Windows 2008網路存取保護功能應用

如果區域網路中有一台電腦感染了病毒，那麼整個區域網路就會存在所有電腦都被“傳染”病毒的危險。為了在區域網路中控制普通電腦的接入安全，我們可以利用Win2008系統特有的網路存取保護功能，來禁止存在安全威脅的電腦自由接入區域網路網路，下面就是具體的實現操作步驟：

首先安裝網路存取保護功能;開啟Win2008系統的“開始”菜單，從中依次選擇“程式”/“管理工具”/“伺服器管理員”命令，從其後出現的伺服器管理員視窗左側地區單擊“角色”節點選項，並在對應該節點的右側顯示地區單擊“添加角色”功能，開啟角色添加嚮導視窗，依照提示將“網路原則和訪問服務”項目選中，之後點擊“安裝”按鈕，再按嚮導預設設定完成網路存取保護功能的安裝任務;

其次建立健康安全標準;在進行這種操作時，我們可以先單擊系統工作列中的“伺服器管理員”按鈕，從彈出的伺服器管理員視窗左側地區處逐一點選“角色”、“網路原則和訪問服務”、“NPS”、“網路存取保護”、“系統健康驗證器”節點選項，再單擊目標選項右側地區中的“屬性”按鈕，開啟安全健康驗證對話方塊，點選“配置”按鈕，選中常規的“防病毒應用程式已啟用”、“已為所有網路連接啟用防火牆”、“防毒程式為最新的”等幾種健康安全標準，以後任何需要串連到區域網路中的電腦必須同時符合上面的健康標準，Win2008系統才會認為它是健康、安全的電腦;

接著建立安全驗證策略;在建立健康的安全驗證策略時，我們可以先將滑鼠定位於伺服器管理員視窗左側地區中的“網路原則伺服器”節點選項，再從目標節點下面逐一展開“策略”、“健康原則”分支，在目標分支下面再點選“建立”按鈕，從彈出的安全驗證策略對話方塊中將新的“策略名稱”設定為“健康電腦”，將“用戶端SHV檢查”參數設定為“用戶端通過了所有SHV檢查”，將“此健康原則中使用的SHV”參數選擇為“Windows安全健康驗證程式”，最後單擊“確定”按鈕結束健康的安全驗證策略建立操作;按照同樣的操作步驟，我們還可以建立一個不健康的安全驗證策略，只是在建立這種策略時，我們必須將“用戶端SHV檢查”參數選擇為“用戶端未能通過一個或多個SHV檢查”，其餘參數都和上面相同就可以了;

下面建立新的網路連接策略;將滑鼠先定位於伺服器管理員視窗左側地區處“網路原則和訪問服務”節點上，並從該節點下面依次點選“NPS”、“策略”、“網路原則”選項，從目標選項下面點選“建立”按鈕，此時系統螢幕上會出現一個如圖2所示的建立網路連接策略嚮導視窗;在這裡將“策略名稱”參數設定為“健康串連”，將“網路存取伺服器類型”選項選擇為“DHCP Server”，再從其後介面中單擊“添加”按鈕，同時將“選擇條件”選擇為先前建立好的“健康電腦”策略，再根據嚮導預設提示逐一點選“已授予存取權限”、“僅執行電腦健全狀態檢查”設定選項，最後再將“原則設定”參數設定為“NAP強制允許完全網路訪問”，同時單擊“完成”按鈕結束網路連接策略建立工作。再按照相同的操作步驟，我們建立一個“不健康串連”的網路原則，只是在進行這種操作時，我們必須將“選擇條件”參數選擇為“不健康電腦”策略，並且將“原則設定”參數設定為“拒絕訪問”選項，其餘參數跟上面一模一樣;

最後需要對DHCP服務功能進行設定;考慮到普通電腦在訪問網路時，首先需要聯絡區域網路中的DHCP伺服器，因此我們還必須設定好合適的DHCP服務參數，保證所有電腦的上網串連請求通過DHCP功能轉交給Win2008系統的網路存取保護功能進行處理。依次單擊伺服器系統案頭中的“開始”/“程式”/“管理工具”/“伺服器管理員”/“DHCP”選項，進入DHCP伺服器控制台介面，開啟目標範圍的屬性介面，點選該介面中的“網路存取保護”選項卡，在對應選項設定頁面中選中“對此範圍啟用”選項，同時選中“使用預設網路訪問保護設定檔”，最後單擊”確定“按鈕執行設定儲存操作。

完成上面的各項設定任務後，我們日後只需要將待接入到區域網路網路中的普通電腦設定成“自動獲得IP地址”，那麼該電腦的網路連接就會受到Win2008系統網路存取保護功能的控制了，如此一來網路病毒或木馬日後就不能通過區域網路網路隨意“傳染”給其他普通電腦了，此時整個區域網路網路的運行安全性就能得到有效保證了。