Использование фильтрации групповых политик для создания NAP DHCP Enforcement Policy (Часть 1)

Published on Февраль 4, 2009 by   ·   Комментариев нет

Network Access Protection (защита доступа к сети) – это новый инструмент для контроля доступа к сети, входящий в состав операционной системы Windows Server 2008. Network Access Protection, или сокращенно NAP, позволяет вам контролировать, какие компьютеры могут взаимодействовать в вашей сети. Возможность взаимодействия с сетью определяется тем фактором, удовлетворяет ли клиентский компьютер NAP требованиям безопасности, которые заданы вашими политиками NAP.

NAP имеет несколько ‘движущих частей’, из-за которых его сложно настраивать. Дополнительно проблемой также является тип усиления, который вы хотите подключить. Например, есть несколько клиентов NAP Enforcement Clients, которые контролируют доступ к сети на основании информации об IP адресе, или, основываясь на том, имеет ли клиент сертификат, который позволяет ему подключиться к сети.

В этой статье я помогу вам объединить простые решения для усиления DHCP NAP. Когда вы используете усиление DHCP NAP, то сервер DHCP становится вашим сервером для сетевого доступа. Это означает, что сервер DHCP отвечает за обеспечение клиентских компьютеров NAP информацией согласно их уровню соответствия. Если клиентский компьютер NAP удовлетворяет определенным условиям, то он получает информацию об IP адресах, которая позволяет ему подключаться к другим компьютерам в вашей сети. Если клиентский компьютер NAP не соответствует вашим политикам здоровья, то клиенту NAP будет присвоен IP адрес, который ограничивает число компьютеров, к которым он может подключиться. Обычно, ваша политика NAP позволит компьютерам, которые ей не удовлетворяют, подключиться к контроллерам домена и серверу сетевой инфраструктуры.

В сценарии усиления DHCP NAP Enforcement требуются другие сервера. Т.к. в этом сценарии сервер DHCP является сервером сетевого доступа, то вам нужен сервер RADIUS, который будет содержать ваши политики NAP. Есть несколько политик, которые хранятся на сервере RADIUS совместимым с NAP, такие как политики состояния, сетевые политики, а также политики запросов на подключение. В Windows Server 2008 в качестве сервера RADIUS, на котором хранятся ваши политики NAP, используется сервер сетевой политики Network Policy Server (NPS). Сервер NPS будет взаимодействовать с вашим сервером DHCP и информировать ваш сервер DHCP о том, удовлетворяет ли клиент вашим политикам NAP или нет.

Для того, чтобы установить вашу политику состояния (heath policy), вы должны установить по крайней мере один валидатор Security Health Validator (SHV) на сервере NPS. По умолчанию, Windows Server 2008 предоставляет вам Windows Security Health Validator, который вы можете использовать для задания ваши политик состояния.

На стороне клиента есть два компонента, которые вы должны включить – это агент NAP Agent и клиент усиления NAP Enforcement client. Агент NAP Agent собирает информацию о состоянии безопасности клиентского компьютера, а NAP Enforcement Agent используется для усиления политики NAP, в зависимости от выбранного вами типа усиления. В сценарии, который мы используем в этой статье, мы подключим DHCP NAP enforcement agent.

Тестовая сеть очень простая. Она состоит из трех машин:

  • Контроллер домена Windows Server 2008 Domain Controller. Никаких других служб не установлено на этой машине. Этой машине присвоен IP адрес 10.0.0.2, и эта машина является контроллером домена в домене msfirewall.org.
  • Член домена Windows Server 2008 msfirewall.org. IP адрес этого компьютера —10.0.0.3. На этом компьютере установлены службы DHCP и NPS.
  • Клиентский компьютер с Windows Vista. Эта машина является членом домена msfirewall.org.
  • В этой статье мы выполним следующие процедуры:
  • Создадим группу безопасности Security Group, в которую будут помещены клиенты NAP
  • Установим службы NPS и DHCP на сервер
  • Используем мастер NAP wizard для создания политики усиления NAP DHCP enforcement policy
  • Просмотрим политику запросов на подключение (NAP Connection request policy)
  • Просмотрим сетевые политики (NAP Network policies)
  • Просмотрим политики состояния (NAP Health policies)
  • Настроим сервер DHCP для взаимодействия с сервером NPS для усиления NAP
  • Настроим параметры NAP в групповой политике
  • Поместим компьютер с Vista в группу усиления NAP
  • Проверим наше решение

Прочитайте эти инструкции несколько раз перед реализацией их в вашей лаборатории. Убедитесь, что вы понимаете для чего необходим каждый этап.

Приступим!

Создание группы безопасности (Security Group) для клиентов NAP

Вначале мы создадим группу безопасности для компьютеров, к которым будут применены политики NAP policy. Откройте консоль Active Directory Users and Computers, щелкните правой кнопкой на узле Users (пользователи). Выделите New (создать) и укажите Group (группа).

Dhcp nap enforcement

Рисунок 1

В диалоговом окне New Object ‘ Group введите NAP Enforced Computers в текстовом поле Group Name (название группы). Выберите параметр Global (глобальная) в списке Group scope (область действия группы) и выберите параметр Security в списке Group type (тип группы). Нажмите на кнопку OK.

Dhcp nap enforcement

Рисунок 2

Установка NPS и DHCP на сервер NPS

На компьютере NPS будет размещаться роли сервера сетевой политики Network Policy Server и сервера DHCP. Обратите внимание, что вы можете установить сервер DHCP, не на сервер NPS, а на другой сервер, на котором будут размещаться политики NAP, но вам будет необходимо настроить этот удаленный сервер DHCP на работу в качестве DHCP и NPS, а затем настроить этот сервер NPS на передачу запросов на аутентификацию на этот сервер NAP. Чтобы немного облегчить задачу, мы установим сервера NPS и DHCP на одну машину.

В консоли Server Manager выделите узел Roles (роли), а затем нажмите на ссылку Add Roles (добавить роли), как видно из рисунка ниже.

Dhcp nap enforcement

Рисунок 3

Нажмите на кнопку Next (Далее) на странице Before You Begin.

Dhcp nap enforcement

Рисунок 4

На странице Select Server Roles (выбор серверных ролей) поставьте галочку в поле DHCP Server и Network Policy and Access Services. Нажмите на кнопку Next (Далее).

Dhcp nap enforcement

Рисунок 5

Прочитайте информацию на странице Network Policy and Access Services, а затем нажмите на кнопку Next (Далее).

Dhcp nap enforcement

Рисунок 6

Нам не нужны все службы ролей, которые предоставляет роль Network Policy and Access Services. Нам нужна лишь роль RADIUS (Network Policy Server). Поставьте галочку в поле Network Policy Server (сервер сетевой политики). Не выбирайте никаких других параметров. Нажмите на кнопку Next (далее).

Dhcp nap enforcement

Рисунок 7

Прочитайте информацию на странице DHCP Server и нажмите на кнопку Next (далее).

Microsoft dhcp ipv6

Рисунок 8

Менеджер сервера Server Manager немного облегчает нам жизнь, т.к. он предлагает возможность настройки сервера DHCP в процессе установки. На странице Select Network Connection Bindings выберите IP адреса, по которым будет слушать ваш сервер DHCP. Ваш выбор здесь зависит от сложности вашего DHCP окружения, т.к. у вас может быть более одного IP адреса, связанного с DHCP сервером. Но в нашем сценарии у нас будет всего один IP адрес, привязанный к этой машине. Поставьте галочку в поле IP address, а затем нажмите на кнопку Next (далее).

Microsoft dhcp ipv6

Рисунок 9

На странице Specify IPv4 DNS Server Settings у вас есть возможность настройки некоторых параметров DHCP. Введите название вашего домена в текстовом поле Parent Domain (родительский домен), и введите IP адрес вашего сервера DNS в текстовом поле Preferred DNS Server IPv4 Address. В нашем примере домен называется msfirewall.org, поэтому мы введем это название и IP адрес нашего DNS сервера 10.0.0.2. У нас нет альтернативного DNS сервера в нашем примере, поэтому мы нажмем на кнопку Next (далее).

Microsoft dhcp ipv6

Рисунок 10

У нас нет сервера WINS в нашей тестовой сети, поэтому мы ничего не будем вводить на странице Specify IPv4 WINS Server Settings. Просто выберите параметр WINS is not required for applications on this network (WINS не нужен для приложений в этой сети) и нажмите на кнопку Next (далее).

Dhcp enforcement

Рисунок 11

На странице Add or Edit DHCP Scopes нажмите на кнопку Add (добавить). В диалоговом окне Add Scope (добавление области действия) введите Scope Name (название области действия), Starting IP Address (начальный IP адрес), Ending IP Address (конечный IP адрес), Subnet Mask (маска подсети), Default Gateway (шлюз по умолчанию) и выберите срок аренды. На рисунке ниже изображены значения этих параметров для нашей тестовой сети. Нажмите на кнопку OK в диалоговом окне Add Scope.

Dhcp nap enforcement

Рисунок 12

Нажмите на кнопку Next (далее) в диалоговом окне Add or Edit DHCP Scopes.

Dhcp nap enforcement

Рисунок 13

Мы не используем IPv6 в этой тестовой сети, поэтому выберем параметр Disable DHCPv6 stateless mode for this server и нажмем на кнопку Next (далее).

Dhcp nap enforcement

Рисунок 14

Для работы в нашем домене этот DHCP сервер должен пройти авторизацию в Active Directory. Выберите параметр Use current credentials (использовать текущие права), если вы работаете от имени администратора домена. Если нет, то выберите параметр Use alternate credentials (использовать альтернативные права) и нажмите на кнопку Specify (указать). В этом примере я работаю под учетной записью администратора домена, поэтому я выбираю параметр Use current credentials и нажимаю на кнопку Next (далее).

Dhcp nap enforcement

Рисунок 15

Просмотрите ваши параметры на странице Confirm Installation Selections и нажмите на кнопку Install (установить).

Dhcp nap enforcement

Рисунок 16

Нажмите на кнопку Close (закрыть) на странице Installation Results (результаты установки), после того, как вы убедитесь, что установка серверов NPS и DHCP прошла успешно.

Dhcp nap enforcement

Рисунок 17

Резюме

В первой части этой статьи, посвященной использованию усилений NAP DHCP, мы рассказали о некоторых основных концепциях NAP. Затем мы создали группу безопасности для наших клиентских компьютеров NAP, а затем установили компоненты сервера DHCP и NPS. Во второй части этой статьи мы воспользуемся мастером NAP для создания политики усиления NAP DHCP, а затем подробно рассмотрим параметры, созданные мастером. До встречи!

Источник www.windowsecurity.com


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]