更新服务器组:允许网络管理员设置状态不良的计算机可以访问的系统,通过访问定义的系统,状态不良的计算机将恢复到正常状态。在设置的过程中,注意目标服务器的IP地址和DNS域名解析要一致。启动“网络策略服务器”组件,打开“NPS”→“网络访问保护”→“系统健康验证器”,新建一个“更新服务器组”,设置病毒库更新服务器或者补丁更新服务器的IP地址以及名称。
健康策略用于创建客户端计算机是否健康的标准。建议创建两个策略,一个是安全计算机策略,另一个是不安全计算机的策略。网络健康验证器验证出来的计算机如果是安全的就归类到安全计算机策略中,如果网络健康验证器验证计算机是不安全的,将归类到不安全计算机的策略。启动“网络策略服务器”组件,打开“NPS”→“策略”→“健康策略”,新建两个“健康策略”,一个是“通过所有安全验证”策略,如图2所示;另一个是“没有通过安全健康检查”策略。
网络策略:定义处理逻辑规则,根据计算机运行状况确定如何对其进行处理。网络健康验证器、更新服务器组以及健康处理通过网络策略组合在一起。网络策略由管理员定义,用于指导NPS如何根据计算机的运行状态处理计算机。NPS会从上到下评估这些策略,一旦计算机与策略规则相符,处理将立即停止。
已经创建的两条策略,分别为“通过所有安全验证”策略和“没有通过网络安全检查”策略。
“通过所有安全验证”策略,规定通过所有“安全中心”检查的计算机可以获得不受限制的网络访问权限。“没有通过网络安全检查”策略,对应任何未通过一项或多项 SHV(System Health Validators)检查的计算机。如果有计算机与此策略相符,则NPS会指示DHCP 服务器为该客户端提供一个具有特殊NAP受限作用域选项的IP租约。该地址仅允许违规计算机访问更新服务器组中定义的资源。启动“网络策略服务器”组件,打开“NPS(本地)”→“策略”→“网络策略”,为“通过所有安全健康检查”新建策略,同时设置访问权限。
NAP部署后,当外出记者回到公司登录到公司的网络时,首先进行客户端检测,没有安装最新病毒库的计算机,自动连接到病毒库更新服务器升级病毒库;没有安装系统补丁的计算机,自动连接到WSUS服务器升级补丁;没有启用防火墙的计算机,提示客户端启用防火墙。当以上条件满足后,允许客户端连接到内部网络中,最大限度地保证网络安全。
网络访问保护四步曲
网络访问保护主要分为四部分:策略验证、隔离、补救和持续监控。
策略验证
策略验证是指NAP根据网络管理员定义的一组规则,对客户端计算机系统状态进行评估。NAP在计算机尝试连接到网络时会使用安全健康程序和定义的策略相比较,符合这些策略的计算机被视为状态良好的计算机,而不符合其中一项或多项检查标准的计算机则被认为是状态不良的计算机。
隔离
隔离可以理解为网络连接限制。根据网络管理员定义的策略,NAP可以将计算机的网络连接设置为各种状态。例如,如果一台计算机因缺少关键的安全更新而被视为状态不良,则NAP可以将该计算机置于隔离网络中,使其与网络中其他计算机隔绝,直至恢复健康(安装补丁)为止。
补救
对于已经限制连接的那些状态不良的计算机,NAP 提供了补救策略,被隔离的计算机无需网络管理员干预即可纠正运行状态。受限的网络允许状态不良的计算机访问安装必要的更新程序。
持续监控
持续监控,即强制计算机在与网络保持连接期间,而不仅仅在初始连接时,始终监控这些可保持状态良好的策略。该计算机状态如果与策略不相符合,例如禁用了windows防火墙,则NAP将自动开启防火墙,直至恢复正常状态后,才可访问网络。
Copyright ©2018-2023 www.958358.com 粤ICP备19111771号-7 增值电信业务经营许可证 粤B2-20231006