NAP部署后，當(dāng)外出用戶回到公司登錄到公司的網(wǎng)絡(luò)時(shí)，首先進(jìn)行客戶端檢測，沒有安裝最新病毒庫的計(jì)算機(jī)，自動(dòng)連接到病毒庫更新服務(wù)器升級(jí)病毒庫;沒有安裝系統(tǒng)補(bǔ)丁的計(jì)算機(jī)，自動(dòng)連接到WSUS服務(wù)器升級(jí)補(bǔ)丁;沒有啟用防火墻的計(jì)算機(jī)，提示客戶端啟用防火墻。當(dāng)以上條件滿足后，允許客戶端連接到內(nèi)部網(wǎng)絡(luò)中，最大限度地保證網(wǎng)絡(luò)安全。

三. 應(yīng)用程序控制策略（AppLocker）
AppLocker 是 Windows 7 中的新功能，Windows Server 2008 R2 中可用于取代了軟件限制策略功能。AppLocker 包含減少管理開銷的新功能和擴(kuò)展（如可執(zhí)行文件、腳本、Windows Installer 文件和 DLL），幫助管理員控制用戶如何訪問和使用文件。使用 AppLocker，您可以：
1.基于從數(shù)字簽名派生的文件屬性（包括發(fā)布者、產(chǎn)品名稱、文件名和文件版本）定義規(guī)則。例如，可以根據(jù)更新過程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則，或者為特定版本的文件創(chuàng)建規(guī)則。
2.向安全組或單個(gè)用戶分配規(guī)則。
3.創(chuàng)建規(guī)則的例外。例如，可以創(chuàng)建一個(gè)規(guī)則，允許除注冊表編輯器（Regedit.exe）之外的所有 Windows 進(jìn)程運(yùn)行。
4.使用僅審核模式部署策略并了解其影響，然后再強(qiáng)制該策略。
5.導(dǎo)入和導(dǎo)出規(guī)則。導(dǎo)入和導(dǎo)出影響整個(gè)策略。例如，如果導(dǎo)出策略，則會(huì)導(dǎo)出所有規(guī)則集合中的所有規(guī)則，包括規(guī)則集合的強(qiáng)制設(shè)置。如果導(dǎo)入策略，則會(huì)覆蓋現(xiàn)有策略。
6.使用 AppLocker PowerShell cmdlet 簡化 AppLocker 規(guī)則的創(chuàng)建和管理。

通過應(yīng)用程序控制策略可以很容易做到：1.減少運(yùn)行惡意軟件的機(jī)會(huì)，因?yàn)槲覀兛梢韵拗朴脩暨\(yùn)行這些應(yīng)用程序（可以直接對(duì)某些可疑用戶進(jìn)行限制，以前的軟件限制策略是對(duì)所有用戶）。 2.可以很好地消除一些應(yīng)用程序兼容性的問題，我們可以設(shè)置只運(yùn)行比設(shè)定的版本號(hào)更新的應(yīng)用程序。3.可以有效地提升我們的工作效率，防止和工作無關(guān)的應(yīng)用程序占用太多系統(tǒng)資源，浪費(fèi)無謂的工作時(shí)間。雖然AppLocker也可以通過Windows 7系統(tǒng)本地設(shè)置，不過由Windows 2008的域環(huán)境中的組策略設(shè)置顯然更方便管理網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)。

簡單介紹了Windows 2008系統(tǒng)中新增的部分安全設(shè)置，已經(jīng)可以看到有了這些安全策略的設(shè)置可以大大方便我們的日常管理作業(yè)。當(dāng)然要想管理好，還要對(duì)這些新增策略進(jìn)行更多的學(xué)習(xí)與研究試驗(yàn)，才能在實(shí)際工作中把它們用得更好。

hanrui