通过配置对等验证禁止远程计算机

使用对等验证,远程客户端计算机(对等方)可连接到同一公司网络中的另一台客户端计算机(验证者)。验证者会暂时禁止来自远程计算机的入站 TCP 和 UDP 通信,直到远程计算机通过主机完整性检查。当远程计算机确实位于远程时,您可以使用此强制执行技术。此技术利用
Symantec Endpoint Protection
防火墙的高级功能来增强共享文件的访问。
主机完整性检查验证远程计算机的下列特性:
  • 远程计算机已安装
    Symantec Endpoint Protection
  • 远程计算机已通过主机完整性检查。
如果远程计算机通过主机完整性检查,则验证者会允许来自远程计算机的入站连接。
如果远程计算机未通过主机完整性检查,验证者将继续禁止该远程计算机。您可以指定被禁止的远程计算机重新尝试连接到验证者的重试时间间隔。也可以指定始终允许某些远程计算机,即使这些计算机未通过主机完整性检查。如果未对远程计算机启用主机完整性策略,则视为远程计算机通过主机完整性检查。
对等验证信息显示在“网络和主机漏洞利用缓解通信”日志中。
对等验证适用于服务器控制和混合控制模式,但不适用于客户端控制模式。
  1. 通过配置对等验证禁止远程计算机
  2. 在控制台中,打开防火墙策略。
  3. 在“
    防火墙策略
    ”页面中,单击“
    对等身份验证设置
    ”。
  4. 在“
    对等验证设置
    ”页面上,选中“
    启用对等验证
    ”。
  5. 配置页面上列出的每个值。
    有关这些选项的详细信息,请单击“
    帮助
    ”。
  6. 若要允许远程计算机在未经验证的情况下连接至客户端计算机,请选中“
    从验证范围中排除主机
    ”,然后单击“
    排除主机
    ”。
    客户端计算机允许到“
    主机
    ”列表中列出的计算机的通信。
  7. 在“
    排除主机
    ”对话框中,单击“
    添加
    ”以添加不必验证的远程计算机。
  8. 在“
    主机
    ”对话框中,通过 IP 地址、IP 范围或子网定义主机,然后单击“
    确定
    ”。
  9. 在“
    排除主机
    ”对话框中,单击“
    确定
    ”。
  10. 单击“
    确定
    ”。
  11. 如果系统发出相应提示,请将策略分配到某个组。