|
单位员工大部分是移动办公一族由于病毒库更新不及时系统补丁没有安装使移动办公设备处于危险状态访问内部网络时很可能威胁整个网络该如何防守网络访问这扇门呢? 笔者所在的单位是一家传媒公司有数百人的记者队伍每位记者都配备了笔记本电脑以及上网设备记者经常携带笔记本电脑出差很长时间不登录内部网络网络中统一部署了防病毒软件以及系统补丁更新记者通过VPN或者其他方式连接公司网络时连接时间非常短不能够立即下载系统补丁和病毒库由于病毒库更新不及时以及系统补丁没有安装使其笔记本电脑处于危险状态一旦感染病毒并将病毒或者木马等其他恶意软件带到内部网络中将对网络造成极大影响 有什么样的方法可以在刚登录网络时自动检测客户端计算机的安全性符合安全标准后才允许登录到网络中呢?那就是NAP网络保护策略 NAP严把关 Windows Server 提供了NAP(Network Access Protection)功能网络保护策略是任何客户端计算机(客户端以及VPN客户)必须通过网络健康检查如是否安装最新的安全补丁防病毒软件的特征库是否更新是否启用防火墙等符合安全条件后才允许进入内部网络未通过系统健康检查的计算机会被隔离到一个受限制访问网络在受限制访问网络中修复计算机的状态(如从补丁服务器下载专门的系统补丁强制开启防火墙策略等)在达到网络健康标准后才允许接入公司内部网络 Windows Server 提供了多种网络访问保护的方法最简捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服务完成网络访问保护部署该策略需要对客户端计算机进行配置在组策略中启用启用安全中心(仅限域PC)策略;启用DHCP隔离强制客户端策略启用NAP代理服务建议设置为自动启动模式 安装NPS服务 默认安装完成Windows Server 后没有安装NPS(网络访问策略)服务需要网络管理员手动安装该服务 启动服务器管理器运行角色添加向导在选择服务器角色对话框的角色列表中选择需要安装的网络策略和访问服务选项其他按默认安装即可 安装完成NPS服务后成员服务器中的DHCP服务将被新的包含NPS功能的组件所取代网络管理员需要对NPS涉及的DHCP选项进行配置在默认状态下NPS关联的组件网络访问保护没有被启用该策略在DHCP作用域属性中启用该策略 NAP通过添加的用户类作用域类别使计算机在同一作用域内的受限网络和不受限网络访问之间切换在向状态不良的客户端计算机提供租约时会使用这组特殊的作用域选项(DNS服务器DNS域名路由器等)例如提供给状态良好的客户端的默认 DNS 后缀为而提供给状态不良的客户端的DNS后缀为 配置NPS策略 NPS策略包含四部分的内容分别为网络健康验证器更新服务器组健康策略和网络策略将对加入到公司网络的计算机进行验证隔离补救以及健康策略审核 网络健康验证器评估计算机运行状态需要执行哪些检查以及设置检查列表根据设置的策略检测连接到网络中的计算机哪些是安全的哪些是不安全的例如防火墙关闭就认为不安全没安装杀毒软件就是不安全的计算机等启动网络策略服务器组件打开NPS(本地)→网络访问保护→系统健康验证器在属性列表中配置需要检测的状态如图所示 更新服务器组允许网络管理员设置状态不良的计算机可以访问的系统通过访问定义的系统状态不良的计算机将恢复到正常状态在设置的过程中注意目标服务器的IP地址和DNS域名解析要一致启动网络策略服务器组件打开NPS→网络访问保护→系统健康验证器新建一个更新服务器组设置病毒库更新服务器或者补丁更新服务器的IP地址以及名称 健康策略用于创建客户端计算机是否健康的标准建议创建两个策略一个是安全计算机策略另一个是不安全计算机的策略网络健康验证器验证出来的计算机如果是安全的就归类到安全计算机策略中如果网络健康验证器验证计算机是不安全的将归类到不安全计算机的策略启动网络策略服务器组件打开NPS→策略→健康策略新建两个健康策略一个是通过所有安全验证策略如图所示;另一个是没有通过安全健康检查策略 网络策略定义处理逻辑规则根据计算机运行状况确定如何对其进行处理网络健康验证器更新服务器组以及健康处理通过网络策略组合在一起网络策略由管理员定义用于指导NPS如何根据计算机的运行状态处理计算机NPS会从上到下评估这些策略一旦计算机与策略规则相符处理将立即停止 已经创建的两条策略分别为通过所有安全验证策略和没有通过网络安全检查策略 通过所有安全验证策略规定通过所有安全中心检查的计算机可以获得不受限制的网络访问权限没有通过网络安全检查策略对应任何未通过一项或多项 SHV(System Health Validators)检查的计算机如果有计算机与此策略相符则NPS会指示DHCP 服务器为该客户端提供一个具有特殊NAP受限作用域选项的IP租约该地址仅允许违规计算机访问更新服务器组中定义的资源启动网络策略服务器组件打开NPS(本地)→策略→网络策略为通过所有安全健康检查新建策略同时设置访问权限 NAP部署后当外出记者回到公司登录到公司的网络时首先进行客户端检测没有安装最新病毒库的计算机自动连接到病毒库更新服务器升级病毒库;没有安装系统补丁的计算机自动连接到WSUS服务器升级补丁;没有启用防火墙的计算机提示客户端启用防火墙当以上条件满足后允许客户端连接到内部网络中最大限度地保证网络安全 网络访问保护四步曲 网络访问保护主要分为四部分策略验证隔离补救和持续监控 策略验证 策略验证是指NAP根据网络管理员定义的一组规则对客户端计算机系统状态进行评估NAP在计算机尝试连接到网络时会使用安全健康程序和定义的策略相比较符合这些策略的计算机被视为状态良好的计算机而不符合其中一项或多项检查标准的计算机则被认为是状态不良的计算机 隔离 隔离可以理解为网络连接限制根据网络管理员定义的策略NAP可以将计算机的网络连接设置为各种状态例如如果一台计算机因缺少关键的安全更新而被视为状态不良则NAP可以将该计算机置于隔离网络中使其与网络中其他计算机隔绝直至恢复健康(安装补丁)为止 补救 对于已经限制连接的那些状态不良的计算机NAP 提供了补救策略被隔离的计算机无需网络管理员干预即可纠正运行状态受限的网络允许状态不良的计算机访问安装必要的更新程序 持续监控 持续监控即强制计算机在与网络保持连接期间而不仅仅在初始连接时始终监控这些可保持状态良好的策略该计算机状态如果与策略不相符合例如禁用了Windows防火墙则NAP将自动开启防火墙直至恢复正常状态后才可访问网络 |
