windows-server-2008 – 我该如何保护企业无线网络?

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 我该如何保护企业无线网络?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们正在我的工作中实施一个新的WiFi网络,我正在考虑通过网络安全设计.

用例1:来宾.我们将设置一个强制门户网站,客人将接受可接受的使用政策,并且仅限于互联网,无法访问局域网.很简单,我们会让防火墙阻止危险的端口而不用担心,因为它们无法触及我们的主网络.

使用案例2:拥有BYOD和公司拥有的笔记本电脑的员工可能会在被带到办公室之前花费数月的时间.混合Windows和OSX.他们将使用WPA2-Enterprise对我们的AD / RADIUS进行身份验证.有没有一种好方法可以让这些人安全地访问内部服务器?

我的想法是,让这些人无限制地访问局域网是有问题的.如果它们是域加入的,它们最终将从WSUS接收安全更新,但不一定在它们连接之前.反病毒也无法保证.有了我们现在的有线网络,这是次要的,但我可以看到BYOD随着无线网络的增加而增长,特别是对于我们大量的夏季实习生.

我已查看Microsoft网络访问保护以强制执行安全设置并隔离不合规的设备,但我不确定它将如何与OS X(我能找到的唯一代理,UNET,在网站上有一些断开的链接)一起使用和定价不清楚).它似乎也很复杂.

这有点矫枉过正吗?在现实世界中,其他人如何处理这种情况?是否有更简单的网络访问控制解决方案?

我有一个学区客户,他的设置类似于你所说的.

>公共访问通过专用的基于Linux的DHCP和DNS在单独的VLAN上运行,除了通过边缘防火墙外,无法访问公司网络(有效地将公共wifi“置于”防火墙之外 – 因此VPN访问和访问DMZ – 主机服务器从公共wifi工作. “儿童互联网保护法”要求我们大量过滤这种联系,以便公众获得最严格的政策. (如果我可以在专用的物理局域网上运行它,并且我会分开互联网连接.否则Money说.)
>学生拥有的设备通过WPA-RADIUS进行身份验证,并可以访问Internet. DHCP和DNS由基于LAN的服务器提供.基于AP的防火墙规则(我们运行Ruckus ZoneFlex AP,每个AP都有一个基于Linux的iptables防火墙)阻止访问LAN,除了特定服务(HTTP到“学习管理系统”和一些其他Web服务器) .存在用于访问LAN子网的默认拒绝策略.

从管理政策的角度来看,我觉得员工拥有和区域拥有的设备之间有很大的区别,所以我在运营配置中反映了这一点.

>员工拥有的设备与学生完全相同,只是有不同的Internet过滤策略,员工可以通过RDP访问桌面PC所在的LAN子网.仍然存在用于访问LAN子网的默认拒绝策略.基于LAN的服务器为员工自备设备提供的服务数量非常有限,坦率地说,我希望保持这种状态.我将尽最大努力确保我们保持默认拒绝策略w /“BYOD”子网和LAN子网之间的异常.我和人们对此有一些分歧,但我认为“BYOD”设备在区域拥有设备的程度上是不可靠的.
>区域拥有的设备(包括笔记本电脑)只能通过WPA-RADIUS身份验证为“域计算机”组的成员获取自己的SSID.有一个开放的局域网访问政策.没有用户在他们的计算机上拥有管理员权限,而且我很自豪地认为自己认为这些设备最值得信赖.如果我有点偏执,我会在所有笔记本电脑上使用TPM部署Bitlocker,以防止用户离线修改操作系统.最后一点w /全盘加密,将是我需要让我感觉合理地确定区域拥有的设备至少在某种程度上值得信赖.我们只有Windows客户端,但对于Mac环境,我认为可以使用适当的类似功能来保证可信计算基础的启动完整性.

我们没有几个月停留在异地的机器.如果我这样做的话,我会主持一个面向互联网的WSUS服务器,并让客户在那里寻找更新,即使他们不在现场.根据您的防病毒软件,您也可以通过这种方式使其运行.

并不是说我认为NAC / NAP是“过度杀伤” – 我认为它是一个fundamentally flawed idea.有些人认为腰带和吊带是使用NAC / NAP的理由,但我很难相信一个不受信任的客户来评估它自己的“健康”.我全都是为了对来自可靠主机的机器进行漏洞扫描,但要求一个不值得信任的主机对自己做出可靠的陈述似乎对我来说是非常有缺陷的.

猜你在找的Windows相关文章