Tuesday, January 23rd, 2018

Использование фильтрации групповой политики для создания политики внедрения NAP DHCP (часть 2)

Published on Февраль 4, 2009 by   ·   Комментариев нет

В первой части этой серии статей о настройке политики внедрения DHCP NAP мы рассмотрели основы работы NAP и установили службы DHCP и NPS на сервере политики NAP. В этой второй части мы рассмотрим, как использовать мастера политики NAP для автоматического создания политики сети, здоровья и подключения, которые будут использоваться для управления доступом к сети.

Использование мастера NAP Wizard для создания политики внедрения NAP DHCP

Теперь мы можем приступить к интересной части ‘ к созданию политики внедрения NAP DHCP. После запуска мастера, он создаст следующие политики:

  • Политики здоровья (Health Policies)
  • Политики запроса подключения (Connection Request Policies)
  • Сетевые политики (Network Policies)
  • Политики групп серверов исправления (Remediation Server Group policies)

Мы подробнее рассмотрим каждую из этих политик, после того как закончим работу с мастером.

Откройте консоль Сервер сетевой политики из меню Администрирование. Там в средней панели консоли вы увидите страницу Getting Started. В разделе Стандартная конфигурация выберите опцию Защита сетевого доступа — NAP в строке Выберите вариант конфигурации из списка и затем нажмите по ссылке снизу, чтобы открыть мастера этого варианта.

Теперь нажмите по ссылке Настроить NAP.

Nap dhcp

Рисунок 1

На странице Выбор метода сетевого подключения для использования с NAP в разделе Метод сетевого подключения выберите опцию Dynamic Host Configuration Protocol (DHCP) из списка. Помните, когда мы используем NAP, нам необходимо выбрать принудительный метод, а именно это мы здесь и делаем. Сервер DHCP становится ‘сервером сетевого доступа’ в этом сценарии и именно DHCP сервер отвечает за уровень сетевого доступа, который может иметь NAP клиент.

Текстовое окно Имя политики будет автоматически заполнено с NAP DHCP в качестве имени, которое будет присвоено нескольким политикам, созданным мастером. Мы рассмотрим это позже, когда закончим с NAP мастером.

Нажмите Далее.

Nap dhcp

Рисунок 2

На странице Укажите сервер внедрения NAP, использующий DHCP сервер вы можете включить IP адрес DHCP сервера, который будет работать в качестве сервера сетевого доступа. Вы используете эту опцию, когда DHCP сервер и NPS сервер, размещающие NAP политики, располагаются не на одном и том же сервере.

Если вы хотите добавить удаленные серверы внедрения DHCP NAP, их необходимо настроить в качестве RADIUS клиентов, что означает, что вы должны настроить эти машины также в качестве NPS серверов. Разница заключается в том, что эти NPS серверы не содержат параметры NAP политики. Они просто предоставляют RADIUS запросы серверу NPS, на котором расположены параметры политики NAP. Я рекомендую такую конфигурацию в больших производственных средах, где DHCP сервер и NAP серверы будут относительно заняты. К тому же, у вас, скорее всего, будет несколько DHCP серверов на вашем предприятии, и вам нужно будет иметь возможность взаимодействовать с вашим сервером(ами) NAP политики.

В это примере мы располагаем DHCP и NPS серверы на одной машине, поэтому не будем добавлять никаких удаленных DHCP серверов в список. Нажмите Далее.

Ehjdtym ljcnegf групповая политика

Рисунок 3

У вас есть возможность включить NAP для отдельных областей действия, когда вы используете DHCP внедрение. Если вы не хотите применять политику внедрения NAP ко всем сферам действия DHCP, вы можете ввести сферы действия, для которых хотите применять NAP политику на странице Укажите сферы действия DHCP. В нашем примере мы хотим включить политику NAP для всех сфер действия, поэтому не будем вводить никаких определенных областей действия на этой странице. Нажмите Далее.

Dhsp nap

Рисунок 4

Вы также можете позволить или запретить доступ для определенных групп пользователей или компьютеров в вашей политике NAP. В данном примере мы будем применять политику ко всем машинам и пользователям. Нажмите Далее.

Dhcp сервер груповая политика

Рисунок 5

Всем компьютерам нужен доступ к определенным серверам в сети. Сюда входят серверы инфраструктуры, такие как Active Directory, DNS, DHCP и WINS серверы. Всем машинам нужен доступ к серверам исправления (remediation servers), представляющим собой машины, к которым несовместимые машины могут получить доступ для обретения совместимости.

На странице Укажите группу NAP серверов исправления и URL нажмите кнопку Группа, чтобы открыть диалоговое окно Новая группа серверов исправления. В диалоговом окне Новая группа серверов исправления введите имя группы в текстовом поле Имя группы. В этом примере мы назвали группу Network Services.

Нажмите кнопку Добавить в диалоговом окне Новая группа серверов исправления. Это вызовет диалоговое окно Добавить новый сервер где вы можете выбирать серверы, которые будут входить в группу серверов исправления. В диалоговом окне Добавить новый сервер введите имя сервера в текстовом поле Дружественное имя. В этом примере мы ввели имя контроллера домена, поэтому в текстовом поле у нас записано DC. IP адрес контролера домена будет 10.0.0.2, поэтому мы записываем его в текстовое поле IP адрес или DNS имя. Если вы знаете имя DNS сервера, вы можете ввести его в текстовое поле и затем нажать кнопку Разрешить.

Нажмите OK в диалоговом окне Добавить новый сервер.

Dhcp сервер груповая политика

Рисунок 6

Теперь вы видите название группы серверов исправления и IP адрес сервера, который вы добавили в группу. Помните, целью этой группы является удаление ее из ограничений политики NAP. Контроллер домена в этом примере является машиной, к которой все члены домена должны иметь возможность подключаться, чтобы осуществлять вход. Если вы не позволите своим NAP клиентам, соответствующим или нет, подключаться к контроллеру домена, они не смогут входить в сеть для попытки стать соответствующими после входа.

Нажмите OK в диалоговом окне Новая группа серверов исправления.

Dhcp групповая политика

Рисунок 7

Нажмите Далее на странице Укажите группу серверов исправления NAP и URL. Обратите внимание, что у нас есть возможность ввести URL диагностирования на этой странице. В этом примере мы не будем его использовать, но его нужно включать, если вы хотите отправлять своих пользователей на веб страницу, на которой будет показано, как делать свою машину совместимой, если она перестала таковой являться или неспособна к автоисправлению.

Dhcp nap

Рисунок 8

На странице Определите политику здоровья NAP у вас есть возможность выбрать, какие контрольные устройства здоровья системы (System Health Validators) вы хотите использовать для определения политики здоровья. По умолчанию в Windows Server 2008 включено только одно контрольное устройство здоровья системы, и это Windows Security Health Validator. Сторонние производители дают возможность использовать их контрольные устройства здоровья системы, которые можно устанавливать на сервер политики NAP. Однако я не знаю ни об одном из них на данный момент.

Убедитесь, что стоит флажок в строке Windows Security Health Validator. Также отметьте опцию Включить автоисправление клиентских компьютеров. Эта опция позволяет компонентам NAP клиентов пытаться исправить проблему самостоятельно, если это возможно. Например, если брандмауэр Windows отключен, NAP агент попытается включить его самостоятельно.

На странице Ограничения сетевого доступа для не поддерживающих NAP клиентских компьютеров вы определяете, что хотите сделать с машинами, которые не поддерживают NAP. У вас есть две опции:

  • Запретить полный сетевой доступ для NAP-несовместимых клиентских компьютеров. Разрешить доступ только к ограниченной сети
  • Разрешить полный сетевой доступ для NAP-несовместимых клиентских компьютеров

Первая опция является более безопасной, а вторая – более либеральной. Ваш выбор зависит от ваших целей использования NAP. Возможно, вы захотите разрешить полный сетевой доступ всем NAP-несовместимым клиентским компьютерам на время установки NAP, а после завершения этого процесса вы поворачиваете переключатель и принуждаете все машины быть NAP совместимыми.

Нажмите Далее на странице Определите NAP политику здоровья.

Dhcp nap

Рисунок 9

На странице Завершение настройки политики внедрения NAP и клиентов RADIUS вы видите Политики здоровья, Политики запроса подключения, Сетевые политики и Группу серверов исправления, которые будут созданы мастером. Мы рассмотрим более подробно каждый элемент чуть позже.

Dhcp nap

Рисунок 10

Обратите внимание, что здесь есть ссылка Подробности конфигурации. Когда вы нажимаете на эту ссылку, у вас открывается веб страница с подробностями о каждой политике, которая будет создана мастером.

Dhcp и nap

Рисунок 11

Резюме

В этой второй части нашей серии статей о внедрении DHCP для NAP клиентов мы рассмотрели мастера создания политики NAP, а также рассмотрели каждую опцию, представленную в мастере. Мы увидели, что мастер политики NAP делает процесс создания всесторонней политики NAP довольно простым, поскольку он создает несколько политик здоровья, сети и подключения, которые управляют тем, какие машины могут принимать участие в сети. В следующей части этой серии мы рассмотрим каждое из этих правил более подробно и выясним, какими функциями и возможностями обладает каждое из них. Увидимся!

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]