公司里有很多人用移動辦公設備��,很可能各種問題:如病毒庫更新不及時��、系統(tǒng)補丁沒有安裝等情況�,當這樣狀態(tài)不健康的計算機接入公司內網后,可能給公司網絡帶來危險�。這時就可用NPS把關了。當然要實現網絡訪問保護策略要先安裝NPS服務���,管理員可通過“服務器管理器”中的“角色添加”向導手工添加NPS服務�。進而在DHCP服務中進行相應設置。就可以配置NPS策略��。NPS策略包含四部分的內容�����,分別為:網絡健康驗證器�、更新服務器組、健康策略和網絡策略�����,將對加入到公司網絡的計算機進行驗證�、隔離、補救以及健康策略審核�。
NAP部署后,當外出用戶回到公司登錄到公司的網絡時���,首先進行客戶端檢測���,沒有安裝最新病毒庫的計算機,自動連接到病毒庫更新服務器升級病毒庫;沒有安裝系統(tǒng)補丁的計算機,自動連接到WSUS服務器升級補丁;沒有啟用防火墻的計算機���,提示客戶端啟用防火墻����。當以上條件滿足后�,允許客戶端連接到內部網絡中,最大限度地保證網絡安全�。
三. 應用程序控制策略(AppLocker)
AppLocker 是 Windows 7 中的新功能,Windows Server 2008 R2 中可用于取代了軟件限制策略功能���。AppLocker 包含減少管理開銷的新功能和擴展(如可執(zhí)行文件�、腳本���、Windows Installer 文件和 DLL)�,幫助管理員控制用戶如何訪問和使用文件��。使用 AppLocker��,您可以:
1.基于從數字簽名派生的文件屬性(包括發(fā)布者�、產品名稱�、文件名和文件版本)定義規(guī)則。例如,可以根據更新過程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則��,或者為特定版本的文件創(chuàng)建規(guī)則��。
2.向安全組或單個用戶分配規(guī)則�����。
3.創(chuàng)建規(guī)則的例外�。例如,可以創(chuàng)建一個規(guī)則��,允許除注冊表編輯器(Regedit.exe)之外的所有 Windows 進程運行�。
4.使用僅審核模式部署策略并了解其影響,然后再強制該策略����。
5.導入和導出規(guī)則。導入和導出影響整個策略���。例如�����,如果導出策略��,則會導出所有規(guī)則集合中的所有規(guī)則��,包括規(guī)則集合的強制設置���。如果導入策略�,則會覆蓋現有策略�。
6.使用 AppLocker PowerShell cmdlet 簡化 AppLocker 規(guī)則的創(chuàng)建和管理。
通過應用程序控制策略可以很容易做到:1.減少運行惡意軟件的機會���,因為我們可以限制用戶運行這些應用程序(可以直接對某些可疑用戶進行限制���,以前的軟件限制策略是對所有用戶)。 2.可以很好地消除一些應用程序兼容性的問題��,我們可以設置只運行比設定的版本號更新的應用程序�����。3.可以有效地提升我們的工作效率�����,防止和工作無關的應用程序占用太多系統(tǒng)資源�����,浪費無謂的工作時間���。雖然AppLocker也可以通過Windows 7系統(tǒng)本地設置�����,不過由Windows 2008的域環(huán)境中的組策略設置顯然更方便管理網絡環(huán)境中的計算機��。
簡單介紹了Windows 2008系統(tǒng)中新增的部分安全設置��,已經可以看到有了這些安全策略的設置可以大大方便我們的日常管理作業(yè)����。當然要想管理好���,還要對這些新增策略進行更多的學習與研究試驗����,才能在實際工作中把它們用得更好�。
