Monday, December 11th, 2017

Защита сетевого доступа, повторение (часть 5)

Published on Февраль 23, 2009 by   ·   Комментариев нет

В предыдущей части этой серии статей я показывал, как настраивать валидатор здоровья системы, который проверяет, включен ли брандмауэр Windows на клиенте, запрашивающем доступ к сети. Затем я показал вам, как создавать политики здоровья системы, определяющие, что значит для клиента быть здоровым или нездоровым.

В этой части я покажу вам, как создавать сетевые политики. Сетевые политики – это те политики, которые контролируют, что происходит, когда клиент отвечает требованиям политики здоровья, или что происходит, когда система, запрашивающая доступ к сети, не отвечает этим требованиям. Именно эти политики определяют уровень доступа, который клиент получит к сети.

Создание сетевых политик

Начинаем процесс с открытия консоли Network Policy Server и выбора вкладки Сетевые политики. Когда вы это сделаете, посмотрите в панели Подробности, чтобы проверить, есть ли там в настоящее время какие-либо сетевые политики. В моей тестовой системе есть две стандартные сетевые политики, которые включены по умолчанию. Одна из политик – это политика «Подключение к серверу маршрутизации и удаленного доступа Microsoft», а вторая – «Подключение к другим серверам доступа». Я рекомендую отключить эти политики путем нажатия на них правой клавишей и выбора команды «Отключить» из появившегося контекстного меню.

Теперь, когда мы отключили существующие политики, можно создавать новую сетевую политику. Для этого правой клавишей нажимаем на вкладке Сетевые политики и выбираем команду Новая из появившегося контекстного меню. Когда вы это делаете, Windows запустит мастера создания новой сетевой политики.

В первую очередь нужно будет задать название этой политике. Давайте назовем ее Compliant-Full-Access. Имя политики вводится в поле «Название политики», расположенное на первой странице мастера. Оставьте значение «Не определен» для опции «Тип сервера сетевого доступа», как показано на рисунке A, и нажмите Далее.

Создание сети

Рисунок A: Называем политику и жмем Далее

В следующем окне от вас потребуется указать условия, которые будут использоваться этой политикой. Можно нажать кнопку Добавить, чтобы открыть диалоговое окно «Задать условия». Пролистайте различные опции этого диалогового окна, пока не найдете опцию Политики здоровья. Выберите эту опцию и нажмите кнопку Добавить. Когда вы это сделаете, мастер попросит вас выбрать политику здоровья, которая будет внедряться. Выберите опцию «Совместимый» из списка, как показано на рисунке B.

Создание сети

Рисунок B: Выбираем опцию Совместимый из списка политик здоровья

Нажмите OK, чтобы закрыть диалоговое окно Выбор условий и нажмите Далее. После этого Windows отобразит окно мастера «Указание разрешения доступа». Выберите опцию «Предоставить доступ» и нажмите Далее. Выбор опции предоставления доступа не дает пользователям полного доступа к сети. Он лишь означает, что запрос, входящий на политику, может обрабатываться далее.

Теперь у вас должно открыться окно настройки способа аутентификации в мастере. В этом окне представлено несколько опций, каждая из которых соответствует различным способам аутентификации. Примите умолчания, как показано на рисунке C, и нажмите Далее.

Сетевая политика это

Рисунок C: Принимаем способ аутентификации по умолчанию и жмем Далее

Нажмите далее, и у вас появится окно «Настройки ограничения». Мы не собираемся добавлять никаких ограничений для этой политики, поэтому просто нажмите Далее.

Теперь у вас откроется окно мастера «Настройки параметров». На этой странице вы можете указать параметры, которые будут применяться, если компьютеру разрешен доступ. В некоторых предыдущих компоновках Windows Server 2008 требовалось отключать внедрение NAP, чтобы клиентские компьютеры могли получить доступ к сети. В версии RTM параметры NAP внедрения настроены по умолчанию на разрешение доступа. Учитывая это, просто нажимаем Далее.

Теперь у вас должно появиться окно с кратким описанием опций конфигурации, которые вы выбрали для политики. Предположив, что все выглядит правильно, нажимаем Готово, чтобы создать политику.

Компьютеры, не отвечающие требованиям

Итак, мы создали политику для здоровых компьютеров, теперь нам нужно создать подобную политику для машин, которые не отвечают требованиям политики здоровья. Для этого нажимаем правой клавишей на ветви Сетевые политики в древе консоли и выбираем команду Новая из появившегося контекстного меню. В результате Windows откроет теперь уже знакомый мастер создания сетевой политики.

Как и в предыдущем случае для начала нужно задать имя политике, которую мы создаем. Давайте назовем ее Noncompliant-Restricted. И снова задаем значение «Не определен» для опции «Тип сервера сетевого доступа», а затем нажимаем Далее.

Теперь откроется страница мастера «Условия». Когда мы создавали сетевую политику для соответствующих компьютеров, мы создали условия, которым должен был отвечать компьютер в политике соответствия, созданной нами в предыдущей части этой серии статей. Так как данная политика предназначается для несоответствующих машин, нужно проверять, соответствует ли конфигурация клиентского компьютера условиям, определенным в политике «Несоответствующий (NonCompliant)». А именно, нужно проверить и убедиться, что брандмауэр Windows не включен.

Для этого нажимаем кнопку Добавить, и Windows отобразит диалоговое окно «Выбор условий». Выбираем опцию Политики здоровья из списка и нажимаем кнопку Добавить. Теперь выбираем опцию NonCompliant из списка политик здоровья, жмем OK, а затем Далее.

Теперь Windows отобразит страницу мастера «Указание разрешения доступа». Несмотря на то, что мы создаем политику ограничения, тип политики нужно установить в значение «Разрешить доступ». Помните, что это не предоставляет доступ к сети, а скорее позволяет дальнейшую обработку политики.

Жмем Далее, после чего откроется страница мастера «Настройка метода аутентификации». Здесь также принимаем умолчания и нажимаем Далее.

Теперь у нас откроется страница «Настройка ограничений». Здесь нам тоже не нужно настраивать никаких ограничений, поэтому просто жмем Далее.

Сейчас у нас откроется страница «Настройки параметров». До этого момента все шаги создания данной политики были идентичны шагам создания предыдущей политики за исключением указания другой политики. Если бы мы оставили эту политику так, то нездоровые компьютеры смогли бы получать доступ к сети. Но поскольку нас не устраивает такой вариант, нам нужно использовать NAP внедрение, чтобы запретить доступ к сети.

Для этого выбираем вкладку NAP Enforcement, расположенную в списке параметров. После этого откроется панель подробностей с различными опциями внедрения. Выбираем опцию «Разрешить ограниченный доступ», а затем отмечаем опцию «Включить автоисправление клиентских компьютеров (Enable Auto Remediation of Client Computers)». Включаем опцию и отмечаем «Обновлять несоответствующие клиентские компьютеры автоматически». Жмем Далее, а затем Закончить, чтобы создать политику.

Заключение

В этой статье я показал вам, как создавать сетевые политики для здоровых и нездоровых компьютеров. В следующей части этой серии статей мы завершим настройку сервера.

www.windowsnetworking.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]