热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

Win2008网络策略设置方法让访问更安全

在局域网环境中,许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库,导致对应系统可能存在很多安全隐患,当这些工作站尝试访问局域网网络时,可能会给整个网络的安全带来比较大的威胁。
那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中!

认识网络策略

为了有效保护网络以及服务器系统的安全,Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查,比方说普通工作站中是否安装了防火墙程序,是否及时更新了病毒库内容,是否安装了最新版本的系统补丁程序等,只有当普通工作站符合各种安全检查之后,服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络,或者降低服务器的访问权限。在被隔离到另外一个受限网络中时,普通工作站需要及时通过受限网络来修复该工作站的安全状态,比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序,强制启用系统中的防火墙程序等,在符合网络安全条件之后,该工作站往往就能正常访问服务器系统中的任何内容了。

  安装网络策略服务器

  虽然Windows Server 2008系统已经内置了网络策略服务器功能,不过在默认状态下该功能并没有被启用,此时我们只有先将该功能组件安装起来,才能利用该功能的安全防范本领来保护服务器系统的安全。

  在安装网络策略组件时,我们首先要以系统管理员权限进入到Windows Server 2008系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器窗口;

  在该服务器管理器窗口的左侧显示区域,选中“角色”选项,在对应该选项的右侧显示区域中,单击“添加角色”功能图标,打开角色添加向导设置窗口;从该设置窗口的提示信息中,我们看到要安装网络策略组件需要做好三个方面的准备工作,第一就是确保管理员账号具有强密码,第二就是保证网络设置已经配制好,第三就是已经安装Windows Update中的最新安全更新;

 在确认上面的各项准备工作已经完成后,单击“下一步”按钮,打开如图1所示的服务器角色列表窗口中,在这里我们看到服务器系统在默认状态下并没有选中“网络策略和访问服务”功能组件,这说明网络策略功能此时并没有被安装;此时,我们可以及时选中这里的“网络策略和访问服务”选项,再单击“下一步”按钮;当屏幕上出现如图2所示的角色服务列表窗口时,选中“网络策略服务器”选项,继续单击“下一步”按钮,最后单击“安装”按钮,这样一来服务器系统就会自动将所选的角色、角色服务依次安装好了。

  当网络策略组件安装操作结束后,系统会自动弹出提示现在可以利用该功能组件来配置服务器系统的网络访问保护了;并且此时此刻服务器系统中的DHCP服务也会自动将被新安装的网络策略服务器组件所替代,我们必须对网络策略服务器涉及的相关DHCP参数进行正确配置,才能起到很好的网络安全保护效果。在缺省状态下,Windows Server 2008系统并没有将与网络策略服务器相关的“网络访问保护”组件启用起来,这需要我们在网络策略服务器的DHCP作用域属性中进行手工启用。

  设置网络策略服务器

  在成功安装好网络策略服务器功能组件后,我们现在就能进入网络策略服务器来对它正确进行配置了,以便让它及时发挥作用,保护服务器系统的安全。

  首先打开Windows Server 2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“网络策略服务器”选项,打开网络策略服务器控制台窗口,如图3所示;

  在该控制台窗口的左侧显示区域,我们发现网络策略服务器包含四方面的内容,它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件,这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护;

  使用连接请求策略,我们能够指定是在本地处理连接请求,还是将其转发到远程Radius服务器中去处理;

  选用健康策略我们可以自定义普通工作站是否健康的标准,该策略通常与网络访问保护组件一起配合使用。一般来说,我们通常需要在服务器系统中创建好两个基本策略,其中一个策略就是安全工作站的策略,另外一个就是不安全工作站的策略。创建安全工作站的策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“策略”/“健康策略”选项,用鼠标右键单击“健康策略”选项,从弹出的快捷菜单中选择“新建”命令,打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”,将“客户端SHV检查”设置为“客户端通过了所有SHV检查”,再单击“确定”按钮,这样一来安全工作站策略就创建成功了。同样地,我们可以再创建一个“不安全工作站”策略,并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。

  那么究竟哪些工作站是安全的呢,又有哪些工作站是不安全的呢?这需要借助网络访问保护组件下面的系统健康验证器进行评估!而系统健康验证器将会强制检查普通工作站的一些设置,并将这些设置对照事先已经设置好的相关安全策略,来评估普通工作站究竟属于安全范围的还是不安全范围的。比方说,我们假定系统如果不安装防火墙和杀毒软件的话,那就认定该工作站系统是不安全的;在配置这种安全策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“系统健康验证器”选项,在对应该选项的右侧显示区域中,用鼠标右键单击“Windows安全健康验证程序”选项,从弹出的快捷菜单中执行“属性”命令,在其后出现的属性设置窗口中单击“配置”按钮,打开如图5所示的配置界面,在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项,最后单击“确定”按钮结束Windows安全健康验证配置操作,这么一来日后只要普通工作站安装了防火墙和杀毒软件,Windows Server 2008系统就认为该工作站是安全的工作站。

  当Windows Server 2008系统检测到普通工作站属于不安全工作站时,网络策略服务器还提供了补救措施,以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器,从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库,我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统,以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“更新服务器组”选项,再用鼠标右键单击“更新服务器组”选项,从弹出的快捷菜单中执行“新建”命令,打开如图6所示的创建对话框,单击该对话框中的“添加”按钮,在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址,这么一来日后普通工作站被检测为不安全时,那它就会自动连接到系统补丁更新服务器或病毒库更新服务器,来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后,再次访问Windows Server 2008系统时,该系统就会认为它是安全工作站,此时该工作站就能允许连接到服务器系统中,那样一来我们就能最大限度地保证服务器系统的安全了。

  当然,需要在这里提醒各位的是,上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起,才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如,当发现普通工作站与不安全工作站策略相符时,那么我们可以定义网络策略,来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约,确保该工作站地址只能访问指定更新服务器组中定义的系统。
推荐阅读
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • 如何配置Unturned服务器及其消息设置
    本文详细介绍了Unturned服务器的配置方法和消息设置技巧,帮助用户了解并优化服务器管理。同时,提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]
  • 本文详细分析了Hive在启动过程中遇到的权限拒绝错误,并提供了多种解决方案,包括调整文件权限、用户组设置以及环境变量配置等。 ... [详细]
  • 深入理解 SQL 视图、存储过程与事务
    本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式,存储过程则封装了复杂的SQL逻辑,而事务确保了数据库操作的完整性和一致性。 ... [详细]
  • 优化版Windows 10 LTSC 21H2企业版:适用于低内存设备
    此版本为经过优化的Windows 10 LTSC 21H2企业版,特别适合低内存配置的计算机。它基于官方版本进行了精简和性能优化,确保在资源有限的情况下依然能够稳定运行。 ... [详细]
  • 本文详细介绍了Java编程语言中的核心概念和常见面试问题,包括集合类、数据结构、线程处理、Java虚拟机(JVM)、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题,帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]
  • DNN Community 和 Professional 版本的主要差异
    本文详细解析了 DotNetNuke (DNN) 的两种主要版本:Community 和 Professional。通过对比两者的功能和附加组件,帮助用户选择最适合其需求的版本。 ... [详细]
  • 网络攻防实战:从HTTP到HTTPS的演变
    本文通过一系列日记记录了从发现漏洞到逐步加强安全措施的过程,探讨了如何应对网络攻击并最终实现全面的安全防护。 ... [详细]
  • 360SRC安全应急响应:从漏洞提交到修复的全过程
    本文详细介绍了360SRC平台处理一起关键安全事件的过程,涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例,展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]
  • 本文探讨了如何优化和正确配置Kafka Streams应用程序以确保准确的状态存储查询。通过调整配置参数和代码逻辑,可以有效解决数据不一致的问题。 ... [详细]
  • 解决MongoDB Compass远程连接问题
    本文记录了在使用阿里云服务器部署MongoDB后,通过MongoDB Compass进行远程连接时遇到的问题及解决方案。详细介绍了从防火墙配置到安全组设置的各个步骤,帮助读者顺利解决问题。 ... [详细]
  • 从 .NET 转 Java 的自学之路:IO 流基础篇
    本文详细介绍了 Java 中的 IO 流,包括字节流和字符流的基本概念及其操作方式。探讨了如何处理不同类型的文件数据,并结合编码机制确保字符数据的正确读写。同时,文中还涵盖了装饰设计模式的应用,以及多种常见的 IO 操作实例。 ... [详细]
  • c# – UWP:BrightnessOverride StartOverride逻辑 ... [详细]
  • 理解存储器的层次结构有助于程序员优化程序性能,通过合理安排数据在不同层级的存储位置,提升CPU的数据访问速度。本文详细探讨了静态随机访问存储器(SRAM)和动态随机访问存储器(DRAM)的工作原理及其应用场景,并介绍了存储器模块中的数据存取过程及局部性原理。 ... [详细]
  • 本文详细介绍了 PHP 中的 usleep 函数,包括其定义、用法、参数说明、返回值以及相关注意事项。通过实例演示了如何使用此函数实现代码执行的微秒级延迟。 ... [详细]
author-avatar
陈汉文爱_290
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有