善用NAP讓Windows2008為客戶端“體檢”

字號:

俗話說“林子大了,什么鳥都有”,*域網規(guī)模比較大時,接入到局域網網絡中的客戶端工作站安全狀況也是參差不齊,有只安裝了殺毒軟件的,有只安裝了防火墻的,也有同時安裝殺毒軟件或防火墻的,更有什么也沒有安裝的。當沒有采取任何安全保護措施的工作站訪問局域網服務器時,網絡病毒很可能會通過這些工作站襲擊服務器甚至整個局域網網絡,從而導致服務器不能正常對外提供服務,造成整個局域網網絡運行效率下降。
    那我們怎樣才能有效防止那些存在潛在安全隱患的客戶端工作站訪問局域網服務器,從而給局域網服務器帶來巨大安全威脅呢?要做到這一點,相信許多人都會說只要強制工作站系統(tǒng)安裝好殺毒軟件、防火墻程序,定期安裝更新系統(tǒng)補丁,就能保證工作站系統(tǒng)安全訪問局域網服務器了。話是這么說,但實際上這樣的強制措施很難執(zhí)行下去;不過,在Windows Server 2008系統(tǒng)環(huán)境下,我們可以利用該系統(tǒng)新增加的NAP功能——網絡訪問保護功能,來對企圖訪問Windows Server 2008服務器系統(tǒng)的任何一臺客戶端工作站系統(tǒng)進行安全“體檢”,一旦發(fā)現(xiàn)有不符合安全健康標準的客戶端在訪問局域網網絡時,立即強制其進行安全修正,或者限制其網絡訪問活動,直到不符合安全健康標準的客戶端系統(tǒng)符合訪問健康標準為止!
    撩開NAP面紗
    NAP的中文名稱為網絡訪問保護,該功能是Windows Vista系統(tǒng)中首先引入的一項功能,該功能通過強制客戶端工作站系統(tǒng)符合網絡健康標準,以便保證只有通過安全“體檢”的客戶端工作站才能正常訪問局域網網絡,從而達到預防網絡病毒襲擊服務器或局域網網絡的目的。借助NAP功能,我們可以根據(jù)實際組網情況自行定義網絡訪問健康策略,并要求對連接到網絡中的客戶端工作站系統(tǒng)進行健康策略驗證,并自動更新符合網絡訪問健康標準的客戶端工作站系統(tǒng)以保證該系統(tǒng)持續(xù)的健康符合性,同時將那些沒有通過安全“體檢”的客戶端工作站系統(tǒng)限制到受限網絡,直到它們重新符合網絡訪問健康標準。
    為了強制那些存在安全隱患的客戶端工作站系統(tǒng)能夠重新符合網絡訪問健康標準,NAP通過系統(tǒng)健康驗證器、系統(tǒng)運行狀況代理以及第三方網絡安全保護應用程序等進行互相操作,確保讓那些不符合健康“體檢”的客戶端工作站系統(tǒng)能夠自動使用我們事先指定的安全解決方案,例如更新系統(tǒng)補丁程序,安裝網絡防火墻程序,安裝防病毒軟件,使用VPN網絡連接等。
    總之,在NAP功能的幫助下,網絡管理員可以讓Windows Server 2008服務器系統(tǒng)自動為客戶端工作站進行安全“體檢”,而不需要耗費客戶端工作站自身的系統(tǒng)資源;在NAP功能的幫助下,網絡管理員可以確定正在訪問網絡的客戶端工作站系統(tǒng)是否有權訪問服務器中的資源信息,如果發(fā)現(xiàn)客戶端工作站沒有訪問權,可以不需要進行任何設置或更新,讓其直接訪問網絡管理員事先指定的受限網絡訪問;在NAP功能的幫助下,網絡管理員還可以讓Windows Server 2008服務器系統(tǒng)自動為客戶端工作站提供最新的更新,從而有效避免訪問Internet資源時可能帶來的潛在安全威脅。
    安全體檢流程
    使用NAP功能對局域網客戶端工作站進行安全體檢時,一般需要經過網絡訪問健康認證、隔離網絡、自動修正以及持續(xù)持續(xù)監(jiān)控等流程。
    為了判斷客戶端工作站是否是健康的,我們往往需要事先定義好一組訪問規(guī)則,以便通過該規(guī)則對工作站系統(tǒng)狀態(tài)進行驗證評估。當有客戶端工作站企圖與局域網網絡建立連接時,NAP功能就會自動使用安全健康程序與事先定義好的健康策略進行比較,符合這些健康策略的客戶端工作站就會被看承是安全性良好的工作站,而不符合其中任意一項健康策略的工作站就會被看成是存在安全威脅的工作站。
    對于那些存在安全威脅的工作站,我們可以通過NAP功能將工作站的網絡連接設置成各種狀態(tài),當NAP功能認為目標工作站由于不符合健康標準而被看成不安全系統(tǒng)時,那么NAP功能將會直接將該工作站隔離到受限網絡中,讓其與局域網中其他工作站邏輯隔絕開來,直至目標工作站的網絡訪問健康標準符合要求為止。
    為了方便讓那些不符合健康標準的客戶端工作站快速地恢復到健康標準,我們還可以通過NAP功能為客戶端工作站提供安全補救策略,例如更新補丁程序、安裝防火墻以及殺毒軟件等,讓那些已經處于隔離狀態(tài)的工作站不需要通過網絡管理員的手工操作就能自動修正運行狀態(tài)。當然,要實現(xiàn)自動修正目的,我們需要對受限的網絡進行合適的設置,確保該網絡能夠允許存在安全隱患的客戶端工作站訪問安裝必要的更新程序。
    對那些已經符合健康標準的客戶端工作站,NAP功能仍然會對它進行持續(xù)監(jiān)控,也就是強制客戶端工作站系統(tǒng)在訪問局域網網絡期間,而不單單在建立網絡連接的初始時候,始終監(jiān)控這些能夠保持狀態(tài)良好的網絡訪問健康策略。一旦客戶端工作站系統(tǒng)狀態(tài)與我們事先定義的健康策略不相符合時,比方說禁用了Windows系統(tǒng)防火墻,那么NAP功能將會自動重新開啟防火墻,直到恢復正常健康狀態(tài)后,才能讓客戶端工作站系統(tǒng)重新訪問網絡。