Фильтрация групповых политик для создания политики внедрения NAP DHCP в Windows Server 2008

ОГЛАВЛЕНИЕ

Проверка решения

Следует помнить, что при использовании внедрения DHCP клиенты должны использовать DHCP для получения информации IP адресации. Когда вы открываете интерпретатора команд и выполняете команду ipconfig, вы получите информацию IP адресации для DHCP клиента. На рисунке ниже видно, что этот клиент не соответствует NAP, поскольку он получил доменное имя restricted.msfirewall.org,, что является опцией DHCP, которую мы создали для несоответствующих NAP клиентов.

В интерпретаторе команд запустите команду Route Print. Обратите внимание на маршруты к DHCP серверу и контроллеру домена. Обратите внимание, что на сетевом ID подсети нет других интерфейсов маршрутизации. Это означает, что этот клиент NAP сможет достигать только DHCP сервера и контроллера домена, но не других машин в сети. Эта машина ограничена, так как элементы таблицы маршрутизации запрещают доступ ко всем IP адресам, кроме тех, которые мы настроили в NAP (помните, что контроллер домена входит в группу исправления, а доступ к DHCP разрешен автоматически, поскольку это сервер сетевого доступа, который управляет уровнем сетевого доступа).

Эти ситуации возникнут в том случае, если машина не была включена в домен или если параметры NAP не применились к клиенту.

Теперь давайте посмотрим, как все выглядит, когда NAP параметры были применены.

Выполните команду ipconfig снова и увидите неограниченное доменное имя, которое было присвоено клиенту.

Выполните команду Route Print. Здесь видно, что основной шлюз у нас настроен. К тому же, у нас есть интерфейс маршрутизации для ID сети в подсети. Специальные интерфейсы маршрутизации к DHCP серверу и контроллеру домена были удалены.

Давайте протестируем функцию автоматического исправления. Вспомните, что мы включили функцию автоматического исправления в Windows Security SHV. Это позволяет NAP агенту пытаться исправить проблемы безопасности, которые могут возникнуть на NAP клиенте. Например, если брандмауэр отключен на NAP клиенте, NAP агент может включить его.

На рисунке ниже видно, что я отключил брандмауэр Windows на клиенте Vista. Попробуйте это на своих клиентах Vista.

Подождите несколько секунд. Вы увидите, что состояние брандмауэра Windows автоматически изменяется на включенное без какого-либо вмешательства с вашей стороны.

Обратите внимание, что в системной панели не было никаких оповещений об этом действии. Если вы хотите видеть уведомление системной панели, вам нужно будет настроить все так, чтобы NAP агент не мог автоматически исправлять проблемы. Если вы вернетесь к Windows SHV на сервере NPS, вы сможете изменить это поведение так, чтобы требовалась антивирусная программа. Если на клиенте нет антивирусной программы, у вас появится уведомление системной панели, говорящее о том, что параметры безопасности компьютера не отвечают требованиям безопасности сети. Если вы нажмете на сообщении, у вас откроется диалоговое окно, как показано на рисунке ниже.

Резюме

В этой заключительной части серии статей об использовании внедрения DHCP с NAP, мы рассмотрели настройку сервера DHCP, а затем настроили параметры групповой политики на автоматизацию установки политики, завершили статью тестированием нашего решения и убедились, что политика внедрения NAP DHCP действительно работает. В будущем я планирую написать еще статьи о конфигурации NAP, используя различные методы внедрения. Мы рассмотрим более сложные опции, такие как использование нескольких NAP и DHCP серверов (или серверов внедрения). Увидимся! ‘Том.


Автор: Томас Шиндер
Иcточник: winsecurity.ru
Опубликована - 06.11.2008