Фильтрация групповых политик для создания политики внедрения NAP DHCP в Windows Server 2008

ОГЛАВЛЕНИЕ

Network Access Protection (защита доступа к сети) – это новый инструмент для контроля доступа к сети, входящий в состав операционной системы Windows Server 2008. Network Access Protection, или сокращенно NAP, позволяет вам контролировать, какие компьютеры могут взаимодействовать в вашей сети. Возможность взаимодействия с сетью определяется тем фактором, удовлетворяет ли клиентский компьютер NAP требованиям безопасности, которые заданы вашими политиками NAP.

NAP имеет несколько 'движущих частей', из-за которых его сложно настраивать. Дополнительно проблемой также является тип усиления, который вы хотите подключить. Например, есть несколько клиентов NAP Enforcement Clients, которые контролируют доступ к сети на основании информации об IP адресе, или, основываясь на том, имеет ли клиент сертификат, который позволяет ему подключиться к сети.

В этой статье я помогу вам объединить простые решения для усиления DHCP NAP. Когда вы используете усиление DHCP NAP, то сервер DHCP становится вашим сервером для сетевого доступа. Это означает, что сервер DHCP отвечает за обеспечение клиентских компьютеров NAP информацией согласно их уровню соответствия. Если клиентский компьютер NAP удовлетворяет определенным условиям, то он получает информацию об IP адресах, которая позволяет ему подключаться к другим компьютерам в вашей сети. Если клиентский компьютер NAP не соответствует вашим политикам здоровья, то клиенту NAP будет присвоен IP адрес, который ограничивает число компьютеров, к которым он может подключиться. Обычно, ваша политика NAP позволит компьютерам, которые ей не удовлетворяют, подключиться к контроллерам домена и серверу сетевой инфраструктуры.

В сценарии усиления DHCP NAP Enforcement требуются другие сервера. Т.к. в этом сценарии сервер DHCP является сервером сетевого доступа, то вам нужен сервер RADIUS, который будет содержать ваши политики NAP. Есть несколько политик, которые хранятся на сервере RADIUS совместимым с NAP, такие как политики состояния, сетевые политики, а также политики запросов на подключение. В Windows Server 2008 в качестве сервера RADIUS, на котором хранятся ваши политики NAP, используется сервер сетевой политики Network Policy Server (NPS). Сервер NPS будет взаимодействовать с вашим сервером DHCP и информировать ваш сервер DHCP о том, удовлетворяет ли клиент вашим политикам NAP или нет.

Для того, чтобы установить вашу политику состояния (heath policy), вы должны установить по крайней мере один валидатор Security Health Validator (SHV) на сервере NPS. По умолчанию, Windows Server 2008 предоставляет вам Windows Security Health Validator, который вы можете использовать для задания ваши политик состояния.

На стороне клиента есть два компонента, которые вы должны включить – это агент NAP Agent и клиент усиления NAP Enforcement client. Агент NAP Agent собирает информацию о состоянии безопасности клиентского компьютера, а NAP Enforcement Agent используется для усиления политики NAP, в зависимости от выбранного вами типа усиления. В сценарии, который мы используем в этой статье, мы подключим DHCP NAP enforcement agent.

Тестовая сеть очень простая. Она состоит из трех машин:

  • Контроллер домена Windows Server 2008 Domain Controller. Никаких других служб не установлено на этой машине. Этой машине присвоен IP адрес 10.0.0.2, и эта машина является контроллером домена в домене msfirewall.org.
  • Член домена Windows Server 2008 msfirewall.org. IP адрес этого компьютера -10.0.0.3. На этом компьютере установлены службы DHCP и NPS.
  • Клиентский компьютер с Windows Vista. Эта машина является членом домена msfirewall.org.
  • В этой статье мы выполним следующие процедуры:
  • Создадим группу безопасности Security Group, в которую будут помещены клиенты NAP
  • Установим службы NPS и DHCP на сервер
  • Используем мастер NAP wizard для создания политики усиления NAP DHCP enforcement policy
  • Просмотрим политику запросов на подключение (NAP Connection request policy)
  • Просмотрим сетевые политики (NAP Network policies)
  • Просмотрим политики состояния (NAP Health policies)
  • Настроим сервер DHCP для взаимодействия с сервером NPS для усиления NAP
  • Настроим параметры NAP в групповой политике
  • Поместим компьютер с Vista в группу усиления NAP
  • Проверим наше решение

Прочитайте эти инструкции несколько раз перед реализацией их в вашей лаборатории. Убедитесь, что вы понимаете для чего необходим каждый этап, и никогда не стесняйтесь обращаться ко мне на Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра., если у вас возникнуть какие-либо вопросы относительно конфигурации.