В предыдущей части я показал, как запрашивать сертификат компьютера и как связывать этот сертификат с сервером VPN. В этой части я хочу обратить внимание на клиентов, которые будут подключаться к серверу VPN. Клиентские компьютеры должны работать под управлением Windows Vista или Windows XP с SP3 или более поздним пакетом обновления, и должны быть членами домена. Не менее важно, чтобы компьютеры были настроены на выполнение внедрения клиентского компонента. Мы включим этот компонент с помощью групповой политики. В этой части я покажу вам, как это делается.
Одним из щекотливых моментов создания групповой политики для NAP является то, что вы, вероятно, не захотите, чтобы она применялась ко всем компьютерам в сети. Например, сетевые серверы, скорее всего, не будут подключаться через VPN, поэтому их не нужно настраивать в качестве клиентов NAP. Поскольку нам нужно разделить компьютеры на те, которые будут работать в качестве клиентов Network Access Protection и те, которые не будут таковыми, мы начнем с процесса создания группы безопасности, к которой можно будет применить параметры политики.
Для создания необходимой группы безопасности откройте консоль пользователей и компьютеров Active Directory Users and Computers. Когда консоль открыта, нажмите правой клавишей на своем домене и выберите команду Новая | Группы из появившегося контекстного меню. После этого Windows откроет диалоговое окно Новый объект — Группы. Укажите NAP Clients в качестве имени группы. Убедитесь, что границы группы имеют значение Global, а тип группы имеет значение Security. Нажмите OK для создания группы.
Далее нам нужно установить функцию управления групповой политикой, чтобы иметь возможность изменять различные параметры групповой политики. Для этого откройте диспетчер сервера (Server Manager) и перейдите в раздел Обзор функций (Features Summary). Нажмите на ссылке Добавить функции (Add Features), и у вас откроется окно, в котором будут перечислены установленные на данный момент функции. Если нужная функция еще не установлена, отметьте галочкой соответствующую опцию (Group Policy Management). Наконец, нажмите Далее, а затем Установить. Когда процесс установки завершен, нажмите Готово, чтобы закрыть мастера установки. Также можно закрыть диспетчера сервера.
Теперь, когда у нас есть нужная группа безопасности, и мы установили функцию управления групповой политикой, пришло время настроить необходимые параметры групповой политики. Начнем этот процесс с ввода команды GPME.MSC в панель Выполнить. После этого Windows отобразит диалоговое окно, в котором вы сможете выбрать существующие групповые политики для редактирования. Вместо того чтобы редактировать одну из существующих групповых политик, нам нужно создать новый объект групповой политики.
Это можно сделать путем нажатия кнопки Создание нового объекта групповой политики, которая расположена справа от списка ваших доменов. После нажатия на кнопку вам будет предложено указать имя нового объекта групповой политики, который вы создаете. В этом примере назовем объект NAP Client Settings.
Теперь, когда новый объект групповой политики создан, выберите его и нажмите OK. В результате Windows откроет редактора объектов групповой политики (Group Policy Management Editor). Вам нужно перейти в древе консоли к Компьютер (Computer) | Конфигурация (Configuration) | Политики (Policies) | Параметры Windows | Настройки безопасности (Security Settings) | Системные службы (System Services). Теперь дважды нажмите на списке агентов защиты сетевого доступа (Network Access Protection Agent), расположенном в панели подробностей.
Windows откроет диалоговое окно свойств агента защиты сетевого доступа. Выберите опцию Определить параметры этой политики, а затем выберите опцию Автоматический запуск. Нажмите OK, чтобы закрыть диалоговое окно.
Теперь перейдите в древе консоли к Конфигурации компьютера (Computer Configuration) | Политики (Policies) | Параметры Windows | Настройки безопасности | Network Access Protection | Конфигурация клиента NAP | Клиенты внедрения (Enforcement Clients). После этого в панели подробностей будет отображен список различных доступных клиентов внедрения. Правой клавишей нажмите на Remote Access Quarantine Enforcement Client, а затем выберите команду Включить из появившегося контекстного меню. Теперь вернитесь ко вкладке Конфигурация NAP клиента, нажмите на ней правой клавишей и выберите Применить.
Теперь вернитесь в древе консоли к Конфигурации компьютера | Политики | Административные шаблоны | Компоненты Windows | Центр безопасности. Дважды нажмите на вкладке Включить центр безопасности (Только для ПК домена), отображенной в панели подробностей. После этого Windows отобразит диалоговое окно свойств включения центра безопасности. Выберите опцию Включено и нажмите OK. Это сделает центр безопасности доступны с клиентских ПК. Это очень важно, так как мы собираемся тестировать NAP на предмет возможности определения того, включен ли брандмауэр Windows на клиентских машинах.
Для завершения процесса нажмите OK, а затем закройте редактор управления групповыми политиками. В некоторых случаях вы можете получить уведомление, спрашивающее, хотите ли вы применить изменения, которые вы внесли в объекте групповой политике. Если вы получите такое уведомление, то убедитесь, что приняли изменения.
Следующее, что нам нужно сделать, это применить некоторые фильтры безопасности, которые не позволят применить параметры клиентов NAP к сетевым серверам. Для настройки фильтров введите GPMC.MSC в строку Выполнить. Windows откроет консоль управления групповыми политиками. Перейдите в древе консоли к Домен | ваш домен | Объекты групповой политики | Параметры NAP клиента.
Если вы посмотрите в панель подробностей, то найдете там раздел под названием Фильтрация безопасности (Security Filtering) в нижней части окна. По умолчанию политика применяется к аутентифицированным пользователям. Нам нужно изменить ее так, чтобы политика не применялась ко всем, кто регистрируется и входит. Нажмите на списке Аутентифицированные пользователи (Authenticated Users), а затем на кнопку Удалить. Нажмите OK, когда Windows спросит, уверенны ли вы, что хотите применить эти изменения.
Теперь нажмите кнопку Добавить. Windows попросит вас выбрать пользователя, компьютер или группу, которую вы хотите использовать в качестве фильтра безопасности. Введите NAP Clients в поле и нажмите кнопку Проверка имен (Check Names). Если имя разрешено успешно, нажмите OK.
Теперь все необходимые параметры групповой политики имеются в наличии. В следующей части я покажу, как добавлять клиентские компьютеры в группу безопасности, созданную в этой статье. Затем я покажу, как осуществлять простое тестирование, чтобы убедиться, что параметры групповой политики, определенные нами, применяются должным образом. После этого мы перейдем к тестированию защиты сетевого доступа NAP, и убедимся, что она способна определять, включен ли брандмауэр Windows на клиентском ПК.
www.windowsnetworking.com
Tags: vpn, Windows Vista, Windows XP