)，用鼠標(biāo)右鍵單擊“健康策略”選項(xiàng)，從彈出的快捷菜單中選擇“新建”命令，打開(kāi)如圖4所示的設(shè)置對(duì)話框;在該設(shè)置對(duì)話框中將策略名稱取為“安全工作站”，將“客戶端SHV檢查”設(shè)置為“客戶端通過(guò)了所有SHV檢查”，再單擊“確定”按鈕，這樣一來(lái)安全工作站策略就創(chuàng)建成功了。同樣地，我們可以再創(chuàng)建一個(gè)“不安全工作站”策略，并將該策略的“客戶端SHV檢查”設(shè)置為“客戶端未能通過(guò)所有SHV檢查”。

　　那么究竟哪些工作站是安全的呢，又有哪些工作站是不安全的呢?這需要借助網(wǎng)絡(luò)訪問(wèn)保護(hù)組件下面的系統(tǒng)健康驗(yàn)證器進(jìn)行評(píng)估!而系統(tǒng)健康驗(yàn)證器將會(huì)強(qiáng)制檢查普通工作站的一些設(shè)置，并將這些設(shè)置對(duì)照事先已經(jīng)設(shè)置好的相關(guān)安全策略，來(lái)評(píng)估普通工作站究竟屬于安全范圍的還是不安全范圍的。比方說(shuō)，我們假定系統(tǒng)如果不安裝防火墻和殺毒軟件的話，那就認(rèn)定該工作站系統(tǒng)是不安全的;在配置這種安全策略時(shí)，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口的左側(cè)顯示區(qū)域中，依次展開(kāi)“網(wǎng)絡(luò)訪問(wèn)保護(hù)”/“系統(tǒng)健康驗(yàn)證器”選項(xiàng)，在對(duì)應(yīng)該選項(xiàng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊“Windows安全健康驗(yàn)證程序”選項(xiàng)，從彈出的快捷菜單中執(zhí)行“屬性”命令，在其后出現(xiàn)的屬性設(shè)置窗口中單擊“配置”按鈕，打開(kāi)如圖5所示的配置界面，在該界面中必須選中“已為所有網(wǎng)絡(luò)連接啟用防火墻”選項(xiàng)和“防病毒應(yīng)用程序已啟用”選項(xiàng)，最后單擊“確定”按鈕結(jié)束Windows安全健康驗(yàn)證配置操作，這么一來(lái)日后只要普通工作站安裝了防火墻和殺毒軟件，Windows Server 2008系統(tǒng)就認(rèn)為該工作站是安全的工作站。

　　當(dāng)Windows Server 2008系統(tǒng)檢測(cè)到普通工作站屬于不安全工作站時(shí)，網(wǎng)絡(luò)策略服務(wù)器還提供了補(bǔ)救措施，以便讓不安全的工作站自動(dòng)訪問(wèn)局域網(wǎng)中的補(bǔ)丁更新服務(wù)器或病毒庫(kù)更新服務(wù)器，從而及時(shí)將系統(tǒng)補(bǔ)丁程序以及更新病毒庫(kù)程序安裝到普通工作站中。為了讓不安全工作站能夠自動(dòng)安裝補(bǔ)丁程序或自動(dòng)更新病毒庫(kù)，我們需要使用更新服務(wù)器組來(lái)定義不安全工作站能夠訪問(wèn)哪些系統(tǒng)，以便從這些系統(tǒng)中能夠自動(dòng)將工作站的不安全狀態(tài)恢復(fù)到安全狀態(tài)。在指定不安全工作站能夠訪問(wèn)的服務(wù)器系統(tǒng)時(shí)，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口的左側(cè)顯示區(qū)域中，依次展開(kāi)“網(wǎng)絡(luò)訪問(wèn)保護(hù)”/“更新服務(wù)器組”選項(xiàng)，再用鼠標(biāo)右鍵單擊“更新服務(wù)器組”選項(xiàng)，從彈出的快捷菜單中執(zhí)行“新建”命令，打開(kāi)如圖6所示的創(chuàng)建對(duì)話框，單擊該對(duì)話框中的“添加”按鈕，在其后界面中正確輸入系統(tǒng)補(bǔ)丁更新服務(wù)器或病毒庫(kù)更新服務(wù)器的主機(jī)名稱或IP地址，這么一來(lái)日后普通工作站被檢測(cè)為不安全時(shí)，那它就會(huì)自動(dòng)連接到系統(tǒng)補(bǔ)丁更新服務(wù)器或病毒庫(kù)更新服務(wù)器，來(lái)安裝系統(tǒng)補(bǔ)丁程序或更新病毒庫(kù)了。當(dāng)普通工作站安裝了補(bǔ)丁程序或更新了病毒庫(kù)后，再次訪問(wèn)Windows Server 2008系統(tǒng)時(shí)，該系統(tǒng)就會(huì)認(rèn)為它是安全工作站，此時(shí)該工作站就能允許連接到服務(wù)器系統(tǒng)中，那樣一來(lái)我們就能最大限度地保證服務(wù)器系統(tǒng)的安全了。

　　當(dāng)然，需要在這里提醒各位的是，上面的系統(tǒng)健康驗(yàn)證器、健康策略、連接請(qǐng)求策略、更新服務(wù)器組等都需要網(wǎng)絡(luò)策略組合在一起，才能發(fā)揮出有效的作用;我們可以根據(jù)普通工作站安全狀態(tài)確定如何對(duì)該工作站進(jìn)行處理;例如，當(dāng)發(fā)現(xiàn)普通工作站與不安全工作站策略相符時(shí)，那么我們可以定義網(wǎng)絡(luò)策略，來(lái)指示局域網(wǎng)中的DHCP服務(wù)器為目標(biāo)普通工作站提供一個(gè)受限作用域選項(xiàng)的IP租約，確保該工作站地址只能訪問(wèn)指定更新服務(wù)器組中定義的系統(tǒng)。

最新評(píng)論