保障网络客户端安全:全面指南
1. 引言
在网络安全领域,我们常常将大量精力投入到服务器和基础设施的防护上,却容易忽视客户端安全这一至关重要的方面。实际上,客户端桌面对于组织的整体安全起着举足轻重的作用。即便服务器得到了妥善的保护和补丁更新,但只要有一个终端用户从软盘复制了感染了特洛伊木马的文件,整个网络都可能受到严重影响。因此,我们有必要深入探讨维护网络工作站整体安全的方法,包括保护客户端操作系统、实施病毒防护以及进行补丁管理等。
此外,客户端认证也是一个关键问题。我们自然希望客户端采用最强级别的认证方式,但在异构环境中,这有时并不现实。我们将讨论如何提升用户账户的安全性,以及如何选择最适合企业需求的认证协议,如 Kerberos、NTLM 认证、基于证书的认证,甚至是三者的组合。一旦制定了用户认证方案,我们还将介绍如何通过组策略等工具在整个网络中强制执行该方案。
最后,我们将探讨为终端用户创建安全的远程访问计划。此前我们已从基础设施的角度讨论了虚拟专用网络(VPN)技术,这里我们将关注远程访问选择对终端用户的影响,包括远程访问介质(拨号或 VPN)的选择、远程访问协议的选择,以及制定远程访问策略以控制网络资源的使用。我们还将讨论 Internet 认证服务(IAS),它是 Windows Server 2003 的 RADIUS 实现,可用于大规模或异构远程访问部署。
2. 保护客户端计算机
虽然 MCSE 核心四门考试将大量注意力集中在保护服务器操作系统、服务和进程上,但在现实网络中,保护终端用户桌面往往面临更大的挑战。服务器通常处于严格的安全环境中,软件的安装和更新都在可控条件下进行,并且经过了充分测试。此外,服务器服务的安全补
