Установка сервера IPsec Server и изоляции домена с помощью групповой политики Windows Server 2008 Group Policy (часть 1)

Published on Февраль 4, 2009 by   ·   Комментариев нет

Защита сетевого доступа (Network Access Protection) является новой технологией, включенной в Windows Server 2008, которая обеспечивает контроль над тем, каким машинам разрешено подключение к другим машинам в вашей сети. Защита сетевого доступа (или NAP) позволяет вам устанавливать политики здоровья системы, которым машина должна соответствовать, прежде чем ей будет разрешен доступ к сети. Если машины отвечают требованиям политики сетевого доступа, то им разрешается доступ к сети. Если нет, то машине может быть отказано в подключении к любой другой машине в сети, или можно настроить политики, которые будут позволять подключение к серверу исправления, позволяющему машине исправить все несоответствия и попытаться подключиться к сети снова, когда процесс исправления был успешно осуществлен.

Существует множество способов внедрения политики NAP. Самым простым способом будет использование NAP DHCP внедрения. К сожалению, это будет и наименее безопасный способ, поскольку пользователь может вручную настроить IP адрес на машине и обойти NAP DHCP политику. Самым безопасным способом внедрения NAP политики является IPsec. При использовании IPsec NAP внедрения, когда машина соответствует политике NAP, ей выдается сертификат здоровья, позволяющий создавать безопасное IPsec подключение к другим машинам, работающим в «виртуальной» сети NAP. К сожалению, внедрение NAP с помощью IPsec является самой сложной конфигурацией.

NAP сама по себе является крайне сложной технологией с сотнями «подвижных частей». Если вы неправильно настроите любую из этих подвижных частей, установка даст сбой и потребуется достаточно много времени и усилий на то, чтобы понять, что не так. Используя внедрение политики NAP с помощью IPsec, вы обнаружите, что здесь еще больше «подвижных частей» и что диагностика и исправление проблем еще более сложное. Здесь также наблюдается сильная зависимость от групповых политик, что, опять же, добавляет сложности решению, так как часто нужно исправлять проблемы с групповой политикой при работе с установкой NAP.

Итак, учитывая все вышесказанное о сложности и бесчисленном количестве «подвижных частей», может показаться, что я пытаюсь разубедить вас использовать внедрение политики NAP с помощью IPsec. Нет! Это не так. Я просто хочу, чтобы вы знали, что это сложная настройка и конфигурация, и вы должны быть терпеливыми во время установки и тестирования. Чем больше времени вы потратите на тестирование и понимание того, как работает решение, тем больше у вас шансов на успешность установки.

Внедрение NAP политики с IPsec представляет собой очень мощный способ установки решения NAP. По сути, вы получаете два решения в одном: во-первых, вы получаете контроль сетевого доступа NAP, позволяющий вам блокировать нездоровые машины от подключения к вашей сети, а во-вторых, вы используете мощь изоляции домена IPsec, которая не позволяет машинам, не отвечающим нужным требованиям, подключаться к вашей сети. NAP с IPsec изоляцией домена позволяет вам создавать ‘виртуальную сеть’ в рамках вашей физической сети. Машины в «виртуальной сети» IPsec могут находиться в одном и том же сетевом сегменте или в сегменте VLAN, но виртуально отделяться друг от друга посредством IPsec. Машины, не имеющие сертификатов здоровья IPsec Health Certificates, не смогут взаимодействовать со здоровыми машинами в сети.

В этой статье я от начала до конца проведу вас через процесс сборки решения NAP с помощью IPsec. Изначальная среда очень проста, как видно из рисунка ниже.

Ca на контроллере домена

Рисунок 1

Машины, используемые в этой примерной сети, будут следующими:

WIN2008DC

Эта машина Windows Server 2008 Enterprise является контроллером домена в домене msfirewall.org. Еще одной серверной ролью, установленной на этом компьютере, будет роль центра сертификации (Certificate Authority). Я сделал эту машину производственным корневым центром сертификации (Enterprise Root CA). Если вы хотите создать такую же конфигурацию, сначала нужно сделать машину контроллером домена, а после этого установить роль CA и выбрать опцию корневого центра сертификации Root CA. Если вы хотите скопировать конфигурацию моего производственного CA, назовите CA msfirewall-WIN2008DC-CA.

WIN2008SRV1

Эта Windows Server 2008 Enterprise машина является сервером-членом в домене msfirewall.org. На этой машине не установлено других ролей сервера. Мы установим на нее роль NPS сервера и сделаем ее подчиненным CA позже, но если вы хотите построить такую среду, просто установите Windows Server 2008 на машину и следуйте инструкциям по мере их появления в этом цикле статей.

VISTASP1

Это машина Vista с установленным пакетом обновления SP 1. Машина является членом домена msfirewall.org. Я использовал установку Vista по умолчанию, а затем установил SP1. Если у вас есть возможность интегрированной установки SP1, это тоже отлично подойдет.

VISTASP1-2

Это машина Vista, на которой также установлен SP1, как и на VISTASP1. Эта машина входит в состав рабочей группы под названием WORKGROUP. Мы присоединим эту машину к домену позже, когда будем тестировать политики NAP и IPsec.

Основные шаги, которые мы будем выполнять в этом цикле статей, включают следующее:

  • Настройка контроллера домена
  • Установка и настройка сервера сетевой политики (NPS), центра регистрации здоровья (Health Registration Authority) и подчиненного центра сертификации (Subordinate CA)
  • Настройка политики внедрения NAP IPsec на сервере NPS
  • Настройка VISTASP1 и VISTASP1-2 для тестирования
  • Тестирование сертификата здоровья и конфигурации автоматического исправления
  • Проверка политики внедрения NAP на VISTASP1
  • Настройка и проверка политик IPsec

В этой статье я хочу вам показать с большим количеством снимков, как настраивать решение и доказать, что оно на самом деле работает. При написании этой статьи я опирался на плечи гигантов администрирования и хочу поблагодарить Джефа Сигмана из компании Microsoft за фантастическую работу, которую он проделал для того, чтобы сделать NAP доступной и понятной широкой общественности. Эта статья представляет собой пошаговое руководство, которое он создал по настройке политики NAP с IPsec в тестовой среде. Я надеюсь, что после того, как вы увидите, как работает конфигурация, с уймой снимков, вы заинтересуетесь решением внедрения NAP с IPsec и захотите протестировать его в собственной тестовой среде.

Настройка контроллера домена

В этом разделе мы выполним следующие шаги:

  • Подтвердим конфигурацию производственного корневого центра сертификации (Enterprise Root CA) на контроллере домена
  • Создадим группу безопасности NAP клиентов
  • Создадим группу безопасности NAP исключений (Exempt — машин освобожденных от необходимости соответствия политике NAP)
  • Создадим и настроим шаблон сертификата для компьютеров группы NAP Exempt
  • Сделаем шаблон сертификата доступным для публикации через групповую политику
  • Распределим сертификат здоровья NAP Exemption Health Certificate с помощью автоматической регистрации групповой политики (Group Policy Autoenrollment)

Все необходимое для каждого шага перечислено в начале каждого раздела.

Подтверждение конфигурации производственного корневого центра сертификации

Убедитесь, что запрос сертификата не требует одобрения администратора. Выполните следующие шаги на контроллере домена, WIN2008DC:

  1. Нажмите Пуск, перейдите в Администрирование, а затем выберите Центр сертификации.
  2. В левой панели консоли правой клавишей нажмите на Центре сертификации и выберите Свойства.

    Политики домена на сервере

    Рисунок 2

  1. Перейдите по вкладке Модуль политики (Policy Module) и выберите Свойства.

    Публикация шаблона на сервере сертификации

    Рисунок 3

  1. Убедитесь, что опция Следовать параметрам в шаблоне сертификата, если они применимы. В противном случае автоматически выписывать сертификат выбрана.

    Добавление пользователя active directory

    Рисунок 4

  1. Нажмите OK дважды и закройте консоль центра сертификации.

Создание группы NAP клиентов

Далее нужно создать группу для использования с фильтрацией безопасности групповой политики. Мы создадим объект групповой политики, который будет применен к машинам, для которых применима политика NAP, а затем настроим GPO на использование только членами данной группы. В этом случае нам не нужно создавать OU для клиентов NAP. Все, что нужно – это добавить NAP клиентов в группу безопасности. VISTASP1 и VISTASP1-2 будут добавлены в эту группу после того, как будут присоединены к домену.

Выполните следующие шаги на WIN2008DC:

  1. В левой панели консоли Пользователи и компьютеры Active Directory правой клавишей нажмите на msfirewall.org, выберите Новый, а затем нажмите Группа.

    Windows server 2008 ipsec

    Рисунок 5

  1. В диалоговом окне Новый объект — Группа в поле Название группы впишите NAP клиенты. В поле Границы группы выберите Глобальная, в Тип группы выберите Безопасность, а затем нажмите OK.

    Запрос сертификата ipsec

    Рисунок 6

  1. Оставьте консоль компьютеров и пользователей Active Directory открытой для следующей процедуры.

Создание группы NAP исключений

В вашей сети будут машины, которым нужно будет взаимодействовать с членами безопасной сети, но которые не должны отвечать требованиям безопасности NAP. Это, как правило, машины сетевой инфраструктуры, такие как контроллеры домена, DHCP серверы и прочие компьютеры, которым нужно взаимодействовать с машинами защищенной сети.

В нашей примерной сети WIN2008SRV1 должен иметь возможность подключаться к членам защищенной сети, чтобы выдавать им сертификаты здоровья, которые будут использоваться для создания защищенных IPsec взаимодействий между членами безопасной сети. Итак, мы поместим эту машину в собственную группу, а затем настроим сертификат здоровья, который будет автоматически устанавливаться на эту машину. Сертификат здоровья будет устанавливаться на эту машину с помощью автоматической регистрации, поэтому машине, издающей сертификаты здоровья, не нужно будет проходить политику NAP, прежде чем получать сертификат.

Выполните следующие шаги на WIN2008DC:

  1. В консоли Пользователи и компьютеры Active Directory правой клавишей нажмите на msfirewall.org, выберите Новый, а затем нажмите Группа.

    Пошаговая инструкция как развернуть домен win2008

    Рисунок 7

  1. В Названии группы впишите IPsec NAP исключение. В Границе группы выберите Глобальная, в Типе группы выберите Безопасность, а затем нажмите OK.

    Групповые политики ad server 2008

    Рисунок 8

  1. Оставьте консоль пользователей и компьютеров Active Directory открытой для следующей процедуры.

    Windows ipsec сервер

    Рисунок 9

Создание и настройка шаблона сертификата для компьютеров группы NAP исключений

Шаблон сертификата должен быть создан для компьютеров, которым дано освобождение от проверок здоровья NAP. Этот шаблон сертификата будет настроен с двумя политиками применения: аутентификация клиента и аутентификация здоровья системы. Этот шаблон сертификата будет настроен с System Health Authentication OID с тем, чтобы ее можно было использовать для взаимодействия с соответствующими NAP политике компьютерами в защищенной сети.

После создания шаблона сертификата мы опубликуем этот шаблон, чтобы он был доступен в Active Directory для машин, которые являются членами группы NAP исключений. После публикации шаблона сертификата в Active Directory мы настроим групповую политику так, чтобы сертификат автоматически присваивался членам группы NAP исключений с помощью автоматической регистрации (Autoenrollment).

Выполните следующие шаги на WIN2008DC:

  1. Нажмите Пуск, в строке Выполнить впишите certtmpl.msc и нажмите клавишу ENTER.
  2. В средней панели консоли Шаблоны сертификата правой калившей нажмите на Аутентификации рабочей станции, а затем выберите Двойной шаблон. Этот шаблон используется, так как он уже настроен с политикой применения аутентификации клиентов.

    Домен политика ipsec

    Рисунок 10

  1. В диалоговом окне Двойной шаблон выберите опцию Windows 2003 Server, Enterprise Edition и нажмите OK.

    Политики Windows 2008 сетевой доступ

    Рисунок 11

  1. В поле Отображаемое имя шаблона введите Аутентификация здоровья системы (System Health Authentication). Поставьте галочку напротив опции Публиковать сертификат в Active Directory.

    Групповая политика домена 2008

    Рисунок 12

  1. Перейдите по вкладке Расширения и нажмите Политики приложений. Затем нажмите кнопку Редактировать.

    Windows 2008 IP security policies

    Рисунок 13

  1. В диалоговом окне Редактирование расширений политик приложений нажмите Добавить.

    Ipsec нет доступа к компьютеру

    Рисунок 14

  1. В диалоговом окне Добавить политику приложения выберите политику Аутентификация здоровья системы и нажмите OK.

    Нет доступа к серверу 2008 gpo

    Рисунок 15

  1. Нажмите OK в диалоговом окне Редактирование расширения политики приложений.

    Групповая политика Windows

    Рисунок 16

  1. Перейдите по вкладке Безопасность и нажмите Добавить. В диалоговом окне Выберите пользователей, компьютеры или группы введите NAP исключения в текстовом поле Введите имя объекта для выбора и нажмите Проверка имен. Далее нажмите OK.

    Шаблоны сертификатов

    Рисунок 17

  1. Нажмите IPsec NAP исключения, отметьте опцию Разрешить галочками напротив Регистрировать и Автоматически регистрировать, а затем нажмите OK.

    Шаблоны ipsec

    Рисунок 18

  1. Закройте консоль шаблонов сертификатов.

Делаем шаблон сертификата доступным для публикации с помощью групповой политики

Выполните следующие шаги, чтобы сделать новый шаблон сертификата доступным в групповой политике Active Directory. После того, как мы это сделаем, мы сможем сделать этот сертификат доступным для членов группы NAP исключений через автоматическую регистрацию.

Выполните следующие шаги на WIN2008DC:

  1. Перейдите в меню Пуск, в строке Выполнить введите certsrv.msc и нажмите ENTER.
  2. Разверните имя сервера в левой панели консоли, в древе консоли правой клавишей нажмите на Шаблонах сертификатов, выберите Новый, и затем нажмите Шаблон сертификата для издания.

    Как сделать шаблона сертификатв?

    Рисунок 19

  1. Нажмите Аутентификация здоровья системы, а затем нажмите OK.

    Включить ipsec Windows server 2008

    Рисунок 20

  1. В левой панели консоли выберите Шаблоны сертификатов, а в панели подробностей под строкой Имя убедитесь, что отображается Аутентификация здоровья системы.

    Шаблоны сертификатов

    Рисунок 21

  1. Закройте консоль центра сертификации.

Распределение сертификата здоровья NAP Exemption Health Certificate с помощью автоматической регистрации групповой политики

Теперь, когда мы опубликовали шаблон сертификата, мы можем сделать его доступным для машин домена, которые принадлежат к группе NAP исключений. Мы делаем это с помощью автоматической регистрации.

Выполните следующие шаги на WIN2008DC, чтобы включить автоматическую регистрацию этого сертификата:

  1. Перейдите в меню Пуск и выберите Выполнить. Введите gpmc.msc в текстовом поле Открыть и нажмите OK.
  2. В консоли Управление групповой политикой разверните имя домена msfirewall.org и правой клавишей нажмите Стандартная политика домена (Default Domain Policy), затем нажмите Редактировать

    Удаление сертификатов Windows

    Рисунок 22

  1. В левой панели редактора Group Policy Management Editor откройте Конфигурация компьютера\Параметры Windows\Параметры безопасности \Политики публичного ключа. В средней панели консоли дважды нажмите Клиент служб сертификации ‘ Автоматическая регистрация (Auto-Enrollment).

    Как исправить ipsec?

    Рисунок 23

  1. В диалоговом окне свойств Клиент служб сертификации ‘ автоматическая регистрация выберите опцию Включить в поле списка Модель конфигурации. Отметьте опции Обновлять просроченные сертификаты, обновлять ожидающие сертификаты и удалять отозванные сертификаты и Обновлять сертификаты, которые используют шаблоны сертификатов флажками. Нажмите OK.

    Включение шаблонов сертификатов отсутствует созданный шаблон

    Рисунок 24

  1. Закройте редактор Group Policy Management Editor.
  1. Закройте консоль Управление групповой политикой.

Заключение

В этой первой части цикла статей о создании решения NAP с помощью внедрения IPsec мы рассмотрели конфигурационные требования для компьютера с ролью контроллера домена. Сюда вошло подтверждение конфигурации производственного корневого центра сертификации, создание групп безопасности NAP клиентов и NAP исключений, создание и настройка шаблона сертификата для компьютеров группы NAP исключений, мы также сделали шаблон сертификата доступным для публикации через групповую политику и распределили сертификаты здоровья NAP exemption с помощью автоматической регистрации в групповой политике. В следующей части цикла статей мы установим сервер сетевой политики (Network Policy Server) и центры регистрации здоровья, а также создадим NAP политику. До встречи!

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]