Win2008 网络策略设置方法 让访问更安全

那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中!

认识网络策略

为了有效保护网络以及服务器系统的安全,Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查,比方说普通工作站中是否安装了防火墙程序,是否及时更新了病毒库内容,是否安装了最新版本的系统补丁程序等,只有当普通工作站符合各种安全检查之后,服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络,或者降低服务器的访问权限。在被隔离到另外一个受限网络中时,普通工作站需要及时通过受限网络来修复该工作站的安全状态,比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序,强制启用系统中的防火墙程序等,在符合网络安全条件之后,该工作站往往就能正常访问服务器系统中的任何内容了。

  安装网络策略服务器

  虽然Windows Server 2008系统已经内置了网络策略服务器功能,不过在默认状态下该功能并没有被启用,此时我们只有先将该功能组件安装起来,才能利用该功能的安全防范本领来保护服务器系统的安全。

  在安装网络策略组件时,我们首先要以系统管理员权限进入到Windows Server 2008系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器窗口;

  在该服务器管理器窗口的左侧显示区域,选中“角色”选项,在对应该选项的右侧显示区域中,单击“添加角色”功能图标,打开角色添加向导设置窗口;从该设置窗口的提示信息中,我们看到要安装网络策略组件需要做好三个方面的准备工作,第一就是确保管理员账号具有强密码,第二就是保证网络设置已经配制好,第三就是已经安装Windows Update中的最新安全更新;

 在确认上面的各项准备工作已经完成后,单击“下一步”按钮,打开如图1所示的服务器角色列表窗口中,在这里我们看到服务器系统在默认状态下并没有选中“网络策略和访问服务”功能组件,这说明网络策略功能此时并没有被安装;此时,我们可以及时选中这里的“网络策略和访问服务”选项,再单击“下一步”按钮;当屏幕上出现如图2所示的角色服务列表窗口时,选中“网络策略服务器”选项,继续单击“下一步”按钮,最后单击“安装”按钮,这样一来服务器系统就会自动将所选的角色、角色服务依次安装好了。

  当网络策略组件安装操作结束后,系统会自动弹出提示现在可以利用该功能组件来配置服务器系统的网络访问保护了;并且此时此刻服务器系统中的DHCP服务也会自动将被新安装的网络策略服务器组件所替代,我们必须对网络策略服务器涉及的相关DHCP参数进行正确配置,才能起到很好的网络安全保护效果。在缺省状态下,Windows Server 2008系统并没有将与网络策略服务器相关的“网络访问保护”组件启用起来,这需要我们在网络策略服务器的DHCP作用域属性中进行手工启用。

  设置网络策略服务器

  在成功安装好网络策略服务器功能组件后,我们现在就能进入网络策略服务器来对它正确进行配置了,以便让它及时发挥作用,保护服务器系统的安全。

  首先打开Windows Server 2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“网络策略服务器”选项,打开网络策略服务器控制台窗口,如图3所示;

  在该控制台窗口的左侧显示区域,我们发现网络策略服务器包含四方面的内容,它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件,这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护;

  使用连接请求策略,我们能够指定是在本地处理连接请求,还是将其转发到远程Radius服务器中去处理;

  选用健康策略我们可以自定义普通工作站是否健康的标准,该策略通常与网络访问保护组件一起配合使用。一般来说,我们通常需要在服务器系统中创建好两个基本策略,其中一个策略就是安全工作站的策略,另外一个就是不安全工作站的策略。创建安全工作站的策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“策略”/“健康策略”选项,用鼠标右键单击“健康策略”选项,从弹出的快捷菜单中选择“新建”命令,打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”,将“客户端SHV检查”设置为“客户端通过了所有SHV检查”,再单击“确定”按钮,这样一来安全工作站策略就创建成功了。同样地,我们可以再创建一个“不安全工作站”策略,并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。

  那么究竟哪些工作站是安全的呢,又有哪些工作站是不安全的呢?这需要借助网络访问保护组件下面的系统健康验证器进行评估!而系统健康验证器将会强制检查普通工作站的一些设置,并将这些设置对照事先已经设置好的相关安全策略,来评估普通工作站究竟属于安全范围的还是不安全范围的。比方说,我们假定系统如果不安装防火墙和杀毒软件的话,那就认定该工作站系统是不安全的;在配置这种安全策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“系统健康验证器”选项,在对应该选项的右侧显示区域中,用鼠标右键单击“Windows安全健康验证程序”选项,从弹出的快捷菜单中执行“属性”命令,在其后出现的属性设置窗口中单击“配置”按钮,打开如图5所示的配置界面,在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项,最后单击“确定”按钮结束Windows安全健康验证配置操作,这么一来日后只要普通工作站安装了防火墙和杀毒软件,Windows Server 2008系统就认为该工作站是安全的工作站。

  当Windows Server 2008系统检测到普通工作站属于不安全工作站时,网络策略服务器还提供了补救措施,以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器,从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库,我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统,以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“更新服务器组”选项,再用鼠标右键单击“更新服务器组”选项,从弹出的快捷菜单中执行“新建”命令,打开如图6所示的创建对话框,单击该对话框中的“添加”按钮,在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址,这么一来日后普通工作站被检测为不安全时,那它就会自动连接到系统补丁更新服务器或病毒库更新服务器,来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后,再次访问Windows Server 2008系统时,该系统就会认为它是安全工作站,此时该工作站就能允许连接到服务器系统中,那样一来我们就能最大限度地保证服务器系统的安全了。

  当然,需要在这里提醒各位的是,上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起,才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如,当发现普通工作站与不安全工作站策略相符时,那么我们可以定义网络策略,来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约,确保该工作站地址只能访问指定更新服务器组中定义的系统。

(0)

相关推荐

  • WIN2008 R2上安全加强方面的四点注意事项!

    1.2008R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限. 2.注册表同的项也是这样,所有者为TrustedInstaller. 3.如果要修改文件权限时应该先设置 管理员组 administrators 为所有者,再设置其它权限. 4.如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,不然还是删除不掉!

  • Win2008 远程控制安全设置技巧

    为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系统进行合适设置,才能保证远程控制Windows Server 2008服务器系统的安全性. 1.只允许指定人员进行远程控制 如果允许任何一位普通用户随意对Windows Server 2008服务器系统进行远程控制时,那该服务器系统的安全性肯定很难得到有效保证.有鉴于此,我们可以对Windows Server

  • win2008,Windows2008安全,限制匿名访问设置方法

    Windows Server家族操作系统一直有一个弱点就是Administrators组用户权限很高,如远程IPC连接.终端服务登录,使用管理员帐号是不受限制的,这和Windows XP.Windows Vista有着本质的区别,今天Vista地带就来说一下如何防止黑客建立IPC$空连接,这样就防止远程用户的匿名访问,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支,在右边修改RestrictAnonymo

  • Win2008服务器或VPS安全配置基础教程

    当然,这里的安全设置教程对Windows Server 2003同样有效,只是部分步骤有所不同,仅供参考. 其实,不管是windows服务器系统,还是linux服务器系统,只要设置好安全策略,都能最大程度上地保证服务器安全,说不上用linux一定比windows安全,关键是看你怎么用,怎么设置安全策略,怎么避免漏洞被利用;windows服务器系统要保证安全,关键是要避免这个系统的漏洞被利用.下面是具体的安全配置基础教程,仅供参考,按个人喜欢而设置: 修改管理员账号及密码 windows 2008

  • Win2008远程控制确保安全的设置技巧

    虽然这种控制方式可以提高网络管理效率,但是远程控制方式带来的安全威胁往往也容易被管理人员忽视.为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系统进行合适设置,才能保证远程控制Windows Server 2008服务器系统的安全性. 1.只允许指定人员进行远程控制 如果允许任何一位普通用户随意对Windows Server 2008服务器系统进行远程控制时

  • IIS7.5 安全配置研究(推荐)

    操作系统:Windows Server 2008 R2 Enterprise Service Pack 1 x64 IIS版本:IIS7.5 程序:asp.net IIS7.5的安装 http 常见功能:开启静态内容,默认文档,HTTP错误:目录浏览,WebDAV发布如无特殊要求,不要开启:HTTP重定向可根据需要开启. 应用程序开发:这个可根据实际情况开启,如为asp.net的开启ASP.NET,.NET扩展性,ISAPI扩展,ISAPI筛选:在服务器端的包含文件根据需要开启.如果服务器安装s

  • win2008 R2安装网站安全狗提示HTTP 错误 500.21的解决方法

    WINDOWS 2008 R2系统+IIS7.5,在没安装网站安全狗前一切正常,安装网站安全狗3.3版后,有部分php网站无法访问.提示如下错误: HTTP 错误 500.21 - Internal Server Error 处理程序"SafedogIISAuditor64"在其模块列表中有一个错误模块"IsapiModule" 解决方法: 检查IIS7.5是否添加asp.net扩展性组件,没有安装请安装. 再检查IIS7.5是否安装IIS6.0管理兼容性,没有安装

  • Win2008 网络策略设置方法 让访问更安全

    那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?要做到这一点,我们可以通过设置Windows Server 2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中! 认识网络策略 为了有效保护网络以及服务器系统的安全,Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健

  • Ubuntu修改密码及密码复杂度策略设置方法

    一.修改密码 1.修改普通用户密码 passwd 先输入当前密码确认,然后输入新的密码修改 2.修改root用户密码 sudo passwd root 默认root用户被禁止登录,如果需要解除限制,修改配置即可 sudo vim /etc/ssh/sshd_config 将默认配置注释掉,添加一行新的配置,默认的配置为允许root登录,但是禁止root用密码登录 PermitRootLogin prohibit-password → PermitRootLogin yes sudo servic

  • Win2008支持PowerShell设置方法

    [问]Win2008支持PowerShell吗 哪里有下载? [答]最近网友可能看了Vista地带的PowerShell教程或体验了Win2008没有找到Winodws Server 2008的PowerShell下载.目前微软PowerShell 提供Windows XP SP2.Windows Server 2003 SP1以及Windows Vista操作系统.同时最新的Windows Server 2008操作系统已经自带了PowerShell组件,但是默认情况下没有安装.我们可以参考下

  • MAC VMWare Fusion网络设置方法

    1.查看主机的IP网段(我在房东的网络下接了路由器),192.168.28.117. 2.修改 /Library/Preferences/VMware Fusion/vmnet8 目录下的nat.conf文件 网关的设置要两个配置文件相同,一般为28.2的ip,其它的配置的IP需要更改. 一般换了网络环境以后,VMware内的虚拟机设置为固定IP的,以NAT方式与主机共享的网络需要重新进行设置. DNS设置为vmnet8的网关,其它的设置与主机在同一网段,不与局域网内的IP冲突就可以了. 在 /

  • 在MySQL中修改密码及访问限制的设置方法详解

    由于其源码的开放性及稳定性,且与网站流行编 挥镅 PHP的完美结合,现在很多站点都利用其当作后端数据库,使其获得了广泛应用.处于安全方面的考虑,需要为每一用户赋于对不同数据库的访问限制,以满足不同用户的要求.下面就分别讨论,供大家参考.    一.MySQL修改密码方法总结  首先要说明一点的是:一般情况下,修改MySQL密码是需要有mysql里的root权限的,这样一般用户是无法更改密码的,除非请求管理员帮助修改.    方法一    使用phpMyAdmin  (图形化管理MySql数据库的

  • C++设置系统时间及系统时间网络更新的方法

    本文实例讲述了C++设置系统时间及系统时间网络更新的方法.分享给大家供大家参考.具体实现方法如下: 复制代码 代码如下: //根据返回的时间设置系统时间 void setTimeFromTP(ULONG ulTime) {      FILETIME ft;      SYSTEMTIME st;        //将基准时间转换成windows文件时间      st.wYear = 1900;      st.wMonth = 1;      st.wDay = 1;      st.wHo

  • IIS的web.config中跨域访问设置方法

    需求:页面要显示1个图片,但是因为各种原因,导致图片在服务器2上,但是要展示的程序在服务器1 的上面,这样就造成了在显示的时候出现了跨域的问题,本来的思路为直接写个程序进行后台获得图片的路径,然后把图片进行下载出来,然后返回服务器1的图片地址,但是,由于这个周期不确定性和现阶段项目的紧迫性,就放弃了.转为第2中方式,通过js 把图片下载到服务器上..找了下资料和别人沟通了下后,发现不能实现,然后准备用js+canvas 进行实现保存到本地,然后发现好像只能实现保存到本地.然后问题又回到了原点:就

  • win2008 服务器安全设置部署文档(推荐)

    年前一直在赶项目,到最后几日才拿到新服务器新添加的硬盘,重做阵列配置生产环境,还要编写部署文档做好安全策略,交给测试部门与相关部门做上线前最后测试,然后将部署文档交给相关部门同事,让他根据部署文档再做一次系统,以保证以后其他同事能自己正常部署服务器,最后终于赶在放假前最后一天匆忙搞定测试后,简单的指导同事按部署文档将服务器重新部署了一次就先跑路回家了,剩下的就留给加班的同事负责将服务器托管到机房了.年后回来上班后按工作计划开始做文档(主要对之前编写的部署文档进行修正和将相关未添加的安全策略添加进

  • win2003 多用户远程登录设置方法(图文)

    Windows Server 2003默认情况下允许远程终端连接的数量是2个用户,我们可以根据需要适当增加远程连接同时在线的用户数. 下面将详细实现多用户登录Windows Server 2003操作系统步骤描述以供参考: 首先安装"终端服务器"组建,在"控制面板"下"添加或删除程序"中选择"添加或删除windows组件"在弹出的对话框中加选"终端服务器"选项(如图1) 图1 随后,安装程序会对您所安装的系

  • JavaScript同源策略和跨域访问实例详解

    本文实例讲述了JavaScript同源策略和跨域访问.分享给大家供大家参考,具体如下: 1. 什么是同源策略 理解跨域首先必须要了解同源策略.同源策略是浏览器上为安全性考虑实施的非常重要的安全策略. 何谓同源: URL由协议.域名.端口和路径组成,如果两个URL的协议.域名和端口相同,则表示他们同源. 同源策略: 浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性. (白帽子讲web安全[1]) 从一个域上加

随机推荐