那么究竟哪些工作站是安全的呢，又有哪些工作站是不安全的呢?这需要借助网络访问保护组件下面的系统健康验证器进行评估!而系统健康验证器将会强制检查普通工作站的一些设置，并将这些设置对照事先已经设置好的相关安全策略，来评估普通工作站究竟属于安全范围的还是不安全范围的。比方说，我们假定系统如果不安装防火墙和杀毒软件的话，那就认定该工作站系统是不安全的;在配置这种安全策略时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“网络访问保护”/“系统健康验证器”选项，在对应该选项的右侧显示区域中，用鼠标右键单击“Windows安全健康验证程序”选项，从弹出的快捷菜单中执行“属性”命令，在其后出现的属性设置窗口中单击“配置”按钮，打开如图5所示的配置界面，在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项，最后单击“确定”按钮结束Windows安全健康验证配置操作，这么一来日后只要普通工作站安装了防火墙和杀毒软件，Windows Server 2008系统就认为该工作站是安全的工作站。

　　当Windows Server 2008系统检测到普通工作站属于不安全工作站时，网络策略服务器还提供了补救措施，以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器，从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库，我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统，以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“网络访问保护”/“更新服务器组”选项，再用鼠标右键单击“更新服务器组”选项，从弹出的快捷菜单中执行“新建”命令，打开如图6所示的创建对话框，单击该对话框中的“添加”按钮，在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址，这么一来日后普通工作站被检测为不安全时，那它就会自动连接到系统补丁更新服务器或病毒库更新服务器，来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后，再次访问Windows Server 2008系统时，该系统就会认为它是安全工作站，此时该工作站就能允许连接到服务器系统中，那样一来我们就能最大限度地保证服务器系统的安全了。

　　当然，需要在这里提醒各位的是，上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起，才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如，当发现普通工作站与不安全工作站策略相符时，那么我们可以定义网络策略，来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约，确保该工作站地址只能访问指定更新服务器组中定义的系统。

     IT专家网原创文章，未经许可，严禁转载！