用个人笔记本电脑处理无线networking中的垃圾邮件或病毒感染主机(如大学的个人学生笔记本电脑)的最佳方式是什么? 什么政策和工具使用你的公司?
我们的大学使用思科无线控制系统 (思科WCS),除了其他function外,它还能够阻止客户。
networking策略服务器angular色的Windows Server 2008的networking访问保护function。 它甚至可以通过802.1xauthentication与思科交换机集成。
您可以在标题“系统健康状况”下将某些修补程序,防病毒程序或防火墙设置…属性组合在一起。 支持NAP和直通RADIUS身份validation的networking交换机可以自动将客户端虚拟成受保护的隔离区。
Windows还具有内置的IPSec,以保护服务器免受漫游,非域客户端的侵害。 您可以向“正常”客户端颁发证书,并在IPSec SA协商中要求该证书。 这实质上是将您的服务器ipfilters到域批准的客户端。 你也可以做到没有证书,只需要有效的Kerberos(域)authentication。 您可以将这些“身份validation”IPSec策略应用于发往您的服务器子网的工作站子网上的stream量。
NAP需要XP SP3,Vista和Server 2008环境。 这样做也可能需要更高端的交换机和PKI。
IPSec可以使用XP,Vista和Server 2003来实现。但是,如果没有健康评估,那么更多的是“已知机器”和“未知机器”filter。
许多无线路由器和接入点支持无线分离 ,无线客户端之间的任何通信都将停止,显然可以防止恶意扩散,以防您的用户没有运行防火墙。
事实上,如果你只用无线路由器和宽带连接设置一个小的“热点”,而没有其他的主机,那么这个安全性就足够好了。 如果你想保护自己的主机,这是另一回事,我会NAT无线networking,只允许HTTP。 从某种意义上说,客户端来自无线networking,人们使用他们自己的非托pipe硬件,即使访问受到控制,也应该被视为来自互联网的stream量,而且应该仅通过经过validation的协议(例如HTTP正在使用。 例如,我不会在该场景中使用SMB。
当你看到有问题的活动时,请尽快封锁他们的以太网端口,拿起机器,清理病毒或者擦拭,如果有必要的话,请点击电子邮件附件上的“来耶稣”。