Windows 2008をより安全にするためのネットワークポリシーの設定

LAN環境では、多くの一般的なワークステーションではシステムパッチのインストールやウイルスデータベースの更新が間に合わず、対応するシステムで多くのセキュリティリスクが発生する可能性があります。その時、それはネットワーク全体のセキュリティに比較的大きな脅威をもたらすかもしれません。それでは、サーバーシステムにさまざまな潜在的なセキュリティ上の脅威をもたらす、これらのワークステーションをどのようにして回避することができますか。これを行うには、Windows Server 2008システムのネットワークポリシーを設定してサーバーシステムのセキュリティを保護し、危険なワークステーションがネットワークウイルスやトロイの木馬をサーバーシステムに侵入させることを禁止します。

ネットワークポリシーについて<ネットワークとサーバーシステムのセキュリティを効果的に保護するために、Windows Server 2008では、新しいネットワークポリシーサーバー機能やその他の多くのセキュリティ保護対策が特に追加されています。通常のワークステーションにファイアウォールプログラムがインストールされているかどうか、ウイルスデータベースの内容が遅れずに更新されているかどうか、システムパッチの最新バージョンがインストールされているかどうかなど、通常のワークステーションは特定のネットワークヘルスチェックに合格する必要があります。さまざまなセキュリティチェックの後、サーバーシステムはワークステーションがサーバーに接続してその内容にアクセスすることを許可し、サーバーシステムのセキュリティチェックに合格しない通常のワークステーションは別の制限されたネットワークに隔離されるかサーバーのアクセス権を減らします。別の制限付きネットワークに隔離されている場合、通常のワークステーションは、制限付きネットワークを介してワークステーションのセキュリティステータスを間に合わせて修復する必要があります。ネットワークセキュリティ条件を満たした後のプログラムなどは、ワークステーションはしばしばサーバシステム内の任意のコンテンツにアクセスすることができる。

ネットワークポリシーサーバーのインストール

Windows Server 2008システムにはネットワークポリシーサーバー機能が組み込まれていますが、デフォルトでは有効になっていません。この機能のセキュリティを利用して、サーバーシステムのセキュリティを保護するためにインストールされています。

ネットワークポリシーコンポーネントをインストールするときは、まずシステム管理者権限でWindows Server 2008システムを起動し、システムの[スタート]メニューを開き、[プログラム] - [管理ツール]の順に選択します。対応するシステムのサーバーマネージャウィンドウを開くためのサーバーマネージャコマンド;

サーバーマネージャウィンドウの左側にある領域を表示し、対応するオプションの右側にある表示領域で[ロール]オプションを選択します。 「役割の追加」機能アイコンをクリックして役割の追加ウィザード設定ウィンドウを開き、設定ウィンドウのプロンプト情報から、ネットワークポリシーコンポーネントのインストールの準備をする必要があることを3つの側面で確認します。強力なパスワードを使用します。2つ目はネットワーク設定の準備を確実にすること、3つ目はWindows Updateに最新のセキュリティ更新プログラムをインストールすることです。

で
すべての準備作業が完了した上で確認した後、「次へ」ボタンをクリックして、図1に示すウィンドウに示すように、サーバーの役割のリストを開き、ここでI 「ネットワークポリシーとアクセスサービス」機能コンポーネントでサーバーシステムがデフォルトで選択されていないことを見ると、これはネットワークポリシー機能が現時点でインストールされていないことを意味します。次に[次へ]ボタンをクリックし、図2に示す役割サービスリストウィンドウが画面に表示されたら、[ネットワークポリシーサーバー]オプションを選択し、[次へ]ボタンをクリックし続け、最後に[インストール]ボタンをクリックします。このようにして、サーバーシステムは自動的に選択された役割と役割サービスを順番にインストールします。

ネットワークポリシーコンポーネントのインストール操作が完了すると、システムから自動的にプロンプ​​トが表示されますので、この機能コンポーネントを使用してサーバーシステムのネットワークアクセス保護を設定できます。現時点では、サーバーシステムのDHCPサービスは、新しくインストールされたネットワークポリシーサーバーコンポーネントに自動的に置き換えられますネットワークセキュリティサーバーに関連するDHCPパラメーターを正しく設定して、優れたネットワークセキュリティ保護を実現する必要があります。既定では、Windows Server 2008システムはネットワークポリシーサーバーに関連付けられているネットワークアクセス保護コンポーネントを有効にしないため、ネットワークポリシーサーバーのDHCPスコープ属性で手動で有効にする必要があります。

ネットワークポリシーサーバーの設定

ネットワークポリシーサーバー機能コンポーネントのインストールが完了したら、ネットワークポリシーサーバーに入って、時間内に機能するように正しく設定できます。サーバーシステムのセキュリティを保護します。

まずWindows Server 2008システムの[スタート]メニューを開き、[プログラム]、[管理ツール]、[ネットワークポリシーサーバー]の順に選択し、図3に示すようにネットワークポリシーサーバーのコンソールウィンドウを開きます。;

ログイン

ウィンドウの左側に
ログインで
コンソール表示領域ネットワークポリシーサーバーには、接続要求ポリシー、ネットワークポリシー、正常性ポリシー、およびネットワークアクセス保護コンポーネントの4つの側面があり、これらのポリシーおよびコンポーネントはネットワーク分離され、ユニットサーバーシステムにアクセスする一般的なワークステーションシステムにとって安全になります。処理、正常性ポリシーの確認、およびネットワークアクセス保護;

接続要求ポリシーを使用して、接続要求をローカルで処理するか、リモートRadiusサーバーに転送して処理するかを指定できます。

正常性戦略ネットワークアクセス保護コンポーネントと組み合わせて使用​​されることが多い、通常のワークステーションの正常性に関する標準をカスタマイズできます。一般に、サーバーシステムでは通常2つの基本ポリシーを作成する必要があります。1つは安全なワークステーションの戦略、もう1つは安全でないワークステーションの戦略です。安全なワークステーション用のポリシーを作成するときは、Network Policy Serverコンソールウィンドウの左側の表示領域にあるPolicy /Health Policyオプションを展開し、Health Policyオプションを右クリックして、ポップアップからショートカットを表示できます。メニューの「新規」コマンドを選択して図4に示す設定ダイアログを開き、設定ダイアログでは、ポリシー名は「セキュア・ワークステーション」と見なされ、「クライアントSHVチェック」は「クライアントにすべて渡される」に設定されます。 [SHV check]をクリックしてから[OK]ボタンをクリックすると、安全なワークステーションポリシーが正常に作成されます。同様に、「安全でないワークステーション」ポリシーを作成し、そのポリシーに対するクライアントのSHVチェックを「クライアントがすべてのSHVチェックに合格しなかった」に設定することもできます。

で


だから、そこに、安全なワークステーションです正確に何をどのワークステーションが安全ではありませんか？これは、ネットワークアクセス保護コンポーネントの下のシステム正常性検証ツールで評価する必要があります！システム正常性検証ツールは、通常のワークステーションの一部の設定を強制的にチェックし、通常のワークステーションを評価するために事前に設定された関連セキュリティポリシーと比較します。それはまだ安全で危険です。たとえば、システムにファイアウォールやウイルス対策ソフトウェアがインストールされていない場合、ワークステーションシステムは安全ではないと見なされ、このセキュリティポリシーを構成するときに、ネットワークポリシーサーバーのコンソールウィンドウの左側に表示できます。 [ネットワークアクセス保護/システム正常性検証ツール]オプションを展開し、対応するオプションの右側の領域で[Windowsセキュリティ正常性検証ツール]オプションを右クリックして、ポップアップショートカットメニューから[プロパティ]を実行します。 [コマンド]をクリックして、後で表示されるプロパティ設定ウィンドウで[構成]ボタンをクリックし、[すべてのネットワーク接続に対してファイアウォールを有効にする]オプションと[ウイルス対策アプリケーション]を選択する必要があります。通常のワークステーションにファイアウォールとウイルス対策ソフトウェアがインストールされている限り、Windows Server 2008システムはそのワークステーションを安全なワークステーションと見なします。

のWindows Server 2008システムは、ネットワークポリシーサーバーも安全ではない可能にするための救済策を提供し、一般的なワークステーションは、安全やワークステーションで検出されたときワークステーションは、ローカルエリアネットワーク内のパッチアップデートサーバまたはウィルスデータベースアップデートサーバに自動的にアクセスして、システムパッチとアップデートウィルスデータベースプログラムを時間内に通常のワークステーションにインストールします。安全でないワークステーションが自動的にパッチをインストールしたりウイルスデータベースを自動的に更新したりするには、安全でないワークステーションを安全な状態に自動的に復元するために、アップデートサーバーグループを使用します。安全でないワークステーションがアクセスできるサーバーシステムを指定する場合は、Network Policy Serverコンソールウィンドウの左側にある表示領域で[ネットワークアクセス保護/サーバーグループの更新]オプションを展開し、右クリックします。サーバーグループオプションを更新し、ポップアップショートカットメニューから[新規]コマンドを実行して図6に示す作成ダイアログを開き、ダイアログボックスの[追加]ボタンをクリックして、後続のインターフェイスにシステムパッチを正しく入力します。サーバーまたはウイルスデータベース更新サーバーのホスト名またはIPアドレスを更新し、その後通常のワークステーションが安全でないと検出された場合は、システムパッチ更新サーバーまたはウイルスデータベース更新サーバーに自動的に接続してシステムパッチをインストールします。ウイルスデータベースを更新します。通常のワークステーションがWindows Server 2008システムに再度アクセスしたときにパッチをインストールまたはウイルスデータベースを更新すると、システムはそれを安全なワークステーションと見なし、そのワークステーションはサーバーシステムへの接続を許可できます。サーバーシステムのセキュリティを最大限にすることができます。で

もちろん、我々はので、上記のシステム正常性検証ツール、健康政策、接続要求ポリシー、および、サーバーのネットワークポリシー・グループを更新する必要があることをここで思い出させる必要があります効果的な役割を果たすためにまとめると、通常のワークステーションのセキュリティ状態に基づいてワークステーションの処理方法を決定できます（例：通常のワークステーションが危険なワークステーションのポリシーと一致する場合）、LANを示すネットワークポリシーを定義できます。ネットワーク内のDHCPサーバーは、ターゲットの通常ワークステーションの制限付きスコープオプションのIPアドレスを提供し、ワークステーションアドレスは指定されたアップデートサーバーグループで定義されたシステムにのみアクセスできるようにします。


で