在組網(wǎng)規(guī)模相對(duì)大一些的局域網(wǎng)工作環(huán)境中，連接到網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)安全狀況也是各不相同，好一些的既有殺毒軟件又有網(wǎng)絡(luò)防火墻的保護(hù)，一般化的往往是只安裝了殺毒軟件、防火墻中的一種，最差的當(dāng)然是什么也沒有安裝了。那些沒有任何安全防護(hù)的計(jì)算機(jī)一旦連接到局域網(wǎng)中時(shí)，病毒、木馬很可能會(huì)通過(guò)網(wǎng)絡(luò)襲擊局域網(wǎng)中的文件服務(wù)器或其他重要計(jì)算機(jī)，嚴(yán)重時(shí)能導(dǎo)致局域網(wǎng)網(wǎng)絡(luò)發(fā)生癱瘓現(xiàn)象。那對(duì)于局域網(wǎng)管理員來(lái)說(shuō)，該如何才能有效制止那些沒有采取任何安全措施的計(jì)算機(jī)直接連接到局域網(wǎng)中呢？對(duì)于這樣的難題，網(wǎng)絡(luò)管理員們好像始終沒有找到有效的應(yīng)對(duì)辦法；不過(guò)，自從有了WindowsServer 2008系統(tǒng)后，這樣的難題就被迎刃而解了，因?yàn)樵撓到y(tǒng)推出了一種新的安全防護(hù)措施——網(wǎng)絡(luò)訪問(wèn)保護(hù)功能，該功能會(huì)自動(dòng)對(duì)訪問(wèn)局域網(wǎng)的所有普通計(jì)算機(jī)強(qiáng)制進(jìn)行安全檢查，如果發(fā)現(xiàn)其安全健康標(biāo)準(zhǔn)不達(dá)標(biāo)時(shí)，會(huì)責(zé)令其立即采取安全修正措施，或者干脆禁止其訪問(wèn)局域網(wǎng)網(wǎng)絡(luò)，那樣一來(lái)局域網(wǎng)網(wǎng)絡(luò)的安全性就能得到有效保證了！

走近網(wǎng)絡(luò)訪問(wèn)保護(hù)

網(wǎng)絡(luò)訪問(wèn)保護(hù)功能，其實(shí)并不是WindowsServer 2008系統(tǒng)所特有的，早在Windows Vista系統(tǒng)中該功能就被推出了，只是該功能在Windows Server 2008組網(wǎng)環(huán)境中有了更大的用武之地；網(wǎng)絡(luò)訪問(wèn)保護(hù)功能可以對(duì)連接到局域網(wǎng)中的所有普通計(jì)算機(jī)強(qiáng)行執(zhí)行安全檢查，以便確保那些通過(guò)安全檢查的普通計(jì)算機(jī)才能連接到局域網(wǎng)中，對(duì)于那些安全標(biāo)準(zhǔn)不達(dá)標(biāo)的普通計(jì)算機(jī)來(lái)說(shuō)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能則會(huì)強(qiáng)制其及時(shí)采取相關(guān)措施進(jìn)行安全防護(hù)，或者干脆禁止其訪問(wèn)局域網(wǎng)網(wǎng)絡(luò)，那樣一來(lái)局域網(wǎng)網(wǎng)絡(luò)的安全性就能得到有效保證了。

不同的局域網(wǎng)工作環(huán)境，對(duì)網(wǎng)絡(luò)訪問(wèn)的安全性要求是不相同的，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能可以允許網(wǎng)絡(luò)管理員依照局域網(wǎng)的實(shí)際組網(wǎng)情況，來(lái)個(gè)性化定制網(wǎng)絡(luò)訪問(wèn)健康策略，并能靈活地指定究竟哪些計(jì)算機(jī)連接到局域網(wǎng)中時(shí)需要進(jìn)行健康策略安全驗(yàn)證；當(dāng)局域網(wǎng)中有計(jì)算機(jī)沒有通過(guò)網(wǎng)絡(luò)訪問(wèn)保護(hù)功能的安全檢查時(shí)，該功能還允許網(wǎng)絡(luò)管理員通過(guò)合適設(shè)置，來(lái)指定這些沒有安全達(dá)標(biāo)的普通計(jì)算機(jī)是連接到一個(gè)受限制的網(wǎng)絡(luò)，還是進(jìn)行其他安全修正操作，直到它們的安全檢查符合網(wǎng)絡(luò)訪問(wèn)保護(hù)功能設(shè)定的健康策略為止。

為了讓那些安全措施不合格的普通計(jì)算機(jī)能夠重新通過(guò)安全審查，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能特意內(nèi)置了系統(tǒng)運(yùn)行狀況代理、系統(tǒng)健康驗(yàn)證器、第三方網(wǎng)絡(luò)安全保護(hù)應(yīng)用程序等功能組件，來(lái)幫助普通計(jì)算機(jī)自動(dòng)使用網(wǎng)絡(luò)管理員之前設(shè)置好的安全解決方案，比方說(shuō)安裝殺毒軟件、更新補(bǔ)丁程序、使用虛擬連接通道、安裝防火墻程序等。

當(dāng)然，我們?cè)谶@里需要弄清楚的是，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能自身是沒有抵抗入侵、查殺病毒木馬本領(lǐng)的，它其實(shí)是起一種牽頭、協(xié)調(diào)作用，將局域網(wǎng)中的安全措施、安全設(shè)置以及第三方安全工具協(xié)調(diào)好，讓它們?cè)陉P(guān)鍵時(shí)刻各司其責(zé)、分工協(xié)作，共同保護(hù)局域網(wǎng)網(wǎng)絡(luò)能夠安全運(yùn)行。

網(wǎng)絡(luò)訪問(wèn)保護(hù)原理

利用網(wǎng)絡(luò)訪問(wèn)保護(hù)功能保護(hù)局域網(wǎng)運(yùn)行安全時(shí)，往往需要經(jīng)過(guò)安全健康認(rèn)證檢查、網(wǎng)絡(luò)安全隔離、強(qiáng)制安全修正以及持續(xù)安全監(jiān)控等工作環(huán)節(jié)。

為了檢查普通計(jì)算機(jī)的安全性是否符合要求，我們必須之前就要定義好一組安全健康標(biāo)準(zhǔn)，以便通過(guò)該健康標(biāo)準(zhǔn)對(duì)普通計(jì)算機(jī)進(jìn)行安全評(píng)估。當(dāng)有普通計(jì)算機(jī)嘗試連接局域網(wǎng)網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能就會(huì)自動(dòng)使用安全健康標(biāo)準(zhǔn)對(duì)照檢查普通計(jì)算機(jī)的安全狀況，一旦發(fā)現(xiàn)普通計(jì)算機(jī)不符合安全健康標(biāo)準(zhǔn)時(shí)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能就會(huì)認(rèn)定它們?yōu)椴话踩挠?jì)算機(jī)。對(duì)于那些不安全的普通計(jì)算機(jī)來(lái)說(shuō)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能可以通過(guò)合適設(shè)置將普通計(jì)算機(jī)的網(wǎng)絡(luò)連接設(shè)置成適當(dāng)狀態(tài)，例如可以將不安全的計(jì)算機(jī)設(shè)置成隔離狀態(tài)，讓其從局域網(wǎng)網(wǎng)絡(luò)中邏輯隔絕開來(lái)，直到普通計(jì)算機(jī)通過(guò)安全檢查為止。

為了讓那些不安全的普通計(jì)算機(jī)快速恢復(fù)到安全狀態(tài)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能的強(qiáng)制安全修正環(huán)節(jié)會(huì)自動(dòng)要求不安全的計(jì)算機(jī)連接到指定的服務(wù)器中下載、安裝網(wǎng)絡(luò)病毒程序或系統(tǒng)漏洞補(bǔ)丁程序；對(duì)于那些安全的普通計(jì)算機(jī)來(lái)說(shuō)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能仍然會(huì)對(duì)它們進(jìn)行繼續(xù)監(jiān)控。

將網(wǎng)絡(luò)訪問(wèn)保護(hù)啟用好

由于網(wǎng)絡(luò)訪問(wèn)保護(hù)功能具有很好的預(yù)防免疫特點(diǎn)，不少網(wǎng)絡(luò)管理員常常會(huì)下意識(shí)地使用該功能，來(lái)有效保障局域網(wǎng)的運(yùn)行安全性。Windows Server 2008系統(tǒng)在缺省狀態(tài)下，并沒有自動(dòng)安裝運(yùn)行網(wǎng)絡(luò)訪問(wèn)保護(hù)功能，為此我們需要采取如下步驟來(lái)手工將網(wǎng)絡(luò)訪問(wèn)保護(hù)功能啟用好：

首先以系統(tǒng)特權(quán)賬號(hào)登錄進(jìn)Windows Server 2008系統(tǒng)，打開系統(tǒng)“開始”菜單，從中依次單擊“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng)命令，在彈出的服務(wù)器管理器窗口左側(cè)子窗格中，用鼠標(biāo)點(diǎn)選其中的“角色”分支選項(xiàng)；

圖1 開始之前

其次在目標(biāo)分支選項(xiàng)對(duì)應(yīng)的右側(cè)子窗格中單擊“添加角色”按鈕，打開如圖1所示的安裝向?qū)гO(shè)置界面，依照向?qū)гO(shè)置界面的提示，我們不難看出要想將網(wǎng)絡(luò)訪問(wèn)保護(hù)功能成功啟用好，既要保證Windows Server 2008系統(tǒng)已經(jīng)通過(guò)Windows Update程序?qū)Ρ镜叵到y(tǒng)進(jìn)行了最新的安全更新操作，又要確保Windows Server 2008系統(tǒng)的上網(wǎng)參數(shù)全部設(shè)置正確，同時(shí)要求登錄Windows Server 2008系統(tǒng)的所有用戶都必須使用強(qiáng)密碼訪問(wèn)局域網(wǎng)服務(wù)器；

在確認(rèn)上面的各項(xiàng)安裝要求都符合條件后，單擊安裝向?qū)Ы缑嬷械摹跋乱徊健卑粹o，隨后屏幕上會(huì)彈出服務(wù)器角色選擇列表對(duì)話框，檢查“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”功能選項(xiàng)有沒有被選中；正常情況下，“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”功能選項(xiàng)不會(huì)被Windows Server 2008系統(tǒng)默認(rèn)選中的，換句話說(shuō)就是網(wǎng)絡(luò)訪問(wèn)保護(hù)功能并不會(huì)被Windows系統(tǒng)自動(dòng)安裝成功；

當(dāng)發(fā)現(xiàn)“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”功能選項(xiàng)確實(shí)沒有被選中時(shí)，那我們就需要將該功能選項(xiàng)重新選中，同時(shí)單擊“下一步”按鈕，之后屏幕上將會(huì)出現(xiàn)網(wǎng)絡(luò)策略、訪問(wèn)服務(wù)等方面的說(shuō)明信息，我們從這些說(shuō)明信息中能夠知道網(wǎng)絡(luò)訪問(wèn)保護(hù)功能不但可以保護(hù)本地網(wǎng)絡(luò)安全，也能保護(hù)遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)安全；　

圖2 角色服務(wù)器設(shè)定

緊接著再單擊安裝向?qū)Ы缑嬷械摹跋乱徊健卑粹o，在彈出的如圖2所示向?qū)гO(shè)置窗口中，將“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)目選中，并且將相關(guān)子項(xiàng)也選中，下面再單擊“安裝”按鈕，如此一來(lái)Windows Server 2008系統(tǒng)就會(huì)開始自動(dòng)安裝啟用網(wǎng)絡(luò)訪問(wèn)保護(hù)功能了。

不過(guò)網(wǎng)絡(luò)訪問(wèn)保護(hù)功能啟用運(yùn)行后，還不能立即發(fā)揮應(yīng)有的作用，我們還需要進(jìn)入對(duì)應(yīng)的功能設(shè)置窗口對(duì)局域網(wǎng)訪問(wèn)操作進(jìn)行安全、防護(hù)配置操作。此外，由于Windows Server 2008系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)保護(hù)功能已經(jīng)將DHCP服務(wù)器組件集成在其中，我們還需要對(duì)局域網(wǎng)中的DHCP服務(wù)器進(jìn)行正確設(shè)置，確保網(wǎng)絡(luò)訪問(wèn)保護(hù)功能能夠自動(dòng)對(duì)任何訪問(wèn)局域網(wǎng)的普通計(jì)算機(jī)起到安全保護(hù)作用。

將安全保護(hù)參數(shù)配置好

為了讓網(wǎng)絡(luò)訪問(wèn)保護(hù)功能能夠按照我們的指定要求對(duì)局域網(wǎng)中的普通計(jì)算機(jī)進(jìn)行安全檢查，我們必須對(duì)網(wǎng)絡(luò)訪問(wèn)保護(hù)功能下面的各個(gè)子程序組件進(jìn)行合適配置，例如對(duì)策略驗(yàn)證參數(shù)、隔離連接參數(shù)、自動(dòng)修正或持續(xù)監(jiān)控參數(shù)進(jìn)行配置。下面就是配置網(wǎng)絡(luò)訪問(wèn)保護(hù)功能參數(shù)的具體操作步驟：

首先以系統(tǒng)特權(quán)賬號(hào)登錄進(jìn)Windows Server 2008系統(tǒng)，打開系統(tǒng)“開始”菜單，從中依次單擊“程序”/“管理工具”/“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)命令，打開如圖3所示的網(wǎng)絡(luò)策略服務(wù)器設(shè)置窗口，在該窗口中我們可以創(chuàng)建和強(qiáng)制實(shí)施用于整個(gè)組織范圍內(nèi)的客戶端健康、連接請(qǐng)求身份驗(yàn)證和連接請(qǐng)求授權(quán)的網(wǎng)絡(luò)訪問(wèn)策略；

圖3 健康策略

普通計(jì)算機(jī)究竟是不是健康的，這需要我們利用圖3界面中的健康策略功能選項(xiàng)，來(lái)自行定義健康安全標(biāo)準(zhǔn)，該健康安全策略往往與其他安全保護(hù)組件互相配合在一起才能發(fā)揮作用。一般來(lái)說(shuō)，網(wǎng)絡(luò)管理員先要在局域網(wǎng)服務(wù)器中創(chuàng)建好兩個(gè)基礎(chǔ)健康安全策略，那就是安全的健康策略和不安全的健康策略，普通計(jì)算機(jī)只有符合安全策略的規(guī)定才能被Windows Server 2008系統(tǒng)網(wǎng)絡(luò)訪問(wèn)保護(hù)功能看成是健康計(jì)算機(jī)，而那些符合不安全策略規(guī)定的普通計(jì)算機(jī)則會(huì)被網(wǎng)絡(luò)訪問(wèn)保護(hù)功能認(rèn)為是不健康計(jì)算機(jī)。

在為普通計(jì)算機(jī)創(chuàng)建新的安全策略時(shí)，我們可以將鼠標(biāo)定位于圖3界面左側(cè)顯示區(qū)域中的“策略”節(jié)點(diǎn)選項(xiàng)上，再?gòu)脑撨x項(xiàng)下面選中“健康策略”子項(xiàng)，同時(shí)用鼠標(biāo)右鍵單擊該子項(xiàng)，從彈出的右鍵菜單中執(zhí)行“新建”命令，在隨后出現(xiàn)的設(shè)置對(duì)話框中，我們可以為新的安全健康策略取一個(gè)合適的名稱，例如這里我們將該名稱取為“安全策略”，此外我們還需要將“客戶端SHV檢查”選項(xiàng)設(shè)置成“客戶端通過(guò)了所有SHV檢查”，再單擊“確定”按鈕保存好上述參數(shù)設(shè)置操作，那樣的話普通計(jì)算機(jī)的安全健康策略就算創(chuàng)建成功了。同樣地，我們可以按照上面的操作步驟，再為普通計(jì)算機(jī)創(chuàng)建一個(gè)不安全策略，在創(chuàng)建的時(shí)候唯一與上面操作不相同的是必須將對(duì)應(yīng)策略的“客戶端SHV檢查”設(shè)置選項(xiàng)調(diào)整成“客戶端未能通過(guò)所有SHV檢查”。　

由于之前的健康策略中包含了SHV檢查，那么SHV檢查究竟要對(duì)普通計(jì)算機(jī)的哪些方面進(jìn)行安全健康檢查呢？為此我們需要利用圖3界面中的系統(tǒng)健康驗(yàn)證器，來(lái)自行定義安全檢查的范圍和內(nèi)容，例如定義凡是那些沒有安裝殺毒程序的普通計(jì)算機(jī)都是一些不安全的計(jì)算機(jī)，凡是關(guān)閉了網(wǎng)絡(luò)防火墻程序的普通計(jì)算機(jī)也是不健康的計(jì)算機(jī)等！在利用系統(tǒng)健康驗(yàn)證器功能定義安全檢查內(nèi)容時(shí)，我們可以先將鼠標(biāo)定位于圖3界面左側(cè)顯示區(qū)域中的“網(wǎng)絡(luò)訪問(wèn)保護(hù)”節(jié)點(diǎn)選項(xiàng)上，從該選項(xiàng)下面選中“系統(tǒng)健康驗(yàn)證器”子項(xiàng)，同時(shí)用鼠標(biāo)右鍵單擊該子項(xiàng)下面的“Windows安全健康驗(yàn)證程序”選項(xiàng)，從其后出現(xiàn)的快捷菜單中點(diǎn)選“屬性”命令，再在其后窗口中單擊“配置”按鈕，打開如圖4所示的設(shè)置窗口，在該設(shè)置窗口中我們可以依照實(shí)際組網(wǎng)情況選用或取消各種安全參數(shù)設(shè)置，比方說(shuō)如果局域網(wǎng)對(duì)安全要求非常高時(shí)，我們可以選中圖4界面中的“已為所有網(wǎng)絡(luò)連接啟用網(wǎng)絡(luò)防火墻”、“防病毒軟件已經(jīng)啟用”、“防間諜軟件已經(jīng)啟用”、“已啟用自動(dòng)更新”等相關(guān)安全設(shè)置選項(xiàng)，普通計(jì)算機(jī)日后只有符合這里指定的所有安全檢查驗(yàn)證，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能才會(huì)認(rèn)為該普通計(jì)算機(jī)系統(tǒng)符合安全檢查，并允許該計(jì)算機(jī)連接到局域網(wǎng)網(wǎng)絡(luò)中。

圖5 新建更新服務(wù)器組

對(duì)于那些沒有通過(guò)安全檢查的普通計(jì)算機(jī)來(lái)說(shuō)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能還允許我們通過(guò)合適設(shè)置，來(lái)責(zé)令它們及時(shí)采取安全修正措施，例如我們可以設(shè)置網(wǎng)絡(luò)訪問(wèn)保護(hù)功能強(qiáng)制不安全的普通計(jì)算機(jī)從局域網(wǎng)中指定更新服務(wù)器中自動(dòng)安裝更新網(wǎng)絡(luò)病毒庫(kù)程序或系統(tǒng)漏洞補(bǔ)丁程序，直到普通計(jì)算機(jī)符合健康安全檢查為止。在強(qiáng)制不安全的計(jì)算機(jī)自動(dòng)連接局域網(wǎng)中的指定更新服務(wù)器時(shí)，我們可以先將鼠標(biāo)定位于圖3界面左側(cè)顯示區(qū)域中的“網(wǎng)絡(luò)訪問(wèn)保護(hù)”節(jié)點(diǎn)選項(xiàng)上，從該選項(xiàng)下面選中“更新服務(wù)器組”子項(xiàng)，同時(shí)用鼠標(biāo)右鍵單擊該子項(xiàng)，從其后出現(xiàn)的快捷菜單中點(diǎn)選“新建”命令，打開如圖5所示的設(shè)置對(duì)話框，單擊其中的“添加”按鈕，之后輸入指定病毒庫(kù)服務(wù)器或系統(tǒng)補(bǔ)丁服務(wù)器對(duì)應(yīng)的主機(jī)名稱或IP地址，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來(lái)那些沒有通過(guò)安全檢查的普通計(jì)算機(jī)日后就能自動(dòng)連接到局域網(wǎng)指定的病毒庫(kù)服務(wù)器或補(bǔ)丁服務(wù)器，去自動(dòng)安裝、更新網(wǎng)絡(luò)病毒程序或系統(tǒng)補(bǔ)丁程序了。一旦網(wǎng)絡(luò)病毒程序或系統(tǒng)補(bǔ)丁程序安裝更新好后，普通計(jì)算機(jī)再次連接到局域網(wǎng)中時(shí)，網(wǎng)絡(luò)訪問(wèn)保護(hù)功能就會(huì)認(rèn)為該計(jì)算機(jī)符合安全健康檢查，并認(rèn)為它是健康的計(jì)算機(jī)了，從而允許該計(jì)算機(jī)能夠正常連接到局域網(wǎng)網(wǎng)絡(luò)中了。

當(dāng)然，要使上面的各項(xiàng)設(shè)置正式生效，我們還需要將路由器自帶的DHCP功能給關(guān)閉掉，并啟用網(wǎng)絡(luò)訪問(wèn)保護(hù)功能內(nèi)置的DHCP功能，來(lái)協(xié)同配合網(wǎng)絡(luò)訪問(wèn)保護(hù)功能來(lái)完成對(duì)局域網(wǎng)普通計(jì)算機(jī)的安全檢查，以便禁止任何不安全因素影響局域網(wǎng)的運(yùn)行。