我們發(fā)現(xiàn)經(jīng)常有一些不滿足公司安全策略的計算機接入公司網(wǎng)絡(luò),從公司的DHCP服務(wù)器獲得TCP/IP配置從而訪問公司網(wǎng)絡(luò),這會帶來了巨大的風(fēng)險。其實我們可以使用Windows Server 2008的網(wǎng)絡(luò)訪問保護(NAP)技術(shù)來控制這些客戶端從DHCP服務(wù)器獲得配置,從而達(dá)到控制它們對公司內(nèi)網(wǎng)訪問的目的。下面筆者部署環(huán)境就“NAP for DHCP”的部署和測試進(jìn)行一個演示,希望對大家有幫助。
環(huán)境描述:
Ctocio:Windows Server 2008的DHCP服務(wù)器、NAP服務(wù)器
Test:Windows Vista的客戶端
1、NAP服務(wù)器端配置
(1).配置健康策略服務(wù)器
以管理員administrator身份登錄Ctocio,依次點擊“開始”→“管理工具”,打開“網(wǎng)絡(luò)策略服務(wù)器”窗口。依次展開“NPS(本地)”→“網(wǎng)絡(luò)訪問保護”→“系統(tǒng)健康驗證器”,在內(nèi)容面板雙擊“Windows安全健康驗證程序”,在“Windows安全健康驗證程序 屬性”對話框,點擊“配置”只勾選“防火墻”下的“已為所有網(wǎng)絡(luò)連接啟用防火墻”,取消所有其它選擇(注意不需要取消對”Windows Update“的選擇),點擊“確定“關(guān)閉“Windows安全健康驗證程序 屬性”對話框。(圖1)
圖1 Windows安全健康驗證程序
需要注意的是,“Windows安全健康驗證程序“這一SHV是由微軟提供的,主要用于監(jiān)控客戶端計算機安全中心的狀態(tài)。當(dāng)然如果你還想監(jiān)控第三方廠家產(chǎn)品的安全配置,還需要安裝由其他廠家開發(fā)的SHV的。
(2).配置更新服務(wù)器組
在“網(wǎng)絡(luò)策略服務(wù)器”窗口的右窗格的“網(wǎng)絡(luò)訪問保護”下,右擊“更新服務(wù)器組”,點擊“新建”彈出對話框,在“組名“中輸入“Windows設(shè)置更新服務(wù)器組1”,然后點擊“添加”,在“IP地址或DNS名稱”下輸入192.168.1.1,然后點擊”確定“兩次。說明一下,此組中所包含的服務(wù)器實際上應(yīng)放在受限網(wǎng)絡(luò)中用于對客戶端進(jìn)行修補的服務(wù)器,例如WSUS服務(wù)器,病毒庫升級服務(wù)器等。(圖2)
圖2 新建WSUS服務(wù)器
上一頁12 3 4 5 下一頁 閱讀全文