使用个人笔记本电脑(如大学中的学生个人笔记本电脑)处理无线网络中的垃圾邮件或病毒感染主机的最佳方法是什么?贵公司使用哪些策略和工具?
AskOverflow.Dev
使用个人笔记本电脑(如大学中的学生个人笔记本电脑)处理无线网络中的垃圾邮件或病毒感染主机的最佳方法是什么?贵公司使用哪些策略和工具?
我们的大学使用思科无线控制系统(Cisco WCS),该系统能够阻止客户端等。
Windows Server 2008 的网络策略服务器角色的网络访问保护功能。它甚至可以通过 802.1x 身份验证与 Cisco 交换机集成。
您可以要求某些补丁、防病毒或防火墙设置...属性在“系统健康”的标题下组合在一起。支持 NAP 和直通 RADIUS 身份验证的网络交换机可以将 vlan 客户端自动放入受保护的隔离区。
Windows 还具有内置的 IPSec 以保护服务器免受漫游、非域客户端的影响。您可以向“健康”客户端颁发证书,并在 IPSec SA 协商中要求该证书。这实质上将您的服务器 ipfilters 到域批准的客户端。您也可以在没有证书的情况下执行此操作,并且只需要有效的 kerberos(域)身份验证。您可以将这些“身份验证”IPSec 策略应用于源自您的工作站子网并以您的服务器子网为目的地的流量。
NAP 需要 XP SP3、Vista 和 Server 2008 环境。巧妙地执行此操作也可能需要更高端的交换机和 PKI。
IPSec 可以使用 XP、Vista 和 Server 2003 实现。但如果没有健康评估,它更像是“已知机器”与“未知机器”过滤器。
许多无线路由器和 AP 支持无线分离,这会阻止无线客户端之间的任何通信,并且显然可以防止恶意软件传播,以防您的用户没有运行防火墙。
事实上,如果您正在设置一个只有无线路由器和宽带连接而没有其他主机的小型“热点”,那么这已经足够安全了。如果您想保护自己的主机,那是另一回事,我会针对无线网络进行 NAT,并且只允许 HTTP。从某种意义上说,来自人们使用自己的非托管硬件的无线网络的客户端,即使访问受到控制,也应该被视为来自 Internet 的流量,并且应该只使用经过测试和测试的协议(如 HTTP)进行防火墙保护正在使用。例如,我不会在场景中使用 SMB。
一旦发现有问题的活动,请立即阻止他们的以太网端口,带走机器并清除病毒或在必要时擦除,与他们一起“来找耶稣”点击电子邮件附件。