在局域網工作環境中，普通工作站系統如果感染了網絡病毒或安全，那么病毒或安全很容易通過網絡“傳染”給其他工作站，這么一來整個局域網的運行穩定性可能就會受到威脅。為了提高網絡運行的安全性，我們需要想辦法控制普通工作站接入網絡，以便不讓病毒或安全通過網絡進行瘋狂傳播。要做到這一點，我們可以借助Win2008系統新增加的網絡訪問保護功能配合DHCP服務，來限制有安全隱患的普通工作站隨意接入局域網網絡。

控制思路

我們可以利用Win2008系統新增加的網絡訪問保護功能，來制定安全健康標準，例如可以設定安裝了防病毒軟件、更新了系統漏洞補丁、啟用了系統防火墻的工作站將被認為是安全、健康的，日后配合DHCP服務強行要求普通工作站進行安全、健康檢查，如果檢查不通過的話，強制普通工作站連接到一個受限制的特定網絡中，在該特定網絡中上網用戶可以采用手工辦法恢復目標工作站系統的安全狀態，也可以在這里部署病毒庫升級服務器、系統補丁更新服務器，來自動對不符合安全健康標準的工作站進行安全補救，直到其重新符合安全健康標準；當普通工作站通過安全、健康檢查后，它就能順利地接入到單位的局域網網絡中了，這樣一來整個局域網的安全就能得到有效保證了。

控制操作

由于Win2008系統在缺省狀態下并沒有安裝啟用網絡訪問保護功能，要想利用該功能控制網絡接入安全，我們必須先將該功能組件安裝好，同時對其進行合適設置，之后再配合局域網中的DHCP服務器對普通工作站的網絡訪問進行控制，最后強制普通工作站從DHCP服務器那里獲得上網參數，這么一來普通工作站日后上網訪問時就會自動受到網絡訪問保護功能的制約了。

1、啟用網絡訪問保護

從Win2008系統桌面中依次點選“開始”、“程序”、“管理工具”、“服務器管理器”選項，在彈出的服務器管理器控制臺窗口，選中左側位置處的“角色”分支選項，單擊該分支選項右側位置處的“添加角色”功能，進入添加角色向導對話框，單擊“下一步”按鈕，選中“網絡策略和訪問服務”選項，之后我們從如圖1所示的設置窗口中選中用網絡策略服務器，再單擊“安裝”按鈕，如此一來Win2008系統的網絡訪問保護功能就被成功安裝好了。

圖1

2、定義安全健康標準

為了讓服務器自動判斷普通工作站究竟是否安全、健康，我們需要先定義好安全、健康標準，日后普通工作站只有符合這里指定的標準，才能認為是安全的、健康的。

在定義安全健康標準時，我們可以按照前面的操作步驟打開服務器管理器控制臺窗口，在該窗口的左側位置處依次展開“角色”/“網絡策略和訪問服務”/“NPS”/“網絡訪問保護”/“系統健康驗證器”分支選項；

在對應目標分支選項的右側位置處，單擊“屬性”按鈕，進入到Windows安全健康驗證程序屬性設置界面，單擊其中的“配置”按鈕，打開如圖2所示的配置對話框，選中這里的“已為所有網絡連接啟用防火墻”、“防病毒應用程序已啟用”、“防病毒程序為最新的”、“已啟用自動更新”等安全標準，日后普通工作站只有符合上面的各個標準，才能被認為是安全、健康的工作站；

圖2

當然，為了保證普通工作站接入網絡的效率，我們在定義安全健康標準時，可以根據實際工作要求進行針對性定義，能降低要求的盡量降低要求，畢竟安全、健康標準定義得過多、過細，普通工作站日后在進行網絡連接時就會受到更嚴格的檢查、驗證，這樣需要耗費很長的時間，那么網絡訪問效率自然也就會受到明顯的影響了。

3、設置健康驗證策略

為了讓Win2008系統自動使用我們事先定義的安全健康標準，來對普通工作站的安全狀態進行健康驗證，我們還需要對健康驗證策略進行合適設置，在進行這種操作時我們可以按照下面的步驟來進行：

首先從“網絡策略服務器”分支選項下面依次點選“策略”/“健康策略”子項，在對應目標子項的右側位置處點擊“新建”按鈕，打開健康策略創建對話框，如圖3所示；

圖3

其次在“策略名稱”文本框中輸入“安全工作站”，從“客戶端SHV檢查”列表中選擇“客戶端通過了所有SHV檢查”選項，之后將“此健康策略中使用的SHV”參數設置為“Windows安全健康驗證程序”，單擊“確定”按鈕保存好上述設置操作，如此一來符合我們定義的安全健康標準的工作站就會被Win2008系統自動認定為安全工作站。

同樣地，我們還可以新建一個“不安全工作站”的驗證策略，在新建該策略時只要從“客戶端SHV檢查”列表中選中“客戶端未能通過一個或多個SHV檢查”選項，同時其他設置保持不變就可以了。

4、設置網絡控制策略

為了讓普通工作站在接入網絡時，自動接受Win2008系統的安全、健康驗證，我們還需要對網絡控制策略進行適當設置，下面就是具體的設置步驟：

首先在Win2008系統的服務器管理器控制臺窗口左側位置處，依次展開“角色”/“網絡策略和訪問服務”/“NPS”/“策略”/“網絡策略”分支選項，在目標分支選項的右側位置處單擊“新建”按鈕，打開如圖4所示的網絡控制策略新建向導對話框；

圖4

其次在該對話框的“策略名稱”文本框中輸入“安全連接”，同時將“網絡訪問服務器類型”參數設置為“DHCP Server”，之后單擊“下一步”按鈕，單擊其后頁面中的擊“添加”按鈕，從彈出的“選擇條件”列表中選中之前定義好的“安全工作站”策略，，之后依照向導屏幕提示依次選中“已授予訪問權限”、“僅執行計算機健康檢查”選項，最后從“策略設置”列表中選中“NAP強制允許完全網絡訪問”選項，再單擊“完成”按鈕完成網絡控制策略設置任務。

同樣地，我們還需要創建一個“不安全連接”的控制策略，在進行這種策略創建操作時，我們只要從“選擇條件”列表中選中之前定義好的“不安全工作站”策略，同時選中“拒絕訪問”選項，其余參數跟上面幾乎一樣，最后再單擊“完成”按鈕就可以了。

5、設置DHCP服務參數

由于普通工作站在進行網絡接入操作時，首先是與局域網中的DHCP服務器進行通信的，為此我們還需要在該服務器中對網絡訪問保護參數進行一下相關設置，以便讓其將普通工作站的上網請求轉交給網絡策略服務器進行安全、健康驗證。在進行這種設置操作時，其實很簡單，我們只要先以系統管理員身份打開DHCP服務器控制臺窗口，再進入目標作用域的屬性設置對話框，打開“網絡訪問保護”標簽設置頁面，將其中的“對此作用域啟用”項目選中，同時將“使用默認網絡訪問保護配置文件”項目也選中，最后單擊”確定“按鈕保存好上述設置操作就好了。

下面還需要對普通工作站的上網參數進行設置，讓其必須通過DHCP服務才能上網，如果使用靜態IP地址來上網的，該工作站就不會受到網絡訪問保護功能的控制了。在進行這種設置操作時，我們可以依次單擊普通工作站系統桌面中的“開始”/“設置”/“網絡連接”選項，右擊“本地連接”圖標命令，選中本地連接屬性設置窗口中的“Internet協議（TCP/IP）”選項，再單擊該選項下面的“屬性”按鈕，打開如圖5所示的TCP/IP屬性設置對話框，選中這里的“自動獲得IP地址”選項，再單擊“確定”按鈕保存好上述設置操作，如此一來局域網中的普通工作站日后進行網絡連接時，就會自動受到Win2008系統中的網絡策略服務器的訪問保護，那樣的話病毒或安全也就不會隨意通過網絡傳播、感染其他工作站了。

圖5