设置网络策略服务器

　　在成功安装好网络策略服务器功能组件后，我们现在就能进入网络策略服务器来对它正确进行配置了，以便让它及时发挥作用，保护服务器系统的安全。

　　首先打开Windows Server 2008系统的“开始”菜单，从中依次选择“程序”/“管理工具”/“网络策略服务器”选项，打开网络策略服务器控制台窗口，如图3所示;

　　在该控制台窗口的左侧显示区域，我们发现网络策略服务器包含四方面的内容，它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件，这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护;

　　使用连接请求策略，我们能够指定是在本地处理连接请求，还是将其转发到远程Radius服务器中去处理;

　　选用健康策略我们可以自定义普通工作站是否健康的标准，该策略通常与网络访问保护组件一起配合使用。一般来说，我们通常需要在服务器系统中创建好两个基本策略，其中一个策略就是安全工作站的策略，另外一个就是不安全工作站的策略。创建安全工作站的策略时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“策略”/“健康策略”选项，用鼠标右键单击“健康策略”选项，从弹出的快捷菜单中选择“新建”命令，打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”，将“客户端SHV检查”设置为“客户端通过了所有SHV检查”，再单击“确定”按钮，这样一来安全工作站策略就创建成功了。同样地，我们可以再创建一个“不安全工作站”策略，并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。

　　那么究竟哪些工作站是安全的呢，又有哪些工作站是不安全的呢?这需要借助网络访问保护组件下面的系统健康验证器进行评估!而系统健康验证器将会强制检查普通工作站的一些设置，并将这些设置对照事先已经设置好的相关安全策略，来评估普通工作站究竟属于安全范围的还是不安全范围的。比方说，我们假定系统如果不安装防火墙和杀毒软件的话，那就认定该工作站系统是不安全的;在配置这种安全策略时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“网络访问保护”/“系统健康验证器”选项，在对应该选项的右侧显示区域中，用鼠标右键单击“Windows安全健康验证程序”选项，从弹出的快捷菜单中执行“属性”命令，在其后出现的属性设置窗口中单击“配置”按钮，打开如图5所示的配置界面，在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项，最后单击“确定”按钮结束Windows安全健康验证配置操作，这么一来日后只要普通工作站安装了防火墙和杀毒软件，Windows Server 2008系统就认为该工作站是安全的工作站。

　　当Windows Server 2008系统检测到普通工作站属于不安全工作站时，网络策略服务器还提供了补救措施，以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器，从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库，我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统，以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“网络访问保护”/“更新服务器组”选项，再用鼠标右键单击“更新服务器组”选项，从弹出的快捷菜单中执行“新建”命令，打开如图6所示的创建对话框，单击该对话框中的“添加”按钮，在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址，这么一来日后普通工作站被检测为不安全时，那它就会自动连接到系统补丁更新服务器或病毒库更新服务器，来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后，再次访问Windows Server 2008系统时，该系统就会认为它是安全工作站，此时该工作站就能允许连接到服务器系统中，那样一来我们就能最大限度地保证服务器系统的安全了。

　　当然，需要在这里提醒各位的是，上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起，才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如，当发现普通工作站与不安全工作站策略相符时，那么我们可以定义网络策略，来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约，确保该工作站地址只能访问指定更新服务器组中定义的系统。