Защита доступа к сети Network Access Protection (NAP) в Windows 2008 Server - Политика аутентификации по умолчанию (default authentication policy)

Written on . Posted in Windows Server 2008

ОГЛАВЛЕНИЕ

Страница 9 из 12
 

Политика аутентификации по умолчанию (default authentication policy)

В предыдущей статье из этой серии я показал вам, как создать политики для авторизации (authorization policy), как для компьютера, удовлетворяющего политике безопасности, так и для компьютера, не удовлетворяющего политике безопасности. В этой статье мы завершим процедуру конфигурации сервера. Для этого на первом этапе необходимо создать политику для аутентификации по умолчанию (default authentication policy), которую можно применить на любой машине, которая проходит аутентификацию на сервера RRAS server.

Начнем процесс с открытия консоли сервера сетевых политик Network Policy Server и перехода к NPS (Local) | Authentication Processing | Authentication Policies. После этого на окне будут отражены все ранее существовавшие политики для аутентификации (authentication policies). Выбираем ранее существовавшие политики, нажимаем на них правой кнопкой мыши, а затем выбираем команду Delete (удалить) из контекстного меню.

Теперь пришло время для создания политики для аутентификации по умолчанию (default authentication policy). Для этого нажмите на ссылку New (создать), которая находится в окне Actions (команды), и выберите параметр Custom (общий). Windows отобразит окно свойств New Authentication Policy (новая политика для аутентификации), которое можно увидеть на рисунке A.

 
Рисунок A: Введите RRAS в качестве названия политики, затем поверьте, что политика подключена

Введите RRAS в качестве названия политики, а затем проверьте, что в поле Policy Enabled (политика включена) стоит галочка. Затем, проверьте, что выбрана кнопка Available Sources (доступные источники), а затем выберите настройку Remote Access Server (VPN-Dialup) из выпадающего списка Available Sources (доступные источники).

Теперь, перейдите на закладку Settings (настройки) и выберите контейнер Authentication (аутентификация) из дерева консоли. Теперь поставьте галочку в поле Override Authentication Settings from Authorization Policy. После этого в окне появится множество методов аутентификации, как изображено на рисунке B. Выберите поле EAP, а затем нажмите на кнопку EAP Methods.

 
Рисунок B: Выберите поле EAP и нажмите на кнопку EAP Methods

Windows теперь отобразит диалоговое окно Select EAP Providers (выбор поставщиков EAP). Нажмите на кнопку Add (добавить), чтобы открылся список методов аутентификации EAP authentication methods. Выберите EAP-MSCHAPv2 и Protected EAP (PEAP) из списка и нажмите на кнопку OK. Выбранные методы аутентификации EAP authentication methods должны появится в диалоговом окне Select EAP Providers (выбор поставщиков EAP), как показано на рисунке C. Для продолжения нажмите на кнопку OK.

 
Рисунок C: Вы должны включить аутентификацию MSCHAPv2 и PEAP authentication

Теперь перейдите на закладку Conditions (условия). Вы должны выбрать по крайней мере одно условие, которое должно быть соблюдено, чтобы политики применилась. Вы можете установить любое понравившееся вам условие, но я рекомендую перейти в дереве консоли к Connection Properties | Tunnel Type и поставить галочки напротив полей Point to Point Tunneling Protocol и Layer Two Tunneling Protocol, а затем нажать на кнопку Add (добавить). Таким образом новая аутентификационная политика (authentication policy) будет применена к VPN подключениям. Нажмите на кнопку OK, чтобы сохранить новую аутентификационную политику, которую вы только что создали.

форум windows server