去年10月，接到一個企業(yè)的咨詢電話，說希望能快點(diǎn)用上一個安全的網(wǎng)絡(luò)。這樣的要求經(jīng)常會遇到，一些初級客戶不清楚自己的“安全”要求，只希望部署一個完美無缺的“安全”網(wǎng)絡(luò)。還是去現(xiàn)場看看吧。

到了公司，果然不出所料，這是一個在珠三角典型的企業(yè)，總部在香港，工廠在深圳和汕頭。深圳工廠是人員最多的一個工廠，也是整個企業(yè)的核心；香港那里名為總部，就是一個辦公室，負(fù)責(zé)聯(lián)系世界各地的業(yè)務(wù)；汕頭則是配套工廠。企業(yè)沒有網(wǎng)絡(luò)管理人員，接待我們的是總經(jīng)理秘書，她只能告訴我們企業(yè)面臨的狀況：公司在各地分部著150臺左右PC，其中深圳約80臺，汕頭60臺，香港10臺。沒有統(tǒng)一的管理，大家需要交換文件時，要么是本地通過簡單的共享，異地就通過郵件或者M(jìn)SN以及QQ來傳遞文件。不僅效率差，還發(fā)生過企業(yè)機(jī)密報(bào)價文件泄露的嚴(yán)重事故。加上大家都是在使用QQ傳遞文件等，病毒泛濫、木馬橫行的情形就可以想象了。

根據(jù)客戶情況，我們?yōu)榭蛻糁匦乱?guī)劃了網(wǎng)絡(luò)架構(gòu)。深圳公司作為公司的主要網(wǎng)絡(luò)節(jié)點(diǎn)和數(shù)據(jù)中心，汕頭、香港為輔助。深圳公司增加活動目錄服務(wù)器和文件服務(wù)器。因?yàn)榭蛻粲休^多的文件需要管理并且對文件安全比較關(guān)注，我們選擇了windowsserver2008R2操作系統(tǒng)作為服務(wù)器的操作系統(tǒng)。

WindowsServer2008R2以屢獲殊榮的WindowsServer2008為基礎(chǔ)，對現(xiàn)有技術(shù)進(jìn)行了擴(kuò)展并且增加了新的功能，使IT專業(yè)人員能夠增強(qiáng)其組織的服務(wù)器基礎(chǔ)結(jié)構(gòu)的可靠性和靈活性。
我們在深圳工廠設(shè)置了活動目錄服務(wù)器和文件服務(wù)器。客戶為改善網(wǎng)絡(luò)租用了ADSL專線。在設(shè)計(jì)中，我們遇到了一個小問題，客戶不愿意增加專門的網(wǎng)絡(luò)管理人員，只希望培養(yǎng)一個內(nèi)部人員兼職管理。這個人要管理三地的服務(wù)器。面對并不了解活動目錄，也分不清網(wǎng)絡(luò)架構(gòu)的“網(wǎng)管”，擔(dān)心分支機(jī)構(gòu)的人員誤操作破環(huán)AD，我們還真有點(diǎn)為難。好在我們了解windowsserver2008中的活動目錄有一個“只讀域控制器（RODC）”功能，這個功能是具有ActiveDirectory文件庫只讀版本的域控制器，可部署于域控制器安全性無法確保的環(huán)境中。包括域控制器的物理安全性有疑慮的分支機(jī)構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理服務(wù)器的域控制器。使用RODC可為我們客戶提供下列好處：
•由于RODC使用文件復(fù)本，因此可避免分支機(jī)構(gòu)對文件進(jìn)行的更改可能會破壞或損毀AD樹系的情形。
•部署RODC能夠讓分支機(jī)構(gòu)的用戶受益，也就是可讓他們在當(dāng)?shù)剡M(jìn)行驗(yàn)證，而無需依賴不可靠的網(wǎng)絡(luò)連結(jié)進(jìn)行驗(yàn)證。
于是，我們在汕頭設(shè)置了RODC，解決了我們的擔(dān)憂，也提升了客戶的效率。
為了方便管理，減少差旅，我們還充分發(fā)揮了2008中改進(jìn)的遠(yuǎn)程桌面，在深圳的管理員，基本不需要跑到各地出差，就可以安全方便的管理各地的服務(wù)器，不過，管理員對于這個功能也有小小不滿，那就是，他很想找機(jī)會去溜達(dá)溜達(dá)！

客戶非常關(guān)注的文件服務(wù)器，我們也充分利用了windows強(qiáng)大的用戶身份管理功能實(shí)現(xiàn)了權(quán)限管理，對于本地的文件服務(wù)器和相應(yīng)的一些工作站，我們還為客戶設(shè)置了“加密文件系統(tǒng)(EFS)”，加密文件系統(tǒng)(EFS)是一個功能強(qiáng)大的工具，用于對客戶端計(jì)算機(jī)和遠(yuǎn)程文件服務(wù)器上的文件和文件夾進(jìn)行加密。它使用戶能夠防止其數(shù)據(jù)被其他用戶或外部攻擊者未經(jīng)授權(quán)的訪問。EFS對于用戶級別的文件和文件夾加密非常有用。更棒的是，可以將EFS加密密鑰和證書存儲在智能卡上，從而為加密密鑰提供更強(qiáng)的保護(hù)。這樣有助于保護(hù)便攜式計(jì)算機(jī)或共享工作站。我們給高級用戶如部門主管、總經(jīng)理等配置了便攜U盤，保存他們的證書?？蛻粽f這個感覺真酷，像是聯(lián)邦特工一樣，哈哈。這個功能不需要客戶再多掏錢，老總拿著一家公司的報(bào)價對我們說：“這家公司的保密系統(tǒng)要賣30萬，你們一下子都替我省了！”我們也很開心！病毒泛濫、木馬橫行，是很多傳統(tǒng)企業(yè)的問題?？蛻籼岢?，我們的供應(yīng)商有時候也要來公司，難免有使用我們的網(wǎng)絡(luò)的情況，萬一這些人的的機(jī)器有病毒，我們的服務(wù)器會不會遭殃？其實(shí)這個問題不只一家客戶有擔(dān)心，用戶端裝置暴露于惡意軟件（例如病毒和蠕蟲）威脅之下的情形與日俱增，這些惡意程序可以侵入未保護(hù)或不正確設(shè)定的主機(jī)系統(tǒng)，然后使用該系統(tǒng)作為據(jù)點(diǎn)散播至其他企業(yè)網(wǎng)絡(luò)中的裝置。

不過使用windowsserver2008，輕松搞定！只需使用Microsoft的網(wǎng)絡(luò)訪問保護(hù)（NAP），即可擁有一個能減輕上述威脅的全新平臺，協(xié)助確保私人網(wǎng)絡(luò)中的用戶端電腦，可符合系統(tǒng)管理員所定義的系統(tǒng)健康需求。
當(dāng)用戶端電腦嘗試連接網(wǎng)絡(luò)或在網(wǎng)絡(luò)中進(jìn)行通訊時，NAP會透過監(jiān)督和評估電腦的健康狀況以執(zhí)行健康需求，若用戶端電腦不符合健康策略，則只能給予有限制的網(wǎng)絡(luò)訪問，直到其設(shè)定更新為符合健康策略。依據(jù)NAP的部署情況，可能會隔離或自動更新不符合策略的用戶端，因此使用者無需手動更新或重新設(shè)定，其電腦便可快速重新取得完整的網(wǎng)絡(luò)訪問權(quán)。

利用NAP，我們讓客戶擁有以下能力：
•協(xié)助持續(xù)確保LAN中PC電腦的健康狀況：包括設(shè)定成支持DHCP的電腦、透過802.1X驗(yàn)證裝置連接的電腦，或者套用NAPIPsec策略至通訊的電腦。
•執(zhí)行漫游筆記型電腦的健康需求：在這些電腦重新連至公司網(wǎng)絡(luò)時執(zhí)行健康需求。
•驗(yàn)證不受管理的家用電腦之健康和策略遵循狀態(tài)：此系針對透過執(zhí)RoutingandRemoteAccess（RRAS）服務(wù)的VPN服務(wù)器連至公司網(wǎng)絡(luò)的家用電腦。
•了解外來筆記型電腦的健康和限制訪問狀態(tài)：包括合作伙伴和其他訪客帶到企業(yè)的筆記型電腦。
整個系統(tǒng)已經(jīng)穩(wěn)定運(yùn)行了半年多，客戶非常滿意。

【編輯推薦】

1. Windows Server 2008 R2 與UNIX環(huán)境整合之SUA
2. 優(yōu)秀的接班人——Windows Server 2008
3. Windows Server 2008 R2虛擬化有效幫助企業(yè)降低運(yùn)營成本
4. Windows Server 2008組策略安全實(shí)踐手冊
5. IIS7在Windows Server 2008 R2中的技術(shù)革新