25、确保工作站安全：Vista系统的全方位防护策略

确保工作站安全：Vista系统的全方位防护策略

在当今数字化的时代，工作站的安全至关重要。对于使用Vista系统的用户来说，了解并运用一系列的安全特性和防护策略，能够有效保护系统和数据的安全。本文将详细介绍Vista系统的安全特性以及如何运用城堡防御系统（Castle Defense System，CDS）来保护Vista PC。

1. Vista系统的安全特性

Vista系统具备一系列强大的安全特性，这些特性基于微软在Windows XP中所投入的安全元素，尤其是在Service Pack 2发布之后。以下是一些重要的安全特性：
- Internet Explorer安全增强 ：IE 7提供了多种保护机制，如URL处理和跨域脚本防护。新的“修复我的设置”命令让用户能快速恢复到正常的IE环境。安全状态栏能让用户立即知晓网站是否安全（绿色表示安全，红色表示可能不安全），内置的网络钓鱼过滤器则可判断网站的真实性。
- BitLocker全磁盘加密 ：可保护便携式计算机的整个系统，防止在计算机丢失时数据被盗取。
- 权限管理客户端 ：通过控制他人对用户创建信息的使用方式，帮助保护用户数据。
- 加密文件系统（EFS） ：现在可以与智能卡集成，为存储在任何PC上的信息提供更全面的保护。
- USB设备控制 ：通过组策略管理，可完全控制哪些设备可以连接到Vista系统，从而防止用户使用可移动磁盘从网络复制数据。
- 软件限制策略 ：可控制网络中允许运行的软件，阻止其他恶意代码的执行。
- 临时和离线文件保护 ：这些文件现在可以通过EFS进行保护，同时通过安全套接字隧道协议（SSTP）保护文件在传输过程中的安全。

2. 城堡防御系统（CDS）的应用

城堡防御系统分为五个层次，每个层次都有其特定的内容和防护方法。通过结合Vista系统的特性，可以更好地保护每台PC。以下是CDS的五个层次及其对应的防护方法：
| 层次 | 内容 | 防护方法 |
| — | — | — |
| 第一层 - 关键信息 | 数据分类 | 对所有数据进行分类，确定每种数据在PC上所需的保护级别。 |
| | 应用程序强化 | 确保用户可以访问的应用程序设计良好，并提供自身的保护层。 |
| 第二层 - 物理保护 | 物理环境 | 确保办公室入口受到保护，PC进行标记和识别，允许连接到网络的外部系统能够提供安全证明。 |
| | 物理控制 | 关注PC的物理访问权限。 |
| | 通信 | 确保所有用户（包括管理员）了解他们在安全实践方面的责任。 |
| | 监控 | 确保组织中的每个人都了解他们在警惕性方面的责任。 |
| 第三层 - 操作系统强化 | 安全配置 | 特别关注服务强化、基础PC安装的安全配置设置、便携式系统的BitLocker驱动器加密、其他系统的加密文件系统数据保护、所有用户和管理员的用户账户控制（UAC）、设备控制以确保未经授权的USB磁盘驱动器无法连接到任何PC，以及无线网络安全。 |
| | 反恶意软件 | 实施Windows Defender以及适当的防病毒技术。 |
| | 一般Active Directory安全 | 实施严格的权限管理，实施软件限制策略以确保域中不允许运行恶意代码。 |
| | 文件系统 | 保护文件系统以确保PC的稳定性，实施基于访问的枚举以进一步保护信息，依赖数字签名的Windows安装程序包进行所有第三方或自定义产品的安装。 |
| | 打印系统 | 为所有打印机实施全面的安全策略，确保标准用户可以安装自己的打印机。 |
| |.NET框架安全 | 包含此框架的PC需要特别关注，例如运行Windows PowerShell的PC也会包含该框架。 |
| | Internet信息服务（IIS） | 如果选择在PC上安装IIS，确保其安全配置。 |
| | 系统冗余 | 通过应用合理的原则、保护用户数据以及提供额外的系统进行替换，提供PC的冗余性。 |
| 第四层 - 信息访问 | 用户识别 | 在非常安全的环境中，管理员依赖智能卡或双因素身份验证。高度安全的环境将为所有用户使用双因素身份验证。 |
| | 安全策略 | 为PC池分配适当的策略。 |
| | 资源访问 | 严格控制所有资源访问，为移动用户实施EFS。 |
| | 基于角色的访问控制 | 仅适用于服务器或应用程序级别。 |
| | 访问审计/监控 | 开启审计以跟踪关键系统上的所有更改。 |
| | 数字版权管理（DRM） | 依赖权限管理服务对所有受版权保护或敏感的文档应用DRM。 |
| 第五层 - 外部访问 | 外围网络 | 配置具有高级安全性的Windows防火墙，以控制对Vista PC和移动工作站的访问。 |
| | 虚拟专用网络（VPN） | 依赖VPN连接进行所有远程访问。 |
| | 路由和远程访问（RRAS） | 为远程工作的用户实施远程访问身份验证服务。 |
| | 安全套接字隧道协议（SSTP） | 确保所有远程通信以及敏感的内部通信都进行加密。 |
| | 公钥基础设施（PKI） | 实施PKI以支持智能卡部署和软件限制。 |
| | 身份联合 | 如果需要，依赖Active Directory联合服务进行外联网访问。 |
| | 网络访问保护（NAP） | 实施NAP以确保连接到网络的所有机器都具有批准的健康状态。 |

3. 各层次的详细防护措施

3.1 第一层：保护信息

信息是依赖PC的任何工作的基础。通常情况下，组织的信息会存储在网络服务器上，因为集中存储的信息更易于保护、备份和安全管理。但由于客户端 - 服务器系统的分布式性质，一些关键信息可能会存储在PC上，尤其是移动PC。因此，需要对信息进行分类，以确定每种数据所需的保护级别。
- 公共信息 ：与组织相关或无关，但不需要保护的信息，如组织网站上的产品信息。
- 私有信息 ：运营所需的信息，但不敏感，不需要大量保护，如网站的运营方式。
- 机密信息 ：仅应向授权人员披露的信息，如员工的工资。
- 秘密信息 ：对业务运营至关重要的信息，如果泄露可能会对组织的运营能力产生负面影响。

除了保护PC上的数据，还需要确保生成和处理组织信息的应用程序经过强化，防止未经授权的人员获取信息。

3.2 第二层：物理保护

由于PC的分布式性质，物理保护变得更加困难。需要保护的PC分为四类：
- 办公室工作站 ：位于办公室内，相对容易保护，因为它们在物理场所内，并且可能有系统检查机制防止其被带出。
- 移动或平板电脑PC ：每年在美国有超过60万台PC丢失或被盗，因此需要确保这些设备得到适当的保护。
- 信息亭PC ：虽然仍在控制范围内，但由于暴露给几乎没有控制权的用户，需要非常严格的物理安全机制，确保它们被锁定，无法从设施中移除。
- 远程工作者的PC ：可能是移动系统或实际的工作站，需要在用户家中提供物理保护，同时要考虑非公司用户（如家庭成员）的访问问题。

对于这些不同类型的PC，可以采取以下物理保护措施：
- 标记系统 ：对每个系统进行标记，并将其纳入资产清单。条形码标签是理想的方法，因为它们可以录入数据库。
- 使用丢失跟踪机制 ：提供在线奖励以找回丢失的物品，如www.trackit.com。
- 安装跟踪软件 ：如AbsoluteTrack，当系统丢失或被盗且有人试图使用时，能自动识别其位置。

对于信息亭PC，应将其固定在外壳上，以防止被移除。对于移动PC，可以使用电缆锁进行保护。对于远程工作者的PC，建议将其放置在安全的房间内，并提供相关的信息和程序。

3.3 第三层：强化系统

在这一层，可以依靠Vista的特性来保护系统。以下是一些重要的Vista特性及其配置方法：
- 本地安全策略和安全配置 ：
- 创建自定义控制台 ：
1. 选择“开始菜单” -> “搜索”，输入“mmc”并按“Enter”。
2. 接受UAC提示，打开一个空白的MMC控制台。
3. 选择“文件” -> “添加/删除管理单元”，滚动左侧列表，选择“安全配置和分析（SCA）”并点击“添加”，重复此步骤添加“安全模板”管理单元。
4. 点击“确定”，保存控制台。
5. 选择“文件” -> “保存”，将其保存到“文档”文件夹下，命名为“安全控制台”。
- 安全模板的应用 ：安全模板可以包含来自本地安全策略（LSP）的多个设置，如账户策略、本地策略、事件日志等。可以使用模板为独立计算机应用设置，或者应用那些通常不会由组策略应用的设置。在Vista环境中，最常见的应用是为了适应遗留应用程序而放松安全设置。
- 创建和应用安全模板 ：
1. 返回安全控制台，展开“安全模板”部分，直到看到搜索路径。默认搜索路径为“%UserProfile%\Documents\Security\Templates”，可以通过右键单击“安全模板”项选择“新模板搜索路径”来更改文件夹位置。
2. 如果没有第三方模板，右键单击搜索路径，选择“新模板”，命名并描述模板后点击“确定”。
3. 为确保设置不会被组策略修改，将更改限制在注册表和文件系统项。展开模板，右键单击项目，选择“添加键”（注册表设置）或“添加文件”（文件设置），选择文件或设置后会出现安全对话框。
4. 应用适当的设置并点击“确定”。
5. 决定是否要传播可继承权限、替换权限或阻止权限替换，完成后点击“确定”。
6. 对要更改的每个文件或注册表设置重复上述步骤。
7. 右键单击模板名称，选择“保存”以保存更改。
- 分析和配置计算机 ：
1. 使用安全配置分析器（SCA）分析计算机，并将其设置与模板进行比较。点击SCA以更改控制台焦点，右键单击SCA并选择“打开数据库”。
2. 如果存在数据库则找到它，否则输入新的数据库名称，然后点击“确定”。数据库存储在“%UserProfile%\Documents\Security\Databases”。
3. 选择要测试的模板并点击“确定”。
4. 右键单击SCA并选择“立即分析计算机”，输入日志文件的位置并点击“确定”。
5. 分析完成后，在树状窗格中移动到要查看的设置，差异将显示在详细信息窗格中。
6. 如果要使用计算机的设置更新数据库设置，双击该项，选择“在数据库中定义此策略”，修改设置后点击“确定”。
7. 从SCA上下文菜单中选择“保存”以保存更改。
8. 从SCA上下文菜单中选择“立即配置计算机”，确定日志文件并点击“确定”，应用更改并保存数据库。
9. 如果要从预配置的计算机创建模板，重复上述步骤生成数据库，命名新模板，分析计算机，然后从SCA上下文菜单中选择“导出模板”。

还可以使用以下命令从命令行自动配置计算机：

secedit /configure /db filename.sdb /log filename.log

确保在计算机设置时创建这些模板，并使用secedit命令应用它们。可以使用Runonce命令在Vista安装后系统首次重启时自动应用安全模板。

• 用户账户控制（UAC） ：UAC是Vista中的一项新功能，每次在计算机上执行需要管理员权限的任务时，都会提示用户。运行UAC可以避免恶意代码在不知情的情况下以高权限执行。UAC可以显示两种不同类型的提示：
  • 管理员登录时 ：只需批准或拒绝操作。
  • 标准用户登录时 ：需要提供管理员用户名和相应的密码才能允许操作。

为了避免普通用户收到UAC提示，可以通过组策略进行配置。最佳配置是将“用户账户控制：标准用户的提升提示行为”设置为“自动拒绝提升请求”。此外，UAC会禁用默认的管理员账户，建议为技术人员提供不同的管理员账户，以减少与系统配置修改相关的支持呼叫。

• USB设备控制 ：通过组策略可以锁定USB设备，控制用户可以连接到系统的设备类型。例如，禁止用户将iPod连接到办公室PC下载音乐或作为硬盘传输网络信息。可以通过以下两种方式识别设备：
  • 设备识别字符串 ：包括硬件ID和兼容ID，用于阻止或授权设备。使用这些ID时，必须包含设备的所有可能ID，以避免多功能设备在某些级别被阻止而在其他级别未被阻止。
  • 设备安装类 ：通过全局唯一标识符（GUID）将设备分为不同的组，例如阻止USB磁盘驱动器的GUID，将无法在系统上安装任何USB磁盘驱动器。

配置USB设备控制的步骤如下：
1. 启动组策略管理控制台（GPMC），选择“开始菜单” -> “搜索”，输入“gpmc.msc”并按“Enter”。
2. 如果运行的是Service Pack 1，需要先下载并安装GPMC。
3. 将策略应用到在第9章中创建的PC组织单位（OU），可以通过任何影响所有PC的组策略对象（GPO）来应用。如果GPO存在，右键单击并选择“编辑”；如果不存在，则创建、命名、链接到PC OU并编辑。
4. 转到“设备安装设置”（计算机配置 -> 策略 -> 管理模板 -> 系统 -> 设备安装），并设置“可移动存储”的策略。
5. 根据表11.2的建议设置策略，每个未配置的设置将依赖于其默认行为。
6. 使用授权和未授权的各种设备测试设置。

位置	设置	建议
设备安装	驱动程序排名和选择过程中平等对待所有数字签名的驱动程序	未配置
	设备安装期间关闭“找到新硬件”气球提示	未配置
	当通用驱动程序安装在设备上时不发送Windows错误报告	未配置
	配置设备安装超时	未配置
	新设备驱动程序安装时不创建系统还原点	未配置
	允许远程访问即插即用接口	未配置
设备安装限制	允许管理员覆盖设备安装限制策略	仅在完全信任管理员或具有管理访问权限的人员时配置。
	允许安装使用与这些设备安装类匹配的驱动程序的设备	启用并添加适当的GUID条目。
	防止安装使用与这些设备安装类匹配的驱动程序的设备	启用并添加适当的GUID条目。
	当安装因策略被阻止时显示自定义消息（气球文本）	启用并输入适当的违反策略消息。
	当安装因策略被阻止时显示自定义消息（气球标题）	启用并输入适当的消息标题。
	允许安装与任何这些设备ID匹配的设备	未配置
	防止安装与任何这些设备ID匹配的设备	未配置
	防止安装可移动设备	未配置
	防止安装未由其他策略设置描述的设备	启用。
可移动存储访问	强制重启的时间（秒）	未配置
	CD和DVD：拒绝读取访问	未配置
	CD和DVD：拒绝写入访问	仅在非常安全的环境中启用。用户通常依赖此进行备份。
	自定义类：拒绝读取访问	仅在有适当的GUID时启用。
	自定义类：拒绝写入访问	仅在有适当的GUID时启用。
	软盘驱动器：拒绝读取访问	未配置
	软盘驱动器：拒绝写入访问	仅在非常安全的环境中启用。
	可移动磁盘：拒绝读取访问	未配置
	可移动磁盘：拒绝写入访问	启用。
	所有可移动存储类：拒绝所有访问	在非常安全的环境中启用。
	所有可移动存储：允许在远程会话中直接访问	在非常安全的环境中启用。
	磁带驱动器：拒绝读取访问	启用。
	磁带驱动器：拒绝写入访问	启用。
	WPD设备：拒绝读取访问	仅在用户不使用智能手机或Pocket PC时启用。
	WPD设备：拒绝写入访问	仅在用户不使用智能手机或Pocket PC时启用。

• Windows Defender ：是一个间谍软件实用程序，内置在Vista中，可自动保护计算机免受恶意内容（如间谍软件和rootkit）的侵害，并在识别到恶意内容时自动将其移除。可以通过Vista安全中心（控制面板 -> 安全 -> 安全中心）访问。

通常通过组策略配置Windows Defender，以下是一些配置建议：
| 位置 | 设置 | 建议 |
| — | — | — |
| Windows Defender | 通过WSUS和Windows Update开启定义更新 | 仅在网络中有自定义Windows Server Update Services服务器时禁用。 |
| | 在计划扫描前检查新签名 | 未配置 |
| | 关闭Windows Defender | 未配置 |
| | 关闭实时保护对未知检测的提示 | 未配置。用户应该了解系统上的异常行为。 |
| | 启用记录已知良好检测 | 仅在故障排除情况下启用。 |
| | 启用记录未知检测 | 仅在故障排除情况下启用。 |
| | 下载整个签名集 | 未配置 |
| | 配置Microsoft SpyNet报告 | 仅在想更改默认参与SpyNet的设置时配置。所有组织都应该参与SpyNet，因为它依赖大量信息提供高级保护。 |

• 自动更新管理 ：Windows Vista可以从Microsoft Update网站或内部Windows Server Update Services（WSUS）服务器获取Windows Defender更新。对于拥有多台计算机的组织，建议安装自己的WSUS服务器，以便更好地控制Windows Defender和Windows本身的更新应用。

在安装PC时，需要配置Vista以获取除Windows之外更多产品的更新，这样可以使用单一工具进行更新配置和管理。通过组策略在“计算机配置 -> 策略 -> 管理模板 -> Windows组件 -> Windows更新”中配置更新设置，以下是一些建议：
| 设置 | 建议 |
| — | — |
| 不在“关闭Windows”对话框中显示“安装更新并关闭”选项 | 启用。控制更新部署时间。 |
| 不将默认选项调整为“安装更新并关闭” | 未配置 |
| 启用Windows更新电源管理以自动唤醒系统安装计划更新 | 启用。与GPO中的电源管理设置结合使用，降低网络中PC的电力成本。 |
| 配置自动更新 | 启用。理想情况下，配置为从服务器获取更新并定期安装。 |
| 指定内部Microsoft更新服务位置 | 启用并指向WSUS服务器。 |
| 自动更新检测频率 | 未配置。默认设置合适。 |
| 允许非管理员接收更新通知 | 未配置。仅让管理员接收通知。 |
| 允许自动更新立即安装 | 仅在“配置自动更新”中设置了计划时启用。 |
| 通过自动更新开启推荐更新 | 启用。 |
| 计划自动更新安装时不自动重启 | 仅在白天交付更新时启用。 |
| 计划安装时重新提示重启 | 仅在认为需要紧急更新时启用，因为这会干扰用户工作。 |
| 延迟计划安装的重启 | 未配置。计划应在夜间应用更新。 |
| 重新安排自动更新计划安装 | 未配置。 |
| 启用客户端侧目标 | 启用以创建更新测试的测试平台。 |
| 允许来自内部Microsoft更新服务位置的签名内容 | 在高度安全的网络中启用并配置。 |

微软每月的第二个星期二发布更新，在将所有补丁和服务包部署到网络之前，务必进行充分测试。

• 无线和有线网络配置 ：当连接到Windows Server 2008网络时，Vista允许通过组策略配置有线或无线网络的操作。这些策略设置可以精确控制谁或什么可以通过有线或无线网络连接到内部网络。设置由Windows Server 2008的网络访问保护中的网络策略服务器角色控制。

配置步骤如下：
1. 配置有线和无线网络策略。
2. 在每台PC的组策略设置中设置策略控制，允许它们连接到网络。任何未收到此组策略设置的设备将无法连接到网络，从而提供对恶意网络设备（尤其是无线设备）的严格控制。

这个配置依赖于Windows Server 2008环境，更多信息可参考http://technet2.microsoft.com/windowsserver2008/en/library/8d0a7ffc-a154-43ea-ba30-f51c678bccae1033.mspx?mfr=true。

通过以上介绍，我们了解了Vista系统的安全特性以及如何运用城堡防御系统来保护Vista PC。在实际应用中，应根据组织的具体需求和安全要求，综合运用这些安全策略和措施，确保系统和数据的安全。

确保工作站安全：Vista系统的全方位防护策略

4. 第四层：管理信息访问

第四层主要关注用户如何访问信息，主要涉及以下几个方面：
- 智能卡部署 ：
- 智能卡类型 ：智能卡有多种类型，其中USB智能卡成本较低，形如小型USB设备，无需额外硬件读取设备，插入即可使用。但使用时需确保在设备控制设置中将其设为可移动设备。
- 兼容性要求 ：在Vista系统中，智能卡可用于登录身份验证和加密文件系统。选择供应商时，要确保产品与Vista兼容，因为Vista的登录架构与XP不同，XP兼容产品在Vista上可能无法使用，需使用经过认证的产品。可通过http://winqual.microsoft.com/HCL/ProductList.aspx?m=v&cid=406&g=d查看兼容的智能卡读卡器列表。
- 组策略配置 ：可通过组策略控制智能卡行为，路径为“计算机配置 -> 策略 -> 管理模板 -> Windows组件 -> 智能卡”。以下是一些配置建议：
| 设置 | 建议 |
| — | — |
| 允许无扩展密钥使用证书属性的证书 | 未配置 |
| 允许在登录时显示集成解锁屏幕 | 使用前与硬件制造商确认 |
| 允许用于登录的有效签名密钥 | 未配置 |
| 允许时间无效的证书 | 未配置 |
| 开启智能卡证书传播 | 启用以提供多用途证书 |
| 配置根证书清理 | 未配置 |
| 开启智能卡根证书传播 | 未配置 |
| 过滤重复的登录证书 | 未配置 |
| 强制读取智能卡上的所有证书 | 未配置 |
| 智能卡被阻止时显示字符串 | 未配置 |
| 显示证书中存储的主题名称时反转 | 启用以正确显示用户名 |
| 允许用户名提示 | 未配置 |
- Internet Explorer配置 ：Internet Explorer 7比以往版本更全面，在“计算机配置 -> 策略 -> 管理模板 -> Windows组件 -> Internet Explorer -> 安全功能”下有13类设置，包括插件管理、二进制行为安全限制、一致的MIME处理、信息栏等。由于设置众多，建议仔细查看每个安全功能并合理应用，以创建安全的IE环境。可通过www.microsoft.com/windows/products/winfamily/ie/features.mspx在线查看每个功能的解释。

5. 第五层：外部访问管理

第五层的防御主要涉及PC在网络外部访问资源的方式，主要包括以下几个方面：

5.1 高级安全Windows防火墙

Vista包含两个防火墙产品：
- 基本防火墙 ：通过安全中心（控制面板 -> 安全 -> 安全中心）访问。安装Windows Vista后，防火墙会作为初始安全配置的一部分立即启动，查看或修改设置需要管理员权限。基本防火墙有开启或关闭两个主要设置，应始终保持开启。还有“例外”和“高级”两个额外选项卡，“例外”列表可列出防火墙的例外类型，可在应用程序级别或端口级别管理防火墙。许多应用程序支持防火墙感知，安装时会自动在防火墙中进行相应更改。
- 高级安全Windows防火墙（WFAS） ：通过组策略（计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 高级安全Windows防火墙）访问，提供更全面的防火墙行为控制。
- 网络配置文件 ：Vista连接网络时会识别网络类型，用户有“私人”“公共”“家庭”三种选择。Vista会根据选择配置防火墙设置，公共网络限制最严格，不允许入站连接，建议用户连接未知网络时选择公共网络。此外，WFAS还有“域”配置文件，用于控制系统连接到网络时的防火墙行为。
- 配置步骤 ：
1. 启动组策略管理控制台，选择“开始菜单 -> 搜索”，输入“gpmc.msc”。
2. 找到适用于所有系统的组策略对象，右键单击并选择“编辑”。
3. 导航到“高级安全Windows防火墙”，展开内容并点击子节点。
4. 在详细信息窗格中，点击“Windows防火墙属性”。
5. 首先配置“域”配置文件，至少使用推荐和默认设置，开启防火墙，阻止入站连接（除非明确允许），允许出站连接。
6. 点击“设置”下的“自定义”按钮，打开第二个对话框，至少选择默认设置。可选择显示通知，允许单播响应，根据需要决定是否允许本地防火墙规则和本地连接安全规则。
7. 对“私人”和“公共”选项卡重复上述操作。
8. 最后一个选项卡是IPsec设置，点击“自定义”按钮修改，默认开启某种形式的IPsec，可点击“默认值是什么？”链接查看默认值，点击“高级”和“自定义”按钮更改设置，完成后点击“确定”。需与服务器管理员协调，确保服务器和PC的IPsec设置匹配。若修改IPsec设置，可允许ICMP豁免，但对于移动系统，建议关闭。点击“确定”应用配置文件更改。

还可创建入站、出站和连接安全规则，每个节点都有向导生成规则，建议基于程序而非端口创建规则，也可使用预定义规则，仅在安装特定未知程序时使用自定义规则。创建规则的最佳方法是结合两个防火墙，步骤如下：
1. 使用典型配置设置一台PC。
2. 启用该PC所需的所有应用程序，如远程协助、远程桌面和Windows远程管理等。
3. 通过控制面板打开Windows防火墙，转到“例外”选项卡。
4. 将基本防火墙“例外”选项卡中的规则应用到组策略。
5. 部署前测试策略。

5.2 虚拟专用网络（VPN）连接

VPN可让远程用户通过互联网安全访问内部网络，创建加密隧道保护数据传输。客户端建立VPN连接时，会经历以下步骤：
1. 用户发起互联网连接，可通过有线、无线或调制解调器连接（调制解调器连接很少使用）。
2. 互联网连接建立后，用户在Vista中启动“连接到网络”工具（可通过控制面板、网络和Internet、连接到网络，或右键单击任务栏中的网络连接图标，选择“连接到网络”）。首次连接时，使用“连接到工作区”向导，提示选择VPN或直接拨号连接，用户按向导步骤输入连接地址、连接方法和所需凭证；若连接已建立，只需选择并点击“连接”。
3. 连接启动后，客户端系统联系托管服务器并启动身份验证过程。
4. 托管服务器验证用户身份，客户端和服务器交换安全信息。
5. VPN服务器为客户端提供新的IP地址，客户端使用该地址通过VPN服务器与内部网络通信，所有通信通过只有服务器和客户端参与的隧道加密。

Windows Vista Service Pack 1和Windows Server 2008支持三种VPN协议：
- 点到点隧道协议（PPTP） ：微软最早支持的VPN协议，引入于Windows 95。支持用户身份验证、访问控制，可应用连接配置文件限制用户对内部网络的访问。通过提供内部IP地址池中的IP地址，让外部计算机像直接连接到网络一样工作，还可压缩VPN隧道中的数据以提高通信速度。
- 第二层隧道协议（L2TP）与Internet协议安全（IPSec）结合 ：标准协议，依赖TCP/IP的用户数据报协议（UDP），可在更多网络平台上工作。但L2TP本身仅提供身份验证，需与IPSec结合，IPSec提供协商和加密服务，同时提供相互机器身份验证，确保连接到正确的机器。
- 安全套接字隧道协议（SSTP） ：Windows Server 2008引入的协议，依赖安全套接层（SSL）创建简单高效的互联网隧道，使用与访问商业网站（如银行）相同的策略加密通信。优点是基于标准的超文本传输协议（HTTP）会话提供VPN链接，比IPSec或L2TP更简单，且在创建加密隧道后才发送用户凭证，更安全。此外，SSTP使用端口443进行通信，该端口通常在防火墙中开放，使用SSTP VPN时通常无需在防火墙层面进行额外配置。

创建安全隧道时，建议使用受信任的PKI证书进行身份验证，这样客户端计算机可自动信任证书，无需与客户端系统交互即可建立连接。若使用其他身份验证机制，需在客户端计算机上进行操作，对于大量系统创建VPN时，这种方式不实用。

5.3 公钥基础设施（PKI）

PKI系统生成的证书通过第三方验证身份，提供不可否认性，确保证书所有者身份的唯一性。在Vista中，PKI系统有多种用途：
- 加密文件系统
- 智能卡部署
- 安全套接字隧道协议（SSTP）VPN连接
- 安全在线交易
- 安全网站连接
- 数字版权管理
- 电子邮件和文档的数字签名

包含证书的文档在传输过程中无法被修改，证书还能快速准确地识别计算机或用户，比简单的用户名和密码更安全。Windows Server可轻松实现证书管理和部署的自动化，应将其集成到基础设施中以提高网络安全级别。

为确保证书能被无缝使用，需被接收方信任。Windows Vista包含一系列嵌入式受信任的根证书颁发机构，微软会通过Windows Update定期更新。从这些受信任的机构（如Thawte、VeriSign、GoDaddy等）购买的证书，可被所有计算机信任；自行颁发的证书，需将根证书导入目标PC才能被信任，可通过组策略在受控计算机上实现，但在用户家庭计算机或公共计算机上无法使用。因此，理想情况下，应使用受信任机构颁发的证书。

内部证书设置通过组策略（计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 公钥策略）管理，应用前需了解每个策略设置的作用，并与服务器团队协调证书实施和部署策略。微软发布了关于证书故障排除的指南，可在www.microsoft.com/downloads/details.aspx?FamilyID=FE8EB7EA-68DA-4331-9D38-BDBF9FA2C266&displaylang=en查看。

5.4 网络访问保护（NAP）

Vista包含NAP客户端，可与Windows Server 2008中的微软NAP实现和/或思科的网络访问控制配合使用。NAP可保护网络免受不符合特定健康状态的系统连接，连接方式包括VPN、DHCP、路由器或交换机、终端服务或网页。每次连接请求发送到集中服务时，客户端需提供健康状态，若不符合策略，将被置于隔离网络进行更新，更新后符合要求才能连接到网络。

NAP不仅能创建安全网络，还可配置谁能访问有线和无线网络，支持VPN连接时，可确保客户端仅在符合特定规则时才能连接。对于受控计算机，可依靠组策略和Windows Server Update Services等工具纠正不健康状态；对于非受控计算机，可将用户重定向到网页，指导其手动更新系统以满足健康要求。

未安装NAP客户端（通过服务包或集成到平台）的计算机无法连接到启用NAP的网络，无论是内部还是外部网络连接。可通过组策略（计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 网络访问保护）配置NAP客户端行为，需与服务器团队协调设置并部署到每台PC，以创建安全网络。

从客户端角度，可通过NAP客户端管理控制以下行为：
- 启用或禁用NAP强制执行
- 配置NAP客户端界面在客户端计算机上的显示方式，控制品牌文本和图形等项目
- 控制客户端连接的健康注册机构（HRA）服务器
- 控制客户端连接HRA服务器时使用的加密机制

这些操作大多由服务器管理员完成，但用户应熟悉NAP的各种功能和组件，以便在过程中提供协助。NAP是一项全面的技术，可通过http://technet.microsoft.com/en-us/network/bb545879.aspx了解更多信息。

综上所述，Vista系统提供了丰富的安全特性和防护策略，通过合理运用城堡防御系统的五个层次，从信息保护、物理保护、系统强化、信息访问管理到外部访问管理，全面保障工作站的安全。在实际应用中，应根据具体情况综合配置和管理这些安全措施，以应对不断变化的安全威胁。