Sunday, May 27th, 2018

Защита сетевого доступа, повторение (часть 4)

Published on Февраль 23, 2009 by   ·   Комментариев нет

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:

В предыдущей части этой серии я показывал, как настраивать компонент VPN, который будет использоваться для предоставления внешним пользователям доступа к нашей сети. В этой части я покажу вам, как настраивать компонент NPS.

Ранее в этой серии я объяснял, что задачей сервера сетевой политики является сравнение информации о состоянии здоровья, полученной с ПК, которые запрашивают доступ к сети, с системной политикой здоровья. Системная политика здоровья обуславливает то, что требуется от ПК, чтобы они считались здоровыми.

В реальности системная политика здоровья, скорее всего, будет требовать от рабочих станций использования современной ОС Windows, а также наличия всех самых свежих обновлений безопасности. Независимо от того, какие критерии вы используете для определения того, является ли рабочая станция здоровой или нет, вам придется проделать определенную работу.

В целях демонстрации мы создадим очень простое контрольное устройство здоровья системы (system health validator), которое будет просто проверять, включен ли брандмауэр Windows. Если брандмауэр включен, то рабочая станция будет считаться здоровой.

Как я упоминал ранее, в реальности не следует располагать сервер NPS на том же модуле, что и сервер VPN. Сервер VPN граничит с внешней сетью, и если вы расположите сервер сетевой политики на этом модуле, то сильно рискуете закончить тем, что ваш NPS будет взломан. Однако в Windows ничего не мешает вам расположить компоненты VPN и NPS вместе, поэтому в целях демонстрации (а также из-за недостатка оборудования) я буду использовать один модуль для расположения обоих компонентов.

Настройка NPS сервера

Начинаем настройку с ввода команды MMC в строку Выполнить, чтобы открыть пустую консоль Microsoft Management Console. Когда консоль откроется, выбираем команду Добавить или удалить оснастку из меню Файл консоли. В результате Windows откроет диалоговое окно Добавить или удалить оснастку. Выбираем опцию Сервер сетевой политики из списка доступных оснасток и нажимаем кнопку Добавить. Теперь у вас должно появиться сообщение, спрашивающее, хотите ли вы работать с локальным компьютером или с другим компьютером. Убедитесь, что выбрана опция Локальный компьютер и нажмите OK. Нажмите OK еще раз, и компонент Network Policy Server будет открыт.

Теперь нужно перейти в древе консоли к NPS (Local) | Защита сетевого доступа (Network Access Protection) | Валидаторы здоровья системы (System Health Validators), как показано на рисунке A. Здесь нажмите правой клавишей на объекте Windows System Health Validator, расположенном в центральной панели консоли, и выберите команду Свойства из появившегося контекстного меню. В результате Windows откроет диалоговое окно Windows Security Health Validator Properties, как показано на рисунке B.

Как настроить nps?

Рисунок A: Переход в древе консоли к NPS (Local) | Network Access Protection | System Health Validators

Как настроить nps?

Рисунок B: Диалоговое окно свойств Windows Security Health Validator используется для настройки валидатора системного здоровья

В диалоговом окне нажмите кнопку Настроить, и Windows отобразит диалоговое окно Windows Security Health Validator, как показано на рисунке C. Как видно на рисунке, это диалоговое окно позволяет вам определять политику валидатора здоровья системы. По умолчанию диалоговое окно настроено на требование того, чтобы брандмауэр Windows был включен, обновление Windows было включено, а антивирусное и антишпионское ПО было также установлено и обновлено. Поскольку нас интересует только опция требования включенного состояния брандмауэра Windows, оставляем опцию «Брандмауэр включен для всех сетевых подключений» отмеченной, и убираем галочки со всех остальных опций. Дважды жмем OK, чтобы продолжить.

Vpn pfobnf jn gjdnjhtybz

Рисунок C: Выбор опции ‘Брандмауэр включен для всех сетевых подключений’ и отмена выбора всех остальных опций

Создание политики здоровья системы

Теперь, когда мы настроили валидаторы здоровья системы, нам нужно настроить политику здоровья системы. Политики здоровья системы определяют результаты подтверждения здоровья системы. По сути, это означает определение того, что собой представляет соответствие или несоответствие, когда на клиенте осуществляется подтверждение статуса здоровья системы.

Чтобы настроить политику здоровья на сервере NPS, в древе консоли перейдите к NPS (Local) | Политики | Политики здоровья. Теперь правой клавишей нажмите на вкладке Политики здоровья и выберите команду Новая из появившегося контекстного меню. После этого Windows отобразит диалоговое окно Создание новой политики здоровья, как показано на рисунке D.

Повторяющаяся часть рисункасканворд

Рисунок D: Нужно настроить новую политику здоровья системы

Как видно на рисунке, диалоговое окно требует ввода названия политики. Введите слово Совместимый в поле Название. Теперь убедитесь, что в списке «SHV проверки клиента» стоит «Клиент успешно проходит все SHV проверки» (Client Passes all SHV Checks). Выберите опцию Windows System Health Validator и нажмите OK.

Итак, мы создали политику, которая определяет соответствие клиентов. Теперь нам нужно создать вторую политику, которая будет определять, что будет означать для системы несоответствие. Для этого правой клавишей нажмите на вкладке Политики здоровья и выберите команду Новая в появившемся контекстном меню. У вас должно появиться такое же окно, как и то, с которым вы работали только что.

На этот раз, назовите политику Несовместимый. Установите список SHV проверка клиентов на значение «Клиент не проходит одну или несколько SHV проверок». Теперь отметьте опцию Windows Security Health Validator и нажмите OK. Если вы вернетесь в главное окно консоли сервера NPS и выберите вкладку Политики здоровья, то увидите что обе политики (Соответствующий и Несоответствующий) отображены в центральной панели консоли, как показано на рисунке E.

Повторяющаяся часть рисункасканворд

Рисунок E: Если вы вернетесь в главное окно консоли сервера NPS и выберите вкладку Политики здоровья, то увидите что обе политики (Соответствующий и Несоответствующий) отображены в центральной панели консоли

Заключение

В этой части я показал вам, как настраивать валидатор здоровья системы, чтобы Windows проверяла, включен ли брандмауэр на клиенте, запрашивающем доступ к сети. Затем я показал вам, как создавать политики здоровья системы, которые определяют соответствие и несоответствие клиента сетевой политике здоровья.

В следующей части я покажу вам, как создавать политики авторизации здоровья. Политики авторизации здоровья представляют собой политики, которые определяют то, что происходит, если клиент соответствует требованиям политики здоровья системы, или что происходит, если система, запрашивающая доступ к сети, считается несоответствующей. Именно эти политики определяют, какой уровень доступа (если таковой вообще предоставляется) будет предоставлен клиентскому компьютеру к сети. Исправление означает устранение проблем сразу или до получения клиентом доступа к сети.

www.windowsnetworking.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]