如果局域网中有一台计算机感染了病毒,那么整个局域网就会存在所有计算机都被“传染”病毒的危险。为了在局域网中控制普通计算机的接入安全,我们可以利用Win2008系统特有的网络访问保护功能,来禁止存在安全威胁的计算机自由接入局域网网络,下面就是具体的实现操作步骤:
首先安装网络访问保护功能;打开Win2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,从其后出现的服务器管理器窗口左侧区域单击“角色”节点选项,并在对应该节点的右侧显示区域单击“添加角色”功能,打开角色添加向导窗口,依照提示将“网络策略和访问服务”项目选中,之后点击“安装”按钮,再按向导默认设置完成网络访问保护功能的安装任务;
其次创建健康安全标准;在进行这种操作时,我们可以先单击系统任务栏中的“服务器管理器”按钮,从弹出的服务器管理器窗口左侧区域处逐一点选“角色”、“网络策略和访问服务”、“NPS”、“网络访问保护”、“系统健康验证器”节点选项,再单击目标选项右侧区域中的“属性”按钮,打开安全健康验证对话框,点选“配置”按钮,选中常规的“防病毒应用程序已启用”、“已为所有网络连接启用防火墙”、“防病毒程序为最新的”等几种健康安全标准,以后任何需要连接到局域网中的计算机必须同时符合上面的健康标准,Win2008系统才会认为它是健康、安全的计算机;
接着创建安全验证策略;在创建健康的安全验证策略时,我们可以先将鼠标定位于服务器管理器窗口左侧区域中的“网络策略服务器”节点选项,再从目标节点下面逐一展开“策略”、“健康策略”分支,在目标分支下面再点选“新建”按钮,从弹出的安全验证策略对话框中将新的“策略名称”设置为“健康计算机”,将“客户端SHV检查”参数设置为“客户端通过了所有SHV检查”,将“此健康策略中使用的SHV”参数选择为“Windows安全健康验证程序”,最后单击“确定”按钮结束健康的安全验证策略创建操作;按照同样的操作步骤,我们还可以创建一个不健康的安全验证策略,只是在创建这种策略时,我们必须将“客户端SHV检查”参数选择为“客户端未能通过一个或多个SHV检查”,其余参数都和上面相同就可以了;
下面创建新的网络连接策略;将鼠标先定位于服务器管理器窗口左侧区域处“网络策略和访问服务”节点上,并从该节点下面依次点选“NPS”、“策略”、“网络策略”选项,从目标选项下面点选“新建”按钮,此时系统屏幕上会出现一个如图2所示的创建网络连接策略向导窗口;在这里将“策略名称”参数设置为“健康连接”,将“网络访问服务器类型”选项选择为“DHCP Server”,再从其后界面中单击“添加”按钮,同时将“选择条件”选择为先前创建好的“健康计算机”策略,再根据向导默认提示逐一点选“已授予访问权限”、“仅执行计算机健康检查”设置选项,最后再将“策略设置”参数设置为“NAP强制允许完全网络访问”,同时单击“完成”按钮结束网络连接策略创建工作。再按照相同的操作步骤,我们创建一个“不健康连接”的网络策略,只是在进行这种操作时,我们必须将“选择条件”参数选择为“不健康计算机”策略,并且将“策略设置”参数设置为“拒绝访问”选项,其余参数跟上面一模一样;
最后需要对DHCP服务功能进行设置;考虑到普通计算机在访问网络时,首先需要联系局域网中的DHCP服务器,因此我们还必须设置好合适的DHCP服务参数,保证所有计算机的上网连接请求通过DHCP功能转交给Win2008系统的网络访问保护功能进行处理。依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”/“DHCP”选项,进入DHCP服务器控制台界面,打开目标作用域的属性界面,点选该界面中的“网络访问保护”选项卡,在对应选项设置页面中选中“对此作用域启用”选项,同时选中“使用默认网络访问保护配置文件”,最后单击”确定“按钮执行设置保存操作。
完成上面的各项设置任务后,我们日后只需要将待接入到局域网网络中的普通计算机设置成“自动获得IP地址”,那么该计算机的网络连接就会受到Win2008系统网络访问保护功能的控制了,如此一来网络病毒或木马日后就不能通过局域网网络随意“传染”给其他普通计算机了,此时整个局域网网络的运行安全性就能得到有效保证了。