在局域網(wǎng)工作環(huán)境中，普通工作站系統(tǒng)如果感染了網(wǎng)絡(luò)病毒或安全，那么病毒或安全很容易通過網(wǎng)絡(luò)“傳染”給其他工作站，這么一來整個局域網(wǎng)的運(yùn)行穩(wěn)定性可能就會受到威脅。為了提高網(wǎng)絡(luò)運(yùn)行的安全性，我們需要想辦法控制普通工作站接入網(wǎng)絡(luò)，以便不讓病毒或安全通過網(wǎng)絡(luò)進(jìn)行瘋狂傳播。要做到這一點(diǎn)，我們可以借助Win2008系統(tǒng)新增加的網(wǎng)絡(luò)訪問保護(hù)功能配合DHCP服務(wù)，來限制有安全隱患的普通工作站隨意接入局域網(wǎng)網(wǎng)絡(luò)。

控制思路

我們可以利用Win2008系統(tǒng)新增加的網(wǎng)絡(luò)訪問保護(hù)功能，來制定安全健康標(biāo)準(zhǔn)，例如可以設(shè)定安裝了防病毒軟件、更新了系統(tǒng)漏洞補(bǔ)丁、啟用了系統(tǒng)防火墻的工作站將被認(rèn)為是安全、健康的，日后配合DHCP服務(wù)強(qiáng)行要求普通工作站進(jìn)行安全、健康檢查，如果檢查不通過的話，強(qiáng)制普通工作站連接到一個受限制的特定網(wǎng)絡(luò)中，在該特定網(wǎng)絡(luò)中上網(wǎng)用戶可以采用手工辦法恢復(fù)目標(biāo)工作站系統(tǒng)的安全狀態(tài)，也可以在這里部署病毒庫升級服務(wù)器、系統(tǒng)補(bǔ)丁更新服務(wù)器，來自動對不符合安全健康標(biāo)準(zhǔn)的工作站進(jìn)行安全補(bǔ)救，直到其重新符合安全健康標(biāo)準(zhǔn)；當(dāng)普通工作站通過安全、健康檢查后，它就能順利地接入到單位的局域網(wǎng)網(wǎng)絡(luò)中了，這樣一來整個局域網(wǎng)的安全就能得到有效保證了。

控制操作

由于Win2008系統(tǒng)在缺省狀態(tài)下并沒有安裝啟用網(wǎng)絡(luò)訪問保護(hù)功能，要想利用該功能控制網(wǎng)絡(luò)接入安全，我們必須先將該功能組件安裝好，同時對其進(jìn)行合適設(shè)置，之后再配合局域網(wǎng)中的DHCP服務(wù)器對普通工作站的網(wǎng)絡(luò)訪問進(jìn)行控制，最后強(qiáng)制普通工作站從DHCP服務(wù)器那里獲得上網(wǎng)參數(shù)，這么一來普通工作站日后上網(wǎng)訪問時就會自動受到網(wǎng)絡(luò)訪問保護(hù)功能的制約了。

1、啟用網(wǎng)絡(luò)訪問保護(hù)

從Win2008系統(tǒng)桌面中依次點(diǎn)選“開始”、“程序”、“管理工具”、“服務(wù)器管理器”選項，在彈出的服務(wù)器管理器控制臺窗口，選中左側(cè)位置處的“角色”分支選項，單擊該分支選項右側(cè)位置處的“添加角色”功能，進(jìn)入添加角色向?qū)υ捒颍瑔螕簟跋乱徊健卑粹o，選中“網(wǎng)絡(luò)策略和訪問服務(wù)”選項，之后我們從如圖1所示的設(shè)置窗口中選中用網(wǎng)絡(luò)策略服務(wù)器，再單擊“安裝”按鈕，如此一來Win2008系統(tǒng)的網(wǎng)絡(luò)訪問保護(hù)功能就被成功安裝好了。

圖1

2、定義安全健康標(biāo)準(zhǔn)

為了讓服務(wù)器自動判斷普通工作站究竟是否安全、健康，我們需要先定義好安全、健康標(biāo)準(zhǔn)，日后普通工作站只有符合這里指定的標(biāo)準(zhǔn)，才能認(rèn)為是安全的、健康的。

在定義安全健康標(biāo)準(zhǔn)時，我們可以按照前面的操作步驟打開服務(wù)器管理器控制臺窗口，在該窗口的左側(cè)位置處依次展開“角色”/“網(wǎng)絡(luò)策略和訪問服務(wù)”/“NPS”/“網(wǎng)絡(luò)訪問保護(hù)”/“系統(tǒng)健康驗證器”分支選項；

在對應(yīng)目標(biāo)分支選項的右側(cè)位置處，單擊“屬性”按鈕，進(jìn)入到Windows安全健康驗證程序?qū)傩栽O(shè)置界面，單擊其中的“配置”按鈕，打開如圖2所示的配置對話框，選中這里的“已為所有網(wǎng)絡(luò)連接啟用防火墻”、“防病毒應(yīng)用程序已啟用”、“防病毒程序為最新的”、“已啟用自動更新”等安全標(biāo)準(zhǔn)，日后普通工作站只有符合上面的各個標(biāo)準(zhǔn)，才能被認(rèn)為是安全、健康的工作站；

圖2

當(dāng)然，為了保證普通工作站接入網(wǎng)絡(luò)的效率，我們在定義安全健康標(biāo)準(zhǔn)時，可以根據(jù)實際工作要求進(jìn)行針對性定義，能降低要求的盡量降低要求，畢竟安全、健康標(biāo)準(zhǔn)定義得過多、過細(xì)，普通工作站日后在進(jìn)行網(wǎng)絡(luò)連接時就會受到更嚴(yán)格的檢查、驗證，這樣需要耗費(fèi)很長的時間，那么網(wǎng)絡(luò)訪問效率自然也就會受到明顯的影響了。

3、設(shè)置健康驗證策略

為了讓W(xué)in2008系統(tǒng)自動使用我們事先定義的安全健康標(biāo)準(zhǔn)，來對普通工作站的安全狀態(tài)進(jìn)行健康驗證，我們還需要對健康驗證策略進(jìn)行合適設(shè)置，在進(jìn)行這種操作時我們可以按照下面的步驟來進(jìn)行：

首先從“網(wǎng)絡(luò)策略服務(wù)器”分支選項下面依次點(diǎn)選“策略”/“健康策略”子項，在對應(yīng)目標(biāo)子項的右側(cè)位置處點(diǎn)擊“新建”按鈕，打開健康策略創(chuàng)建對話框，如圖3所示；

圖3

其次在“策略名稱”文本框中輸入“安全工作站”，從“客戶端SHV檢查”列表中選擇“客戶端通過了所有SHV檢查”選項，之后將“此健康策略中使用的SHV”參數(shù)設(shè)置為“Windows安全健康驗證程序”，單擊“確定”按鈕保存好上述設(shè)置操作，如此一來符合我們定義的安全健康標(biāo)準(zhǔn)的工作站就會被Win2008系統(tǒng)自動認(rèn)定為安全工作站。

同樣地，我們還可以新建一個“不安全工作站”的驗證策略，在新建該策略時只要從“客戶端SHV檢查”列表中選中“客戶端未能通過一個或多個SHV檢查”選項，同時其他設(shè)置保持不變就可以了。

4、設(shè)置網(wǎng)絡(luò)控制策略

為了讓普通工作站在接入網(wǎng)絡(luò)時，自動接受Win2008系統(tǒng)的安全、健康驗證，我們還需要對網(wǎng)絡(luò)控制策略進(jìn)行適當(dāng)設(shè)置，下面就是具體的設(shè)置步驟：

首先在Win2008系統(tǒng)的服務(wù)器管理器控制臺窗口左側(cè)位置處，依次展開“角色”/“網(wǎng)絡(luò)策略和訪問服務(wù)”/“NPS”/“策略”/“網(wǎng)絡(luò)策略”分支選項，在目標(biāo)分支選項的右側(cè)位置處單擊“新建”按鈕，打開如圖4所示的網(wǎng)絡(luò)控制策略新建向?qū)υ捒颍?/P>

圖4

其次在該對話框的“策略名稱”文本框中輸入“安全連接”，同時將“網(wǎng)絡(luò)訪問服務(wù)器類型”參數(shù)設(shè)置為“DHCP Server”，之后單擊“下一步”按鈕，單擊其后頁面中的擊“添加”按鈕，從彈出的“選擇條件”列表中選中之前定義好的“安全工作站”策略，，之后依照向?qū)聊惶崾疽来芜x中“已授予訪問權(quán)限”、“僅執(zhí)行計算機(jī)健康檢查”選項，最后從“策略設(shè)置”列表中選中“NAP強(qiáng)制允許完全網(wǎng)絡(luò)訪問”選項，再單擊“完成”按鈕完成網(wǎng)絡(luò)控制策略設(shè)置任務(wù)。

同樣地，我們還需要創(chuàng)建一個“不安全連接”的控制策略，在進(jìn)行這種策略創(chuàng)建操作時，我們只要從“選擇條件”列表中選中之前定義好的“不安全工作站”策略，同時選中“拒絕訪問”選項，其余參數(shù)跟上面幾乎一樣，最后再單擊“完成”按鈕就可以了。

5、設(shè)置DHCP服務(wù)參數(shù)

由于普通工作站在進(jìn)行網(wǎng)絡(luò)接入操作時，首先是與局域網(wǎng)中的DHCP服務(wù)器進(jìn)行通信的，為此我們還需要在該服務(wù)器中對網(wǎng)絡(luò)訪問保護(hù)參數(shù)進(jìn)行一下相關(guān)設(shè)置，以便讓其將普通工作站的上網(wǎng)請求轉(zhuǎn)交給網(wǎng)絡(luò)策略服務(wù)器進(jìn)行安全、健康驗證。在進(jìn)行這種設(shè)置操作時，其實很簡單，我們只要先以系統(tǒng)管理員身份打開DHCP服務(wù)器控制臺窗口，再進(jìn)入目標(biāo)作用域的屬性設(shè)置對話框，打開“網(wǎng)絡(luò)訪問保護(hù)”標(biāo)簽設(shè)置頁面，將其中的“對此作用域啟用”項目選中，同時將“使用默認(rèn)網(wǎng)絡(luò)訪問保護(hù)配置文件”項目也選中，最后單擊”確定“按鈕保存好上述設(shè)置操作就好了。

下面還需要對普通工作站的上網(wǎng)參數(shù)進(jìn)行設(shè)置，讓其必須通過DHCP服務(wù)才能上網(wǎng)，如果使用靜態(tài)IP地址來上網(wǎng)的，該工作站就不會受到網(wǎng)絡(luò)訪問保護(hù)功能的控制了。在進(jìn)行這種設(shè)置操作時，我們可以依次單擊普通工作站系統(tǒng)桌面中的“開始”/“設(shè)置”/“網(wǎng)絡(luò)連接”選項，右擊“本地連接”圖標(biāo)命令，選中本地連接屬性設(shè)置窗口中的“Internet協(xié)議（TCP/IP）”選項，再單擊該選項下面的“屬性”按鈕，打開如圖5所示的TCP/IP屬性設(shè)置對話框，選中這里的“自動獲得IP地址”選項，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來局域網(wǎng)中的普通工作站日后進(jìn)行網(wǎng)絡(luò)連接時，就會自動受到Win2008系統(tǒng)中的網(wǎng)絡(luò)策略服務(wù)器的訪問保護(hù)，那樣的話病毒或安全也就不會隨意通過網(wǎng)絡(luò)傳播、感染其他工作站了。

圖5