Фильтрация групповых политик для создания политики внедрения NAP DHCP в Windows Server 2008

ОГЛАВЛЕНИЕ

Network Access Protection (защита доступа к сети) – это новый инструмент для контроля доступа к сети, входящий в состав операционной системы Windows Server 2008. Network Access Protection, или сокращенно NAP, позволяет вам контролировать, какие компьютеры могут взаимодействовать в вашей сети. Возможность взаимодействия с сетью определяется тем фактором, удовлетворяет ли клиентский компьютер NAP требованиям безопасности, которые заданы вашими политиками NAP.

NAP имеет несколько 'движущих частей', из-за которых его сложно настраивать. Дополнительно проблемой также является тип усиления, который вы хотите подключить. Например, есть несколько клиентов NAP Enforcement Clients, которые контролируют доступ к сети на основании информации об IP адресе, или, основываясь на том, имеет ли клиент сертификат, который позволяет ему подключиться к сети.

В этой статье я помогу вам объединить простые решения для усиления DHCP NAP. Когда вы используете усиление DHCP NAP, то сервер DHCP становится вашим сервером для сетевого доступа. Это означает, что сервер DHCP отвечает за обеспечение клиентских компьютеров NAP информацией согласно их уровню соответствия. Если клиентский компьютер NAP удовлетворяет определенным условиям, то он получает информацию об IP адресах, которая позволяет ему подключаться к другим компьютерам в вашей сети. Если клиентский компьютер NAP не соответствует вашим политикам здоровья, то клиенту NAP будет присвоен IP адрес, который ограничивает число компьютеров, к которым он может подключиться. Обычно, ваша политика NAP позволит компьютерам, которые ей не удовлетворяют, подключиться к контроллерам домена и серверу сетевой инфраструктуры.

В сценарии усиления DHCP NAP Enforcement требуются другие сервера. Т.к. в этом сценарии сервер DHCP является сервером сетевого доступа, то вам нужен сервер RADIUS, который будет содержать ваши политики NAP. Есть несколько политик, которые хранятся на сервере RADIUS совместимым с NAP, такие как политики состояния, сетевые политики, а также политики запросов на подключение. В Windows Server 2008 в качестве сервера RADIUS, на котором хранятся ваши политики NAP, используется сервер сетевой политики Network Policy Server (NPS). Сервер NPS будет взаимодействовать с вашим сервером DHCP и информировать ваш сервер DHCP о том, удовлетворяет ли клиент вашим политикам NAP или нет.

Для того, чтобы установить вашу политику состояния (heath policy), вы должны установить по крайней мере один валидатор Security Health Validator (SHV) на сервере NPS. По умолчанию, Windows Server 2008 предоставляет вам Windows Security Health Validator, который вы можете использовать для задания ваши политик состояния.

На стороне клиента есть два компонента, которые вы должны включить – это агент NAP Agent и клиент усиления NAP Enforcement client. Агент NAP Agent собирает информацию о состоянии безопасности клиентского компьютера, а NAP Enforcement Agent используется для усиления политики NAP, в зависимости от выбранного вами типа усиления. В сценарии, который мы используем в этой статье, мы подключим DHCP NAP enforcement agent.

Тестовая сеть очень простая. Она состоит из трех машин:

  • Контроллер домена Windows Server 2008 Domain Controller. Никаких других служб не установлено на этой машине. Этой машине присвоен IP адрес 10.0.0.2, и эта машина является контроллером домена в домене msfirewall.org.
  • Член домена Windows Server 2008 msfirewall.org. IP адрес этого компьютера -10.0.0.3. На этом компьютере установлены службы DHCP и NPS.
  • Клиентский компьютер с Windows Vista. Эта машина является членом домена msfirewall.org.
  • В этой статье мы выполним следующие процедуры:
  • Создадим группу безопасности Security Group, в которую будут помещены клиенты NAP
  • Установим службы NPS и DHCP на сервер
  • Используем мастер NAP wizard для создания политики усиления NAP DHCP enforcement policy
  • Просмотрим политику запросов на подключение (NAP Connection request policy)
  • Просмотрим сетевые политики (NAP Network policies)
  • Просмотрим политики состояния (NAP Health policies)
  • Настроим сервер DHCP для взаимодействия с сервером NPS для усиления NAP
  • Настроим параметры NAP в групповой политике
  • Поместим компьютер с Vista в группу усиления NAP
  • Проверим наше решение

Прочитайте эти инструкции несколько раз перед реализацией их в вашей лаборатории. Убедитесь, что вы понимаете для чего необходим каждый этап, и никогда не стесняйтесь обращаться ко мне на Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра., если у вас возникнуть какие-либо вопросы относительно конфигурации.


Создание группы безопасности (Security Group) для клиентов NAP

Вначале мы создадим группу безопасности для компьютеров, к которым будут применены политики NAP policy. Откройте консоль Active Directory Users and Computers, щелкните правой кнопкой на узле Users (пользователи). Выделите New (создать) и укажите Group (группа).

В диалоговом окне New Object ' Group введите NAP Enforced Computers в текстовом поле Group Name (название группы). Выберите параметр Global (глобальная) в списке Group scope (область действия группы) и выберите параметр Security в списке Group type (тип группы). Нажмите на кнопку OK.


 

Установка NPS и DHCP на сервер NPS

На компьютере NPS будет размещаться роли сервера сетевой политики Network Policy Server и сервера DHCP. Обратите внимание, что вы можете установить сервер DHCP, не на сервер NPS, а на другой сервер, на котором будут размещаться политики NAP, но вам будет необходимо настроить этот удаленный сервер DHCP на работу в качестве DHCP и NPS, а затем настроить этот сервер NPS на передачу запросов на аутентификацию на этот сервер NAP. Чтобы немного облегчить задачу, мы установим сервера NPS и DHCP на одну машину.

В консоли Server Manager выделите узел Roles (роли), а затем нажмите на ссылку Add Roles (добавить роли), как видно из рисунка ниже.

Нажмите на кнопку Next (Далее) на странице Before You Begin.

На странице Select Server Roles (выбор серверных ролей) поставьте галочку в поле DHCP Server и Network Policy and Access Services. Нажмите на кнопку Next (Далее).

Прочитайте информацию на странице Network Policy and Access Services, а затем нажмите на кнопку Next (Далее).

Нам не нужны все службы ролей, которые предоставляет роль Network Policy and Access Services. Нам нужна лишь роль RADIUS (Network Policy Server). Поставьте галочку в поле Network Policy Server (сервер сетевой политики). Не выбирайте никаких других параметров. Нажмите на кнопку Next (далее).

Прочитайте информацию на странице DHCP Server и нажмите на кнопку Next (далее).

Менеджер сервера Server Manager немного облегчает нам жизнь, т.к. он предлагает возможность настройки сервера DHCP в процессе установки. На странице Select Network Connection Bindings выберите IP адреса, по которым будет слушать ваш сервер DHCP. Ваш выбор здесь зависит от сложности вашего DHCP окружения, т.к. у вас может быть более одного IP адреса, связанного с DHCP сервером. Но в нашем сценарии у нас будет всего один IP адрес, привязанный к этой машине. Поставьте галочку в поле IP address, а затем нажмите на кнопку Next (далее).

На странице Specify IPv4 DNS Server Settings у вас есть возможность настройки некоторых параметров DHCP. Введите название вашего домена в текстовом поле Parent Domain (родительский домен), и введите IP адрес вашего сервера DNS в текстовом поле Preferred DNS Server IPv4 Address. В нашем примере домен называется msfirewall.org, поэтому мы введем это название и IP адрес нашего DNS сервера 10.0.0.2. У нас нет альтернативного DNS сервера в нашем примере, поэтому мы нажмем на кнопку Next (далее).

У нас нет сервера WINS в нашей тестовой сети, поэтому мы ничего не будем вводить на странице Specify IPv4 WINS Server Settings. Просто выберите параметр WINS is not required for applications on this network (WINS не нужен для приложений в этой сети) и нажмите на кнопку Next (далее).

На странице Add or Edit DHCP Scopes нажмите на кнопку Add (добавить). В диалоговом окне Add Scope (добавление области действия) введите Scope Name (название области действия), Starting IP Address (начальный IP адрес), Ending IP Address (конечный IP адрес), Subnet Mask (маска подсети), Default Gateway (шлюз по умолчанию) и выберите срок аренды. На рисунке ниже изображены значения этих параметров для нашей тестовой сети. Нажмите на кнопку OK в диалоговом окне Add Scope.

Нажмите на кнопку Next (далее) в диалоговом окне Add or Edit DHCP Scopes.

Мы не используем IPv6 в этой тестовой сети, поэтому выберем параметр Disable DHCPv6 stateless mode for this server и нажмем на кнопку Next (далее).

Для работы в нашем домене этот DHCP сервер должен пройти авторизацию в Active Directory. Выберите параметр Use current credentials (использовать текущие права), если вы работаете от имени администратора домена. Если нет, то выберите параметр Use alternate credentials (использовать альтернативные права) и нажмите на кнопку Specify (указать). В этом примере я работаю под учетной записью администратора домена, поэтому я выбираю параметр Use current credentials и нажимаю на кнопку Next (далее).

Просмотрите ваши параметры на странице Confirm Installation Selections и нажмите на кнопку Install (установить).

Нажмите на кнопку Close (закрыть) на странице Installation Results (результаты установки), после того, как вы убедитесь, что установка серверов NPS и DHCP прошла успешно.


 

Использование мастера NAP Wizard для создания политики внедрения NAP DHCP

Теперь мы можем приступить к интересной части ‘ к созданию политики внедрения NAP DHCP. После запуска мастера, он создаст следующие политики:

  • Политики здоровья (Health Policies)
  • Политики запроса подключения (Connection Request Policies)
  • Сетевые политики (Network Policies)
  • Политики групп серверов исправления (Remediation Server Group policies)

Мы подробнее рассмотрим каждую из этих политик, после того как закончим работу с мастером.

Откройте консоль Сервер сетевой политики из меню Администрирование. Там в средней панели консоли вы увидите страницу Getting Started. В разделе Стандартная конфигурация выберите опцию Защита сетевого доступа - NAP в строке Выберите вариант конфигурации из списка и затем нажмите по ссылке снизу, чтобы открыть мастера этого варианта.

Теперь нажмите по ссылке Настроить NAP.

На странице Выбор метода сетевого подключения для использования с NAP в разделе Метод сетевого подключения выберите опцию Dynamic Host Configuration Protocol (DHCP) из списка. Помните, когда мы используем NAP, нам необходимо выбрать принудительный метод, а именно это мы здесь и делаем. Сервер DHCP становится ‘сервером сетевого доступа’ в этом сценарии и именно DHCP сервер отвечает за уровень сетевого доступа, который может иметь NAP клиент.

Текстовое окно Имя политики будет автоматически заполнено с NAP DHCP в качестве имени, которое будет присвоено нескольким политикам, созданным мастером. Мы рассмотрим это позже, когда закончим с NAP мастером.

Нажмите Далее.

На странице Укажите сервер внедрения NAP, использующий DHCP сервер вы можете включить IP адрес DHCP сервера, который будет работать в качестве сервера сетевого доступа. Вы используете эту опцию, когда DHCP сервер и NPS сервер, размещающие NAP политики, располагаются не на одном и том же сервере.

Если вы хотите добавить удаленные серверы внедрения DHCP NAP, их необходимо настроить в качестве RADIUS клиентов, что означает, что вы должны настроить эти машины также в качестве NPS серверов. Разница заключается в том, что эти NPS серверы не содержат параметры NAP политики. Они просто предоставляют RADIUS запросы серверу NPS, на котором расположены параметры политики NAP. Я рекомендую такую конфигурацию в больших производственных средах, где DHCP сервер и NAP серверы будут относительно заняты. К тому же, у вас, скорее всего, будет несколько DHCP серверов на вашем предприятии, и вам нужно будет иметь возможность взаимодействовать с вашим сервером(ами) NAP политики.

В это примере мы располагаем DHCP и NPS серверы на одной машине, поэтому не будем добавлять никаких удаленных DHCP серверов в список. Нажмите Далее.

У вас есть возможность включить NAP для отдельных областей действия, когда вы используете DHCP внедрение. Если вы не хотите применять политику внедрения NAP ко всем сферам действия DHCP, вы можете ввести сферы действия, для которых хотите применять NAP политику на странице Укажите сферы действия DHCP. В нашем примере мы хотим включить политику NAP для всех сфер действия, поэтому не будем вводить никаких определенных областей действия на этой странице. Нажмите Далее.

Вы также можете позволить или запретить доступ для определенных групп пользователей или компьютеров в вашей политике NAP. В данном примере мы будем применять политику ко всем машинам и пользователям. Нажмите Далее.

Всем компьютерам нужен доступ к определенным серверам в сети. Сюда входят серверы инфраструктуры, такие как Active Directory, DNS, DHCP и WINS серверы. Всем машинам нужен доступ к серверам исправления (remediation servers), представляющим собой машины, к которым несовместимые машины могут получить доступ для обретения совместимости.

На странице Укажите группу NAP серверов исправления и URL нажмите кнопку Группа, чтобы открыть диалоговое окно Новая группа серверов исправления. В диалоговом окне Новая группа серверов исправления введите имя группы в текстовом поле Имя группы. В этом примере мы назвали группу Network Services.

Нажмите кнопку Добавить в диалоговом окне Новая группа серверов исправления. Это вызовет диалоговое окно Добавить новый сервер где вы можете выбирать серверы, которые будут входить в группу серверов исправления. В диалоговом окне Добавить новый сервер введите имя сервера в текстовом поле Дружественное имя. В этом примере мы ввели имя контроллера домена, поэтому в текстовом поле у нас записано DC. IP адрес контролера домена будет 10.0.0.2, поэтому мы записываем его в текстовое поле IP адрес или DNS имя. Если вы знаете имя DNS сервера, вы можете ввести его в текстовое поле и затем нажать кнопку Разрешить.

Нажмите OK в диалоговом окне Добавить новый сервер.

Теперь вы видите название группы серверов исправления и IP адрес сервера, который вы добавили в группу. Помните, целью этой группы является удаление ее из ограничений политики NAP. Контроллер домена в этом примере является машиной, к которой все члены домена должны иметь возможность подключаться, чтобы осуществлять вход. Если вы не позволите своим NAP клиентам, соответствующим или нет, подключаться к контроллеру домена, они не смогут входить в сеть для попытки стать соответствующими после входа.

Нажмите OK в диалоговом окне Новая группа серверов исправления.

Нажмите Далее на странице Укажите группу серверов исправления NAP и URL. Обратите внимание, что у нас есть возможность ввести URL диагностирования на этой странице. В этом примере мы не будем его использовать, но его нужно включать, если вы хотите отправлять своих пользователей на веб страницу, на которой будет показано, как делать свою машину совместимой, если она перестала таковой являться или неспособна к автоисправлению.

На странице Определите политику здоровья NAP у вас есть возможность выбрать, какие контрольные устройства здоровья системы (System Health Validators) вы хотите использовать для определения политики здоровья. По умолчанию в Windows Server 2008 включено только одно контрольное устройство здоровья системы, и это Windows Security Health Validator. Сторонние производители дают возможность использовать их контрольные устройства здоровья системы, которые можно устанавливать на сервер политики NAP. Однако я не знаю ни об одном из них на данный момент.

Убедитесь, что стоит флажок в строке Windows Security Health Validator. Также отметьте опцию Включить автоисправление клиентских компьютеров. Эта опция позволяет компонентам NAP клиентов пытаться исправить проблему самостоятельно, если это возможно. Например, если брандмауэр Windows отключен, NAP агент попытается включить его самостоятельно.

На странице Ограничения сетевого доступа для не поддерживающих NAP клиентских компьютеров вы определяете, что хотите сделать с машинами, которые не поддерживают NAP. У вас есть две опции:

  • Запретить полный сетевой доступ для NAP-несовместимых клиентских компьютеров. Разрешить доступ только к ограниченной сети
  • Разрешить полный сетевой доступ для NAP-несовместимых клиентских компьютеров

Первая опция является более безопасной, а вторая – более либеральной. Ваш выбор зависит от ваших целей использования NAP. Возможно, вы захотите разрешить полный сетевой доступ всем NAP-несовместимым клиентским компьютерам на время установки NAP, а после завершения этого процесса вы поворачиваете переключатель и принуждаете все машины быть NAP совместимыми.

Нажмите Далее на странице Определите NAP политику здоровья.

На странице Завершение настройки политики внедрения NAP и клиентов RADIUS вы видите Политики здоровья, Политики запроса подключения, Сетевые политики и Группу серверов исправления, которые будут созданы мастером. Мы рассмотрим более подробно каждый элемент чуть позже.

Обратите внимание, что здесь есть ссылка Подробности конфигурации. Когда вы нажимаете на эту ссылку, у вас открывается веб страница с подробностями о каждой политике, которая будет создана мастером.


 

Политика запроса подключения

Политика запроса подключения позволяет вам задавать обработку запросов соединения локально или пересылать их на удаленные RADIUS серверы. На рисунке ниже видно, что мастер создал NAP DHCP политику запроса соединения, которая имеет определенные условия и параметры. Как вы видите на рисунке ниже, единственным условием, примененным к этой политике, является условие того, что политика будет применяться все время во все дни недели, а единственным параметром является то, что провайдером аутентификации является локальный компьютер (машина, на которой запущена служба NPS).

Давайте дважды нажмем на этой политике и посмотрим, что откроется.

Во вкладке Обзор вы можете увидеть, что политика включена и что метод сетевого подключения – это DHCP. Это означает, что сервер DHCP является сервером сетевого доступа для этой сети и что сервер сетевого доступа DHCP взаимодействует с RADIUS (NPS) сервером для определения того, позволять или нет доступ к сети, и какой тип доступа должен быть дан компьютеру к сети на основе состояния здоровья клиента.

Во вкладке Условия вы увидите те условия, которые появлялись ранее в консоли NPS. Единственным условием, примененным к этому правилу, является то, что оно применяется все время во все дни недели.

На странице Параметры нажмите по ссылке Аутентификация в левой панели страницы. Здесь вы увидите, что параметры аутентификации установлены на значение Аутентифицировать запросы на этом сервере. Сервер RADIUS (NPS) является сервером, выполняющим аутентификацию. В некоторых случаях может потребоваться расположение DHCP сервера на отдельную от NPS сервера машину, который выполняет эту аутентификацию. В этом случае вам все равно потребуется установить NPS на машину сервера DHCP, но тогда вы настраиваете сервер NPS на пересылку запросов аутентификации на удаленный RADIUS (NPS) сервер, используя опцию Пересылать запросы на следующую группу удаленных RADIUS серверов для аутентификации, как показано на рисунке ниже.

Нажмите OK в диалоговом окне Свойства NAP DHCP.

Как вы видите, политика запросов подключения задает условия и параметры аутентификации для общей NAP политики. Теперь давайте рассмотрим сетевые политики NAP.


 

Сетевые политики

Сетевые NAP политики позволяют определять, кто авторизируется на подключение к сети и обстоятельства, при которых они могут или не могут подключиться. Вы видите, что мастер NAP создал три сетевых политики для нашей общей политики NAP:

  • NAP DHCP совместимые Это сетевое правило применяется к машинам, которые соответствуют NAP
  • NAP DHCP несовместимые Это сетевое правило применяется к машинам, которые не соответствуют NAP
  • NAT DHCP без поддержки NAP Это сетевое правило применяется к машинам, которые не способны обрабатывать NAP политики

На следующих трех рисунках показаны Условия и Параметры для каждой из этих политик. Основная разница между этими тремя правилами заключается в уровне доступа, который каждая из этих политик предоставляет клиентам к сети. Для полностью DHCP совместимых клиентов разрешается полный доступ к сети. Для несовместимых или неспособных применить NAP машин предоставляется ограниченный доступ к сети с тем, чтобы они смогли использовать ограниченный доступ к сети для собственного исправления и соответствия требованиям совместимости.

Давайте дважды нажмем на этих правилах и посмотрим, что они собой представляют. Когда вы дважды нажимаете на правиле Свойства несовместимости NAP DHCP, первой вкладкой, которую вы увидите, будет вкладка Обзор. Здесь мы видим, что политика включена, что Разрешение доступа установлено на Предоставлять доступ, и что свойства dial-in для пользователей должны игнорироваться (поскольку DHCP клиенты не дозваниваются до сети). Наконец, здесь видно, что Способ сетевого подключения - это DHCP сервер.

На вкладке Условия вы видите, что политика здоровья NAP DHCP несовместимые будет применяться, когда сетевое правило Свойства несовместимости NAP DHCP будут применимы. Более подробно политики здоровья мы рассмотрим чуть позже.

На странице Ограничения мастер настроил ограничения в сетевой политике. Единственным ограничением будет то, что будет применяться проверка здоровья и не будет никаких дополнительных требований аутентификации.

Нажмите на вкладке Параметры, а затем нажмите по ссылке Внедрение NAP в левой панели диалогового окна. В правой панели вы видите, что мастер настроил уровень доступа, разрешенный для этой сетевой политики. В данном случае мастер настроил политику на Разрешение ограниченного доступа. Ограниченный доступ определяется как доступ только к IP адресам, сетевым IDs и серверам, требующимся для основных сетевых служб и обеспечения исправления. Вы можете добавить элементы путем нажатия кнопки Настроить в рамке Группа серверов исправления и URL диагностики.

Если вы нажмете кнопку Настроить, вы увидите, что группа Сетевые службы, которую мы создали, появится в качестве группы серверов исправления, которая применяется для этой сетевой политики.

Обратите внимание, что на основе нашего выбора в мастере сетевая политика также настраивается на включение авто исправления (Auto remediation), поскольку там стоит галочка в строке Включить автоисправление клиентских компьютеров.


 

Политики здоровья

Политики здоровья используются с NAP, чтобы позволить вам определить конфигурацию, необходимую клиентским компьютерам с поддержкой NAP для доступа к сети. По сути, политики здоровья используются для определения того, соответствует ли машина определению совместимого компьютера. Как видно на рисунке ниже, мастер создал две политики:

  • NAP DHCP совместимые
  • NAP DHCP несовместимые

Цель каждой политики очевидна. Политика соответствия определяет компьютеры, которые соответствуют сетевым политикам здоровья, а политика несоответствия определяет, какие машины не будут соответствовать сетевой политике здоровья.

На рисунке ниже видно, что я дважды нажал на записи NAP DHCP несовместимые, чтобы вызвать диалоговое окно Свойства NAP DHCP несовместимости. Здесь видно, что для несоответствия требованиям политики, клиент должен не пройти одну или несколько SHV проверок с помощью Windows Security Health Validator. Догадайтесь, каково будет определение DHCP соответствия политике? Догадались. Клиент проходит все SHV проверки на Windows Security Health Validator.

Когда вы разворачиваете вкладку Защита сетевого доступав левой панели консоли Сервер сетевых политик, вы видите там еще две вкладки: вкладка Контрольное устройство здоровья системы (System Health Validator) и вкладка Группа серверов исправления. Нажмите на вкладке System Health Validator.

Здесь в правой панели консоли вы увидите список контрольных устройств здоровья системы, которые используются для определения политики здоровья, рассмотренной ранее. По умолчанию есть только одно SHV, коим является Windows Security Health Validator. Когда вы нажимаете на этом SHV, в нижней панели под SHV вы видите список конфигураций кода ошибок. Вы видите, что мастер задал код каждой ошибки, в силу которых клиент будет считаться несовместимым.

Давайте более подробно рассмотрим путем двойного нажатия на объекте Windows Security Health Validator.

Это вызовет диалоговое окно свойств Windows Security Health Validator Properties. Здесь мы видим параметры Разрешение кода ошибок. Эти параметры разрешения кода ошибок используются для определения того, как действовать в ситуациях, где встречаются различные коды ошибок во время процесса внедрения NAP. Умолчания установлены мастером в самом безопасном режиме, и я советую вам оставить все как есть.

Нажмите кнопку Настроить для настройки параметров для этого SHV.

Это вызовет диалоговое окно Windows Security Health Validator, в котором есть две вкладки: вкладка Windows Vista и Windows XP. В этом примере мы концентрируемся на вкладке Windows Vista, поскольку это единственный клиент, которого мы будем тестировать после окончания настройки.

Windows Security Health Validator позволяет настраивать следующее:

  • Брандмауэр Вы можете принудить брандмауэр быть включенным на клиенте Vista, чтобы соответствовать политике здоровья
  • Защита от вирусов Вы можете принудить антивирусную защиту быть включенной, чтобы соответствовать политике здоровья. К тому же, вы можете потребовать, чтобы антивирусная защита была обновлена.
  • Защита от шпионского ПО Вы можете принудить любое антишпионское приложение быть включенным для соответствия политике. К тому вы можете потребовать, чтобы это приложение было обновлено.
  • Автоматическое обновление Когда автоматическое обновление включено, агент NAP на клиенте будет пытаться исправить проблему. К примеру, если пользователь отключает брандмауэр Windows, агент NAP на машине клиента попытается включить брандмауэр
  • Защита обновлений безопасности Когда эта опция включена, вы можете ограничить доступ клиентов к сети, основываясь на текущем состоянии их обновлений безопасности. Вы можете использовать список, показанный на рисунке ниже, чтобы определять необходимые типы обновлений безопасности. У вас также есть возможность задавать минимальное количество часов, разрешенных с момента проверки клиентом новых обновлений безопасности, а также определить, хотите ли вы разрешить клиентам доступ к Windows Server Update Servers или Windows Update (Microsoft Update разрешено по умолчанию).

На рисунке ниже показаны параметры SHV для Windows Security Health Validator для клиента Windows XP. Обратите внимание, что опции защиты от вредоносного ПО здесь не включены.


 

Настройка DHCP сервера

Теперь, когда наши политики NAP были настроены с помощью мастера NAP, мы можем сосредоточить свое внимание на настройке DHCP сервера. Помните, сервер DHCP является сервером сетевого доступа в сценарии DHCP NAP, поэтому нам нужно настроить DHCP сервер на взаимодействие с компонентами NAP, чтобы все работало.

Откройте консоль DHCP из меню Администрирование. В консоли DHCP разверните имя сервера, затем вкладку IPv4, а затем разверните вкладку Scope (границы видимости). Нажмите на вкладке Опции границ видимости. Правой клавишей нажмите в пустой области правой панели, как показано на рисунке ниже, и выберите команду Настроить опции.

В диалоговом окне Опции границ видимости нажмите на вкладке Дополнительно. Убедитесь, что в поле Класс поставщика (Vendor class) стоит Стандартные опции DHCP. В поле списка Класс пользователя (User class) обязательно выберите запись Стандартный класс защиты сетевого доступа (Default Network Access Protection Class). Опция DHCP, которую мы собираемся настроить здесь, будет применяться к клиентам для их идентификации в качестве NAP клиентов, которые не соответствуют политике.

В списке Доступных опций найдите запись 006 DNS серверы и введите IP адрес DNS сервера в текстовое поле IP адрес, а затем нажмите Добавить.

Найдите опцию 015 DNS имя домена и введите в текстовое поле Строка значения имя, которое будет использоваться для клиентов, несоответствующих NAP. Это поможет более просто определять несоответствующие политике компьютеры. Нажмите OK.

Теперь вы увидите записи для классов None и Default Network Access Protection Class. Опция последнего класса будет присваиваться несоответствующим политике компьютерам, когда внедрение DHCP используется с NAP.

Прежде чем NAP сможет использовать эти параметры, нам нужно настроить границы видимости для работы с NAP. Нажмите на вкладке Границы видимости во вкладке IPv4 в левой панели консоли, а затем нажмите на ней правой клавишей. В диалоговом окне Свойства границы перейдите по вкладке Network Access Protection. Выберите опцию Включить для этой границы, а затем выберите опцию Использовать стандартный профиль защиты сетевого доступа.

Опция Использовать пользовательский профиль довольно интересна, но в интернете, включая сайт компании Microsoft http://www.microsoft.com/ , отсутствует документация о том, как можно использовать эту опцию. Я размещу эту информацию на своем блоге, если выясню, как заставить ее работать.

Нажмите OK в диалоговом окне Свойства границы.


 

Настройка параметров NAP в групповой политике

Хотя мы можем вручную настроить NAP на каждой машине, которая будет участвовать в нашей инфраструктуре безопасности NAP, ручная настройка не является подходящей опцией в масштабной ситуации. Для решения этой проблемы компания Microsoft включила необходимые расширения групповой политики, которые позволяют настроить NAP в групповой политике.

Есть три момента, которые нам нужно выполнить в групповой политике, чтобы централизовать настройку:

  • Включить NAP агента на машинах, участвующих в NAP
  • Настроить агента NAP Enforcement (в этом случае это будет агент DHCP NAP Enforcement Agent)
  • Настроить объект групповой политики для применения только к тем машинам, которые принадлежат к группе безопасности, содержащей машины, участвующие в управлении сетевым доступом NAP.

Прежде чем выполнять следующие шаги, необходимо создать объект групповой политики под названием NAP Client Settings. Это можно сделать в консоли управления групповой политикой (Group Policy Management Console). Если вы не знаете, как это сделать, обратитесь к помощи в консоли управления групповой политикой, поскольку этот процесс довольно прост. Убедитесь, что объект групповой политики находится в том же домене, в котором находятся ваши машины.


 

Включение NAP агента

После создания объекта групповой политики NAP Client Settings, откройте этот GPO в редакторе Group Policy Management Editor. Это можно сделать, нажав правой клавишей на GPO в консоли управления групповой политикой, и выбрав команду Изменить.

В редакторе Group Policy Management Editor разверните вкладку Конфигурация компьютера, а затем вкладку Политики. Разверните вкладку Параметры Windows а затем нажмите на вкладке Системные службы.

Во вкладке Системные службы вы найдете элемент в правой панели для агента Network Access Protection Agent. Дважды нажмите на этом элементе. В диалоговом окне Свойства NAP агента отметьте опцию Определить параметры этой политики, а затем выберите опцию Автоматически. Нажмите OK.

Эти шаги включат агента NAP на тех компьютерах, для которых используется GPO. Агент NAP должен быть включен, чтобы NAP обработка функционировала корректно.


 

Включение клиента DHCP Enforcement Client

Следующим шагом будет включение клиента DHCP Enforcement Client на компьютерах с включенной NAP. В редакторе Group Policy Management editor разверните вкладку Конфигурация компьютера, затем вкладку Параметры Windows, а затем вкладку Network Access Protection. Разверните вкладку Конфигурация NAP клиента и нажмите на вкладке Клиенты внедрения (Enforcement Clients).

Во вкладке Клиенты внедрения в правой панели консоли будут отображены различные клиенты внедрения, доступные для NAP. Можно включать один или несколько методов внедрения; вы не ограничены одним клиентом внедрения. В данном примере мы используем только DHCP внедрение, поэтому нажимаем правой клавишей на элементе DHCP Quarantine Enforcement Client и выбираем Включить, как показано на рисунке ниже.

Нажмите на вкладке Конфигурация NAP клиента в левой панели консоли, как показано на рисунке ниже. Правой клавишей нажмите на вкладке Конфигурация NAP клиента и выберите Применить. Это применит параметры клиента внедрения к групповой политике.

Я обнаружил, что иногда параметры клиента внедрения не «применяются». Это приводило к затруднительной и отнимающей время процедуре диагностирования. После применения параметров клиента внедрения вам понадобится закрыть консоль и редактора Group Policy Management Editor, а затем снова их открыть и проверить параметры клиента внедрения. Если вы обнаружите, что параметры клиента внедрения не включены, то включите их снова. Обычно после второй попытки, они сохраняются.


 

Использование фильтрации безопасности групповой политики для применения GPO к компьютерам группы безопасности NAP

Нашим последним шагом в групповой политике будет применение параметров GPO в GPO параметры NAP клиента к компьютерам, принадлежащим к группе безопасности NAP Enforced Computers, которую мы создали ранее. Откройте консоль Group Policy Management, разверните имя леса, а затем разверните вкладку доменов. Затем разверните имя домена и нажмите на объекте NAP Client Settings GPO.

В правой панели консоли вы увидите раздел под названием Фильтрация безопасности (Security Filtering). Можно использовать эту функцию для применения параметров групповой политики в этом GPO к группе безопасности, которую мы создали для компьютеров NAP клиентов.

В разделе Фильтрация безопасности нажмите на элементе Аутентифицированные пользователи , а затем нажмите кнопку Удалить.

У вас появится диалоговое окно Group Policy Management, спрашивающее, Вы хотите удалить эту привилегию делегирования? Нажмите OK.

Теперь нажмите кнопку Добавить. Это откроет диалоговое окно Выбрать пользователя, компьютер или группу. Введите NAP Enforced Computers в текстовом поле Ввод имени объекта для выбора и нажмите Проверить имена, чтобы подтвердить, что группа может быть найдена. Затем нажмите OK.

Теперь в разделе Фильтрация безопасности вы увидите группу безопасности, в которую будут помещены компьютеры с включенной NAP.


 

Включение компьютеров Vista в группу безопасности NAP Enforced Computers

Когда параметры групповой политики заданы, мы можем включить на компьютер Vista клиента в группу безопасности NAP Enforced Computers. Откройте консоль Пользователи и компьютеры Active Directory и нажмите по вкладке Пользователи в левой панели консоли.

Дважды нажмите на элементе NAP Enforce Computers. Это вызовет диалоговое окно свойств NAP Enforced Computers. Перейдите по вкладке Члены группы и нажмите кнопку Добавить.

В диалоговом окне Выбор пользователей, контактов, компьютеров или групп введите имя компьютера, который будет участвовать в NAP enforcement. В этом примере у нас есть компьютер, член домена, под названием VISTA2, и мы введем это имя в текстовое поле Ввод имен объектов для выбора.

Если машина, которую вы хотите включить в группу NAP enforcement, еще не включена в домен, вы можете вместо этого создать учетную запись компьютера в Active Directory, используя опцию добавления компьютера в консоли пользователей и компьютеров Active Directory. Затем, вы сможете позже присоединить эту машину к домену. В нашей сети, которую мы используем в этой статье, компьютер VISTA2 уже входит в домен.

На данном этапе можно воспользоваться командой gpupdate /force на контроллере домена. Также, если ваши машины с включенной NAP уже принадлежат к домену, нужно будет перезагрузить эти компьютеры, чтобы новые параметры групповой политики вступили в силу.

Наиболее проблемной областью в решении NAP являются тайминги групповой политики. В производственной сети придется долго ждать распространения групповой политики, но в тестовой лаборатории мы склонны к нетерпимости и хотим, чтобы все работало сразу. Если вы обнаружите, что параметры не применены к клиенту, запаситесь терпением. Перезагрузите клиента пару раз или выполните команду gpupdate /force на клиенте. Если NAP все еще не работает, то нужно перепроверить все параметры настройки NAP, а также групповой политики. Здесь очень много «движущихся частей», поэтому очень легко упустить какой-либо шаг.

Теперь давайте проверим решение NAP в действии.


Проверка решения

Следует помнить, что при использовании внедрения DHCP клиенты должны использовать DHCP для получения информации IP адресации. Когда вы открываете интерпретатора команд и выполняете команду ipconfig, вы получите информацию IP адресации для DHCP клиента. На рисунке ниже видно, что этот клиент не соответствует NAP, поскольку он получил доменное имя restricted.msfirewall.org,, что является опцией DHCP, которую мы создали для несоответствующих NAP клиентов.

В интерпретаторе команд запустите команду Route Print. Обратите внимание на маршруты к DHCP серверу и контроллеру домена. Обратите внимание, что на сетевом ID подсети нет других интерфейсов маршрутизации. Это означает, что этот клиент NAP сможет достигать только DHCP сервера и контроллера домена, но не других машин в сети. Эта машина ограничена, так как элементы таблицы маршрутизации запрещают доступ ко всем IP адресам, кроме тех, которые мы настроили в NAP (помните, что контроллер домена входит в группу исправления, а доступ к DHCP разрешен автоматически, поскольку это сервер сетевого доступа, который управляет уровнем сетевого доступа).

Эти ситуации возникнут в том случае, если машина не была включена в домен или если параметры NAP не применились к клиенту.

Теперь давайте посмотрим, как все выглядит, когда NAP параметры были применены.

Выполните команду ipconfig снова и увидите неограниченное доменное имя, которое было присвоено клиенту.

Выполните команду Route Print. Здесь видно, что основной шлюз у нас настроен. К тому же, у нас есть интерфейс маршрутизации для ID сети в подсети. Специальные интерфейсы маршрутизации к DHCP серверу и контроллеру домена были удалены.

Давайте протестируем функцию автоматического исправления. Вспомните, что мы включили функцию автоматического исправления в Windows Security SHV. Это позволяет NAP агенту пытаться исправить проблемы безопасности, которые могут возникнуть на NAP клиенте. Например, если брандмауэр отключен на NAP клиенте, NAP агент может включить его.

На рисунке ниже видно, что я отключил брандмауэр Windows на клиенте Vista. Попробуйте это на своих клиентах Vista.

Подождите несколько секунд. Вы увидите, что состояние брандмауэра Windows автоматически изменяется на включенное без какого-либо вмешательства с вашей стороны.

Обратите внимание, что в системной панели не было никаких оповещений об этом действии. Если вы хотите видеть уведомление системной панели, вам нужно будет настроить все так, чтобы NAP агент не мог автоматически исправлять проблемы. Если вы вернетесь к Windows SHV на сервере NPS, вы сможете изменить это поведение так, чтобы требовалась антивирусная программа. Если на клиенте нет антивирусной программы, у вас появится уведомление системной панели, говорящее о том, что параметры безопасности компьютера не отвечают требованиям безопасности сети. Если вы нажмете на сообщении, у вас откроется диалоговое окно, как показано на рисунке ниже.

Резюме

В этой заключительной части серии статей об использовании внедрения DHCP с NAP, мы рассмотрели настройку сервера DHCP, а затем настроили параметры групповой политики на автоматизацию установки политики, завершили статью тестированием нашего решения и убедились, что политика внедрения NAP DHCP действительно работает. В будущем я планирую написать еще статьи о конфигурации NAP, используя различные методы внедрения. Мы рассмотрим более сложные опции, такие как использование нескольких NAP и DHCP серверов (или серверов внедрения). Увидимся! ‘Том.


Автор: Томас Шиндер
Иcточник: winsecurity.ru
Опубликована - 06.11.2008