Windows Server的NAP配置攻略.docx
《Windows Server的NAP配置攻略.docx》由会员分享,可在线阅读,更多相关《Windows Server的NAP配置攻略.docx(10页珍藏版)》请在冰豆网上搜索。
WindowsServer的NAP配置攻略
WindowsServer2008的NAP配置攻略
今天的文章中,我们讨论的话题是Windosserver2008的NAP(NetworkAccessProtection网络访问保护)功能,如果大家关注Windosserver2008的新技术就会发现,现在有关NAP的文章可以说是多如牛毛,但是仔细看来我们不难发现,这类文章更多的是集中在NAP功能的基本描述,而对于具体的使用体验以及配置技巧却很少提及,今天我们就来为大家解决这个问题。
在全新的Windosserver2008中我们可以看到许多针对原先Windows系统所存在的安全隐患的改进,NAP(NetworkAccessProtection网络访问保护)就是其中非常重要的一项,这个技术可以有效的保证远程的连入计算机的安全。
NAP可提高移动计算机和内部网络的安全性。
通常,带着计算机旅行或者出差的用户不会连续几个星期与内部网络相连。
当他们通过VPN或者其他方式连接公司内网时,连接时间可能会非常短,以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名。
因此,移动计算机所处的安全状态往往不及其他计算机。
“网络访问保护”可提高这些移动计算机的安全性,因为它可确保在用户连接到网络前安装最新的更新内容。
在整个保护过程中,NAP针对存在风险的客户提供了3种解决方案,第一种是通过策略限制他们在内网中的访问,第二种是将这些用户隔离到一个指定的网段以等待下一步处理,而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。
这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成,比如SMS(SystemsManagementServer),同时这些受限的用户也可以通过策略配置的URL去访问到公司内网的一些补丁分发服务器等等。
在NAP中,Windosserver2008扩展了WindowsServer2003中的网络访问隔离功能,原先的这一特性只能针对远程访问的用户加以防护,而在NAP中,Windosserver2008可以保护所有通过VPN、DHCP以及IPsec进行连接的通信,由于篇幅有限,我们在这篇文章中之针对DHCP的客户端进行讲解。
要搭建NAP的环境,我们需要两台Windosserver2008Beta2的计算机,一台WindowsXP或者WindowsVista的计算机;如果客户端是WindowsXP的计算机,那么还必须安装NAPClient软件。
第一步:
配置全新的DHCP服务器
要想实现NAP功能,我们首先要有一个域环境,我们选择其中的一台Windosserver2008,将它设置为DC,域的名称为NAP.com。
并在此计算机上安装AD、DNS和NetworkAccessServices,在安装NetworkAccessServices时,只选择安装其中的Routerandremoteaccess。
将另外一台Windosserver2008加入到NAP.com域,配置称为成员服务器。
然后在其上安装DHCP和NetworkAccessServices。
在安装的过程中系统将会询问是否安装WAS和IIS,点击确定,安装完成。
环境配置好后,我们需要配置的顺序是先配置DHCP,然后配置NetworkPolicyService。
首先在计算机服务中启动DHCP服务,因为DHCP服务默认是不启动的。
然后在“Administrativetools”中打开DHCP控制台。
首先对DHCP进行授权,右键点击服务器,选择“Authorizes”进行授权验证。
接下来,右键点击“IPv4”,然后选择“NewScope”来新建一个范围,范围的IP地址可以根据现实的情况来设置。
配置完IP范围后,在“IP4”下面会出现一个“Scopeoptions”,右键点击,然后选择“Configureoptions”,打开配置对话框,在这个对话框中有两个标签,首先选择“General”。
在下面我们需要配置三个选项,首先选择“Router”,然后在下面输入Router的IP地址;其次选择“DNSServer”选项,输入DNS的IP地址;最后选择“DNSDomainName”,输入域的名称。
如图:
然后选择“Advanced”标签,在这里我们配置关于NAP的一些选项。
首选,在Userclass下拉列表中选择“DefaultNetworkAccessProtectionClass”,表明我们在配置NAP的选项。
然后选择“Router”,在下面输入IP地址;接下来选择“DNSServer”,输入IP地址;最后选择“DNSDomainName”,在下面输入一个域的名称,如,注意这个域名和之前输入的那个域名并没有什么实际的作用,它们只是方便管理员来区分连到网络中的计算机哪些是安全的,哪些是不安全的。
比如,如果计算机是安全的,那么它们就会在NAP.com这个域名下,如果计算机不是安全的,那么它们就会在下。
这只是为了方便管理员管理。
这些配置完成后,关闭对话框,回到DHCP控制台。
我们现在需要做的就是将NAP在DHCP上开启。
右键点击“Scope”,选择“Properties”。
在属性对话框中,选择“NetworkAccessProtection”标签。
选中“Enableforthisscope”。
此时在DHCP上就开启NAP了。
第二步:
实现我们的NAP配置
在DHCP配置完后,接下来就需要在这个Windosserver2008上配置NAP的服务了。
首先在“AdministrativeTools”里面打开“NetworkPolicyServer”。
如图:
然后展开左边的NetworkAccessProtection,里面有三个子文件夹:
SystemHealthValidators,SystemHealthValidatorsTemplates,RemediationServerGroup。
首先来看第一个,SystemHealthValidators,这个工具的作用就是检测连接到网络中的计算机哪些是不安全的,安全条件用户可以在里面设置,比如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等等。
SystemHealthValidatorsTemplates是健康验证模版,在它里面创建两个模版,一个是安全计算机模版,另一个是不安全计算机的模版。
SystemHealthValidators工具验证出来的计算机如果是安全的就归类到SystemHealthValidatorsTemplates中那个安全计算机模版中,如果SystemHealthValidators验证计算机是不安全的,那么它就会归类到不安全的这个模版中。
点击左边的“SystemHealthValidators”,在右面的栏目中会列出此文件夹的项目,右击此项目,然后选择“Properties”。
打开属性对话框,如图:
在此对话框中,可以设置计算机的筛选条件。
然后在下半部分,用户可以选择当出现一些其它问题时(如网络问题),判断计算机是不是安全的,也可以设置为安全的,只需要点击下拉列表,然后选择“Health”就可以了。
点击“Configure”进入设置条件对话框。
如图:
在这里面,用户可以设置防火墙、杀毒软件、安全更新等。
这些是检查计算机是否安全的条件。
点击“OK”。
这个子文件夹的内容就设置好了。
设置下一个――SystemHealthValidatorsTemplates。
在这里面新建模版,右键点击,选择“NEW”,如图:
弹出创建对话框,在里面输入此模版的名称,比如我们创建一个安全计算机的模版,名称为CompliantComputer,在“TemplateType”下拉列表选择“CheckpassesallSHVchecks”。
表明只有所有的验证条件符合的计算机才是安全的计算机。
然后选中验证器WindowsSecurityHealthValidator,如图:
同样的方法创建一个计算机安全验证失败的模版。
这次选中“ClientfailsoneormoreSHVchecks”,这个选项的意思是如果有一个条件不符合安全机制,就认为这个计算机是不安全的。
这一部分完成后,如果不安全的计算机连接到网络,企业希望它被阻止访问企业内部网,同时也希望它能够上网安装补丁,或者进行安全设置以达到企业的标准。
那么就需要一台服务器,在它里面可以包含一些安全的补丁,排除错误的方法等等。
这个服务器可以配置一个网站,当不安全的计算机连到内部网络的时候,它会自动的访问这个网站,来知道哪些设置是不安全的,以便修复。
这样的服务器就是RemediationServerGroup。
它也可以是一个服务器组。
右键点击“RemediationServerGroup”,选择“New”。
会弹出一个对话框,输入一个GroupName,这个组名是自己定义的,表示用来修复计算机那个服务器所属的组。
选择“Next”,然后在里面添加服务器,最后点击完成。
这些完成之后,我们需要将已经定制的模版和策略集成在一起。
这就需要在AuthorizationPolicies里面设置。
右键点击“AuthorizationPolicie”,选择“New”-“Custom”。
在此我们进行自定义设置。
接下来,就会弹出一个自定义对话框,首先输入一个策略名称,这个策略是应用到安全的计算机的策略,我们起名为CompliantComputer,然后在“PolicyType”里面选择“GrantAccess”,允许访问内部网络。
如图:
然后点击“Conditions”标签,打开此标签。
展开左边的树型结构,点击“SHVTemplates”,在右边的Existingtemplates中选择一个策略,在此选择我们以前创建的安全计算机的模版-CompiantComputer。
点击“Add”添加这个策略。
然后在左边的属性结构中,点击“NetworkAccessProtection”下的NAP-CapableComputers,如图:
选择“OnlycomputersthatareNAP-capable”。
此选项表明应用此策略的计算机是支持NAP的计算机。
然后打开最后一个标签“Settings”,点击“NetworkAccessProtection”下的“NAPEnforcement”,然后选择“Donotenforce”,因为这是安全的计算机,所以我们不强制使用NAP。
同样的方法创建一个针对不安全计算机的策略。
不同的是在策略模版中选择的是不安全计算机的那个模版,“PolicyType”仍然是“GrantAccess”。
同时在“Settings”标签中的NAPEnforcement中选择“Enforce”,强制使用NAP。
并且选中“Updatenon-compliantcomputersautomatically”。
点击左侧的“RemediationServers”,在里面选中创建的RemediationGroupname。
如果你想让不安全的计算机连接到网络上以后,自动的进入一个提供了安全措施的Web站点,你需要在RemediationServers上创建这样一个站点,并且在左边树型结构的TroubleshootingURL中输入这个网址。
到此,服务器端的设置就完成了。
第三步:
将客户端加入保护范畴
接下来我们需要配置客户端。
如果要使用WindowsXP的计算机进行演示,需要在WindowsXP上安装一个NAP的客户端,可以在微软站点下载。
WindowsVista计算机已经有了NAP的客户端,但是首先需要在WindowsVista计算机服务中将其开启。
然后打开MMC,在里面添加“NAPClientConfiguration”。
如图:
在这里面开启DHCPQuarantineEnforcementClient策略。
至此NAPDHCP保护的配置工作就全部完成了,如果配置没有问题的话,用户可以将客户端加入到域,然后开启“安全中心”服务(加入到域后默认是关闭安全中心的)。
然后关闭防火墙,等一会在机器的右下角就会弹出一个标志,表明计算机是不安全的,被限制访问内部网络。
而重启后我们可以发现防火墙会自动开启。
NAP的功能对于微软来说,的确是一次不小的挑战与革新,毕竟对于整个网络环境的保护,硬件厂商还是有着无可比拟的先天优势,事实上,很多的硬件厂商都已经有了类似于NAP的安全防护功能,有的甚至比微软的技术更加领先,对于网络环境的保护已经成为软硬件厂商激烈竞争的新领域,随着Windosserver2008全新测试版本的推出,NAP另外的几种保护模式也将逐渐成形,到时我们就可以看到更加丰富多彩的网络访问保护了。
升级会员 