Windows 2008ネットワークアクセス保護アプリケーション

LAN上のコンピュータがウイルスに感染している場合、すべてのコンピュータがLAN全体に「感染」する危険性があります。 LAN内の一般的なコンピュータのアクセスセキュリティを制御するために、Win2008システム独自のネットワークアクセス保護機能を使用して、セキュリティ上の脅威を持つコンピュータがLANネットワークに自由にアクセスすることを禁止することができます。 >まずネットワークアクセス保護機能をインストールし、Win2008システムの "スタート"メニューを開き、 "プログラム" /"管理ツール" /"サーバーマネージャ"コマンドを選択し、表示されるサーバーマネージャウィンドウの左側からクリックします。 [役割]ノードオプションを選択し、対応するノードの右側の表示領域で[役割の追加]機能をクリックし、役割の追加ウィザードウィンドウを開き、プロンプトに従って[ネットワークポリシーとアクセスサービス]項目を選択し、[インストール]ボタンをクリックします。次に、ウィザードのデフォルト設定に従ってネットワークアクセス保護機能のインストールタスクを完了します。

次に正常性セキュリティ標準を作成します;この操作では、まずシステムトレイの[サーバーマネージャ]ボタンをクリックします。ポップアップのServer Managerウィンドウの左側の領域から「role」を一つずつ選択します。 [ネットワークポリシーとアクセスサービス]、[NPS]、[ネットワークアクセス保護]、[システム正常性検証ツール]ノードのオプションで、ターゲットオプションの右側にある[プロパティ]ボタンをクリックして[セキュリティと正常性検証]ダイアログボックスを開き、 「設定」ボタン、一般的な「アンチウイルスアプリケーションが有効」、「すべてのネットワーク接続ですでに有効になっているファイアウォール」、「アンチウイルスプログラムは最新」およびその他の安全衛生基準を選択し、今後ローカルエリアネットワークに接続する必要があるコンピュータは同時に上記の健康基準を満たしている必要があります、Win2008システムはそれが健康で安全なコンピュータであると見なします;

次にセキュリティ検証ポリシーを作成します;健全なセキュリティ検証戦略を作成するときServer Managerウィンドウの左側の領域で、[Network Policy Server]ノー​​ドオプションをクリックし、ターゲットノードから[Policy]および[Health Policy]ブランチを1つずつ展開し、ターゲットブランチの下にある[New]ボタンをクリックしてセキュリティを表示します。確認ポリシーダイアログボックスで、新しい「ポリシー名」を「ヘルスコンピュータ」に設定します。これは「guest」になります。 SHVチェックパラメータを "クライアントはすべてのSHVチェックに合格しました"に設定し、 "このセキュリティポリシーで使用されるSHV"パラメータを "Windows Security Health Validator"として選択し、最後に[OK]ボタンをクリックしてヘルスセキュリティ検証を終了します。ポリシー作成操作、同じ手順に従って、不健康なセキュリティ検証ポリシーを作成することもできますが、このポリシーを作成するときは、クライアントが1つ以上のパスに失敗したため、 "client SHV check"パラメータを選択する必要があります。 「SHVチェック」、その他のパラメータは上記と同じです。

新しいネットワーク接続戦略を作成します。サーバーマネージャウィンドウの左側にある[ネットワークポリシーとアクセスサービス]ノードで最初にマウスを探します。一番上で、そしてノードから「NPS」、「Policy」、「Network Policy」オプションをクリックし、ターゲットオプションから「New」ボタンをクリックすると、システム画面が図2のように表示されます。 [ネットワーク接続ポリシーウィザード]ウィンドウ、ここでは[ポリシー名]パラメータを[正常接続]と[ネットワークアクセスサーバーの種類]に設定します。項目は「DHCPサーバー」として選択され、次にバックインターフェースから「追加」ボタンをクリックし、以前に作成された「正常なコンピュータ」ポリシーとして「選択条件」を選択し、次にウィザードのデフォルトプロンプトに従って「承認」を選択します。 [アクセス許可]、[コンピュータヘルスチェックのみ実行]の設定オプションを選択し、[ポリシー設定]パラメータを[NAPフルネットワークアクセスに強制]に設定して[完了]ボタンをクリックし、ネットワーク接続ポリシーの作成を終了します。次に、同じ手順に従って、「異常な接続」ネットワークポリシーを作成します。ただし、これを行うには、「条件の選択」パラメータを「異常なコンピュータ」ポリシーとして選択し、「ポリシー設定」パラメータを設定する必要があります。 "Access Denied"オプションの場合、残りのパラメータは上記とまったく同じです。

最後に、DHCPサービス機能を設定する必要があります;ネットワークにアクセスするときに通常のコンピュータがLANのDHCPサーバに接続する必要があることを考える適切なDHCPサービスパラメータを設定して、すべてのコンピュータのインターネット接続要求がDHCPを介してWin2008システムのネットワークアクセス保護機能に転送されるようにします。サーバーシステムのデスクトップで[スタート]、[プログラム]、[管理ツール]、[サーバーマネージャ]、[DHCP]の順にクリックして、DHCPサーバーコンソールインターフェイスを開き、ターゲットスコープのプロパティインターフェイスを開き、インターフェイスの[ネットワークアクセス保護]タブで、対応するオプション設定ページの[この範囲を有効にする]オプションを選択し、[既定のネットワークアクセス保護構成ファイルを使用する]を選択して、最後に[OK]ボタンをクリックして設定を保存します。 。

上記の設定作業が完了したら、通常のコンピュータをLANネットワークに接続するように設定するだけで、自動的にIPアドレスが取得されます。その後、コンピュータのネットワーク接続はWin2008システムの影響を受けます。ネットワークアクセス保護機能が制御されているため、将来的にはLANネットワークを介してネットワークウイルスやトロイの木馬が他の一般のコンピュータに「感染する」ことはなく、LANネットワーク全体の運用セキュリティを効果的に保証することができます。