經驗技巧 你從未見過的SNAC的使用方法

背景

網絡發展到今天，已經成為人們生活的一部分，信息查詢、網上購物、網上銀行等業務，網絡給人們帶來了諸多方便，但隨之而來的就是安全問題，病毒、黑客、網絡誘騙、不法分子盜取有用價值，安全問題已經使人們倍受關注。

我中心負責的業務支撐系統是河南移動公司最重要的生產網絡之一，一萬四千多臺終端和幾百臺服務器承載著全省客戶前臺辦理業務、充值、查詢以及后臺管理等重要工作，已經演變成了一個小規模的互聯網，其安全水平與互聯網緊密相連，如此龐大一個網絡，業務系統長期穩定安全地運行，是業務支撐網能夠提供優質服務的保障，在終端上部署了防病毒系統、網絡上部署了防火墻、入侵檢測等安全設備之后，最近我中心又正在部署4A統一安全管理平臺，由于之前的BOSS2.0系統是C/S結構，升級到BOSS3.0之后雖然使用了B/S結構，但是用IP地址直接訪問服務器的，這樣有個弊端就是如果將來服務器需要遷移，要通知分公司更新服務器的地址，工作量大并且IP地址也不容易記憶，所以自4A系統開始，業務支撐網啟用域名服務，終端使用域名訪問業務服務器。

在之前沒有啟用域名服務的前提下，如今啟用，一萬多臺終端統一添加DNS，這項工作工作量大且簡單，而BOSS終端分布在全省星羅棋布，乃至鄉鎮營業廳，要花費大量的時間完成這項工作，而且人為操作容易遺漏。

思路

我中心業務支撐網內自2008年8月統一部署Symantec Endpoint Protection和Symantec Network Access Control 11.0，由河南金盾計算機安全技術有限公司做技術支持，我們現在已經使用了禁用USB的存儲設備、禁用注冊表、密碼最長使用60天等策略。

SNAC可以將文件推送給客戶端執行，而通過操作系統的NETSH命令可以更改網卡的相關配置，如果通過SNAC可以實現對客戶端統一添加DNS這一需求，工作量將大大減少，帶著這個想法，我中心安全管理員聯系了金盾公司的工程師，工程師立即和廠家相關人員進行溝通。河南金盾工程師和廠家技術人員溝通后表示之前從未有過如此操作，此操作屬于產品技術上的空白。河南金盾的工程師表示愿意配合我們進行此項測試，并于當天晚上到現場進行測試。

過程

經過我們的多次測試，測試終于達到了預期的效果。測試得出的結果是通過主機完整性策略可以實現，但是只能更改網卡名稱是"本地連接"的終端，之后再通過測試繼續完善，可以通過循環先判斷網卡的名稱，然后再改之，隨之而來的問題就是每次主機完整性檢查都會添加DNS服務器，如何通過判斷如果已經添加了需要的DNS就不再添加，是個問題，通過查找相關資料，在注冊表里保存著DNS服務器的信息，每個網卡都不一樣，在注冊表里保存的位置也有所不同，我們測試了使用通配符"*"的方法可行，至此，已經完全滿足了我中心的需求。

效果

SNAC可以修改終端的DNS這一工作，減少了終端管理員的工作量，降低了遺漏率、錯誤率，還可以通過日志信息收集到哪些終端的DNS沒有設置，及時通知管理員設置，另外，也為我中心省下了不少人力資源，提前了4A的工期。

后期還可以設置終端信任站點、WSUS客戶端等工作，最大的挖掘SEP的潛能。

技術的提高，業務的增加，需求的多樣化激發了SNAC的潛能；工程師勇于創新的精神和扎實的技術又讓SNAC迸發出光芒，優秀的SNAC不負眾望的實現了所有工程師的期望，又讓人們認識到SNAC的另一種方便的功能，同時填補了SNAC技術上的另一個空白。