使用个人笔记本电脑处理无线网络中垃圾邮件或病毒感染主机的最佳方法是什么?

使用个人笔记本电脑处理无线网络中垃圾邮件或病毒感染主机的最佳方法是什么?

处理无线网络中个人笔记本电脑(如大学学生的个人笔记本电脑)中垃圾邮件或病毒感染主机的最佳方法是什么?贵公司使用哪些政策和工具?

答案1

我们的大学使用思科无线控制系统(思科 WCS),它具有阻止客户端等功能。

答案2

Windows Server 2008 的网络策略服务器角色的网络访问保护功能。它甚至可以通过 802.1x 身份验证与 Cisco 交换机集成。

您可以要求某些补丁、防病毒或防火墙设置...属性被归类在“系统健康”标题下。支持 NAP 和直通 RADIUS 身份验证的网络交换机可以将自动 VLAN 客户端放入受保护的隔离区。

Windows 还内置了 IPSec,以保护服务器免受漫游、非域客户端的侵害。您可以向“健康”客户端颁发证书,并在 IPSec SA 协商中要求该证书。这实际上是将您的服务器 ipfilter 到域批准的客户端。您也可以在没有证书的情况下执行此操作,只需要求有效的 kerberos(域)身份验证即可。您可以将这些“身份验证”IPSec 策略应用于源自您的工作站子网并发往您的服务器子网的流量。

NAP 需要 XP SP3、Vista 和 Server 2008 环境。巧妙地执行它还可能需要更高端的交换机和 PKI。

IPSec 可以使用 XP、Vista 和 Server 2003 实现。但如果没有健康评估,它更像是一个“已知机器”与“未知机器”的过滤器。

答案3

许多无线路由器和 AP 支持无线分离,这样可以阻止无线客户端之间的任何通信,并且显然可以防止恶意软件传播,前提是您的用户可以运行防火墙。

事实上,如果您只使用无线路由器和宽带连接设置一个小型“热点”,而没有其他主机,那么这已经足够安全了。如果您想保护自己的主机,那就另当别论了,我会针对无线网络进行 NAT,并且只允许 HTTP。从某种意义上说,来自无线网络的客户端(人们使用自己的非托管硬件)即使访问受到控制,也应该被视为来自互联网的流量,并且应该使用经过尝试和测试的协议(如 HTTP)进行防火墙防护。例如,我不会在这种情况下使用 SMB。

答案4

一旦您发现有问题的活动,请阻止他们的以太网端口,拿起机器并清除病毒或在必要时擦除,并就点击电子邮件附件与他们进行“忏悔”。

相关内容