艾銻知識 |Win2008 網(wǎng)絡(luò)策略設(shè)置方法 讓訪問更安全

2020-03-02 22:10 作者：admin 瀏覽量：

如果二月份因為疫情在家，你沒有體驗到春風似剪刀的感覺。
那三月份很快就要來了，你會迎著小雨一邊走一邊唱著歌嗎？
在二月里你是怎樣度過的？你的企業(yè)復工了嗎？
這一個月留在你生命中有哪些難忘的記憶呢？
從二月三號開始，艾銻無限小伙伴就進入了自己的工作狀態(tài)：
有的人因為封城一直在家遠程為客戶提供服務(wù)，
有的人回到北京被隔離14天在自己住的地方給客戶提供服務(wù)，
有的人春節(jié)只休了7天假期就早早回到了北京，
有的人從未離開過北京人，所以他們才能在二月工作26天。
每一種選擇都是選擇，每一種人生都是人生。
我們期望回首2020年的時候，可以自豪的對自己說，
生命中的每一天，都是最好的一天，
感恩所有人，感恩一切的發(fā)生，感恩逝去的那些日子.
三月是一個全新的開始，送上一篇可以幫你解決技術(shù)難題的文章，讓你更好的投入全新的工作狀態(tài):
艾銻知識 |Win2008 網(wǎng)絡(luò)策略設(shè)置方法 讓訪問更安全
那如何才能避免這些工作站將各種潛在的安全威脅帶到服務(wù)器系統(tǒng)中，從而給服務(wù)器系統(tǒng)造成非常大的影響呢?要做到這一點，我們可以通過設(shè)置Windows Server 2008系統(tǒng)的網(wǎng)絡(luò)策略，來保護服務(wù)器系統(tǒng)的安全，禁止危險工作站將網(wǎng)絡(luò)病毒或木馬帶入到服務(wù)器系統(tǒng)中! 

認識網(wǎng)絡(luò)策略 

為了有效保護網(wǎng)絡(luò)以及服務(wù)器系統(tǒng)的安全，Windows Server 2008特意為我們新增加了網(wǎng)絡(luò)策略服務(wù)器功能以及其他多項安全保護措施，利用網(wǎng)絡(luò)策略功能服務(wù)器系統(tǒng)將會強制要求任何一臺企圖與之連接的普通工作站都要通過特定的網(wǎng)絡(luò)健康檢查，比方說普通工作站中是否安裝了防火墻程序，是否及時更新了病毒庫內(nèi)容，是否安裝了最新版本的系統(tǒng)補丁程序等，只有當普通工作站符合各種安全檢查之后，服務(wù)器系統(tǒng)才允許該工作站連接服務(wù)器并訪問其中的內(nèi)容;而那些沒有通過服務(wù)器系統(tǒng)安全檢查的普通工作站將會被隔離到另外一個受限網(wǎng)絡(luò)，或者降低服務(wù)器的訪問權(quán)限。在被隔離到另外一個受限網(wǎng)絡(luò)中時，普通工作站需要及時通過受限網(wǎng)絡(luò)來修復該工作站的安全狀態(tài)，比方說迅速從局域網(wǎng)中的補丁服務(wù)器中下載安裝系統(tǒng)補丁程序，強制啟用系統(tǒng)中的防火墻程序等，在符合網(wǎng)絡(luò)安全條件之后，該工作站往往就能正常訪問服務(wù)器系統(tǒng)中的任何內(nèi)容了。 

　　安裝網(wǎng)絡(luò)策略服務(wù)器 

　　雖然Windows Server 2008系統(tǒng)已經(jīng)內(nèi)置了網(wǎng)絡(luò)策略服務(wù)器功能，不過在默認狀態(tài)下該功能并沒有被啟用，此時我們只有先將該功能組件安裝起來，才能利用該功能的安全防范本領(lǐng)來保護服務(wù)器系統(tǒng)的安全。 

　　在安裝網(wǎng)絡(luò)策略組件時，我們首先要以系統(tǒng)管理員權(quán)限進入到Windows Server 2008系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中依次選擇“程序”/“管理工具”/“服務(wù)器管理器”命令，打開對應(yīng)系統(tǒng)的服務(wù)器管理器窗口; 

　　在該服務(wù)器管理器窗口的左側(cè)顯示區(qū)域，選中“角色”選項，在對應(yīng)該選項的右側(cè)顯示區(qū)域中，單擊“添加角色”功能圖標，打開角色添加向?qū)гO(shè)置窗口;從該設(shè)置窗口的提示信息中，我們看到要安裝網(wǎng)絡(luò)策略組件需要做好三個方面的準備工作，第一就是確保管理員賬號具有強密碼，第二就是保證網(wǎng)絡(luò)設(shè)置已經(jīng)配制好，第三就是已經(jīng)安裝Windows Update中的最新安全更新; 

　在確認上面的各項準備工作已經(jīng)完成后，單擊“下一步”按鈕，打開如圖1所示的服務(wù)器角色列表窗口中，在這里我們看到服務(wù)器系統(tǒng)在默認狀態(tài)下并沒有選中“網(wǎng)絡(luò)策略和訪問服務(wù)”功能組件，這說明網(wǎng)絡(luò)策略功能此時并沒有被安裝;此時，我們可以及時選中這里的“網(wǎng)絡(luò)策略和訪問服務(wù)”選項，再單擊“下一步”按鈕;當屏幕上出現(xiàn)如圖2所示的角色服務(wù)列表窗口時，選中“網(wǎng)絡(luò)策略服務(wù)器”選項，繼續(xù)單擊“下一步”按鈕，最后單擊“安裝”按鈕，這樣一來服務(wù)器系統(tǒng)就會自動將所選的角色、角色服務(wù)依次安裝好了。 

　　當網(wǎng)絡(luò)策略組件安裝操作結(jié)束后，系統(tǒng)會自動彈出提示現(xiàn)在可以利用該功能組件來配置服務(wù)器系統(tǒng)的網(wǎng)絡(luò)訪問保護了;并且此時此刻服務(wù)器系統(tǒng)中的DHCP服務(wù)也會自動將被新安裝的網(wǎng)絡(luò)策略服務(wù)器組件所替代，我們必須對網(wǎng)絡(luò)策略服務(wù)器涉及的相關(guān)DHCP參數(shù)進行正確配置，才能起到很好的網(wǎng)絡(luò)安全保護效果。在缺省狀態(tài)下，Windows Server 2008系統(tǒng)并沒有將與網(wǎng)絡(luò)策略服務(wù)器相關(guān)的“網(wǎng)絡(luò)訪問保護”組件啟用起來，這需要我們在網(wǎng)絡(luò)策略服務(wù)器的DHCP作用域?qū)傩灾羞M行手工啟用。 

　　設(shè)置網(wǎng)絡(luò)策略服務(wù)器 

　　在成功安裝好網(wǎng)絡(luò)策略服務(wù)器功能組件后，我們現(xiàn)在就能進入網(wǎng)絡(luò)策略服務(wù)器來對它正確進行配置了，以便讓它及時發(fā)揮作用，保護服務(wù)器系統(tǒng)的安全。 

　　首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中依次選擇“程序”/“管理工具”/“網(wǎng)絡(luò)策略服務(wù)器”選項，打開網(wǎng)絡(luò)策略服務(wù)器控制臺窗口，如圖3所示; 

　　在該控制臺窗口的左側(cè)顯示區(qū)域，我們發(fā)現(xiàn)網(wǎng)絡(luò)策略服務(wù)器包含四方面的內(nèi)容，它們分別是連接請求策略、網(wǎng)絡(luò)策略、健康策略以及網(wǎng)絡(luò)訪問保護組件，這些策略和組件將會對訪問單位服務(wù)器系統(tǒng)的普通工作站系統(tǒng)進行網(wǎng)絡(luò)隔離、安全處理、健康策略審核以及網(wǎng)絡(luò)訪問保護; 

　　使用連接請求策略，我們能夠指定是在本地處理連接請求，還是將其轉(zhuǎn)發(fā)到遠程Radius服務(wù)器中去處理; 

　　選用健康策略我們可以自定義普通工作站是否健康的標準，該策略通常與網(wǎng)絡(luò)訪問保護組件一起配合使用。一般來說，我們通常需要在服務(wù)器系統(tǒng)中創(chuàng)建好兩個基本策略，其中一個策略就是安全工作站的策略，另外一個就是不安全工作站的策略。創(chuàng)建安全工作站的策略時，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺窗口的左側(cè)顯示區(qū)域中，依次展開“策略”/“健康策略”選項，用鼠標右鍵單擊“健康策略”選項，從彈出的快捷菜單中選擇“新建”命令，打開如圖4所示的設(shè)置對話框;在該設(shè)置對話框中將策略名稱取為“安全工作站”，將“客戶端SHV檢查”設(shè)置為“客戶端通過了所有SHV檢查”，再單擊“確定”按鈕，這樣一來安全工作站策略就創(chuàng)建成功了。同樣地，我們可以再創(chuàng)建一個“不安全工作站”策略，并將該策略的“客戶端SHV檢查”設(shè)置為“客戶端未能通過所有SHV檢查”。 

　　那么究竟哪些工作站是安全的呢，又有哪些工作站是不安全的呢?這需要借助網(wǎng)絡(luò)訪問保護組件下面的系統(tǒng)健康驗證器進行評估!而系統(tǒng)健康驗證器將會強制檢查普通工作站的一些設(shè)置，并將這些設(shè)置對照事先已經(jīng)設(shè)置好的相關(guān)安全策略，來評估普通工作站究竟屬于安全范圍的還是不安全范圍的。比方說，我們假定系統(tǒng)如果不安裝防火墻和殺毒軟件的話，那就認定該工作站系統(tǒng)是不安全的;在配置這種安全策略時，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺窗口的左側(cè)顯示區(qū)域中，依次展開“網(wǎng)絡(luò)訪問保護”/“系統(tǒng)健康驗證器”選項，在對應(yīng)該選項的右側(cè)顯示區(qū)域中，用鼠標右鍵單擊“Windows安全健康驗證程序”選項，從彈出的快捷菜單中執(zhí)行“屬性”命令，在其后出現(xiàn)的屬性設(shè)置窗口中單擊“配置”按鈕，打開如圖5所示的配置界面，在該界面中必須選中“已為所有網(wǎng)絡(luò)連接啟用防火墻”選項和“防病毒應(yīng)用程序已啟用”選項，最后單擊“確定”按鈕結(jié)束Windows安全健康驗證配置操作，這么一來日后只要普通工作站安裝了防火墻和殺毒軟件，Windows Server 2008系統(tǒng)就認為該工作站是安全的工作站。 

　　當Windows Server 2008系統(tǒng)檢測到普通工作站屬于不安全工作站時，網(wǎng)絡(luò)策略服務(wù)器還提供了補救措施，以便讓不安全的工作站自動訪問局域網(wǎng)中的補丁更新服務(wù)器或病毒庫更新服務(wù)器，從而及時將系統(tǒng)補丁程序以及更新病毒庫程序安裝到普通工作站中。為了讓不安全工作站能夠自動安裝補丁程序或自動更新病毒庫，我們需要使用更新服務(wù)器組來定義不安全工作站能夠訪問哪些系統(tǒng)，以便從這些系統(tǒng)中能夠自動將工作站的不安全狀態(tài)恢復到安全狀態(tài)。在指定不安全工作站能夠訪問的服務(wù)器系統(tǒng)時，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺窗口的左側(cè)顯示區(qū)域中，依次展開“網(wǎng)絡(luò)訪問保護”/“更新服務(wù)器組”選項，再用鼠標右鍵單擊“更新服務(wù)器組”選項，從彈出的快捷菜單中執(zhí)行“新建”命令，打開如圖6所示的創(chuàng)建對話框，單擊該對話框中的“添加”按鈕，在其后界面中正確輸入系統(tǒng)補丁更新服務(wù)器或病毒庫更新服務(wù)器的主機名稱或IP地址，這么一來日后普通工作站被檢測為不安全時，那它就會自動連接到系統(tǒng)補丁更新服務(wù)器或病毒庫更新服務(wù)器，來安裝系統(tǒng)補丁程序或更新病毒庫了。當普通工作站安裝了補丁程序或更新了病毒庫后，再次訪問Windows Server 2008系統(tǒng)時，該系統(tǒng)就會認為它是安全工作站，此時該工作站就能允許連接到服務(wù)器系統(tǒng)中，那樣一來我們就能最大限度地保證服務(wù)器系統(tǒng)的安全了。 

　　當然，需要在這里提醒各位的是，上面的系統(tǒng)健康驗證器、健康策略、連接請求策略、更新服務(wù)器組等都需要網(wǎng)絡(luò)策略組合在一起，才能發(fā)揮出有效的作用;我們可以根據(jù)普通工作站安全狀態(tài)確定如何對該工作站進行處理;例如，當發(fā)現(xiàn)普通工作站與不安全工作站策略相符時，那么我們可以定義網(wǎng)絡(luò)策略，來指示局域網(wǎng)中的DHCP服務(wù)器為目標普通工作站提供一個受限作用域選項的IP租約，確保該工作站地址只能訪問指定更新服務(wù)器組中定義的系統(tǒng)。