Sunday, November 19th, 2017

Защита сетевого доступа, повторение (часть 8)

Published on Февраль 24, 2009 by   ·   Комментариев нет

В предыдущей части я показал, как запрашивать сертификат компьютера и как связывать этот сертификат с сервером VPN. В этой части я хочу обратить внимание на клиентов, которые будут подключаться к серверу VPN. Клиентские компьютеры должны работать под управлением Windows Vista или Windows XP с SP3 или более поздним пакетом обновления, и должны быть членами домена. Не менее важно, чтобы компьютеры были настроены на выполнение внедрения клиентского компонента. Мы включим этот компонент с помощью групповой политики. В этой части я покажу вам, как это делается.

Создание группы безопасности

Одним из щекотливых моментов создания групповой политики для NAP является то, что вы, вероятно, не захотите, чтобы она применялась ко всем компьютерам в сети. Например, сетевые серверы, скорее всего, не будут подключаться через VPN, поэтому их не нужно настраивать в качестве клиентов NAP. Поскольку нам нужно разделить компьютеры на те, которые будут работать в качестве клиентов Network Access Protection и те, которые не будут таковыми, мы начнем с процесса создания группы безопасности, к которой можно будет применить параметры политики.

Для создания необходимой группы безопасности откройте консоль пользователей и компьютеров Active Directory Users and Computers. Когда консоль открыта, нажмите правой клавишей на своем домене и выберите команду Новая | Группы из появившегося контекстного меню. После этого Windows откроет диалоговое окно Новый объект — Группы. Укажите NAP Clients в качестве имени группы. Убедитесь, что границы группы имеют значение Global, а тип группы имеет значение Security. Нажмите OK для создания группы.

Установка функции управления групповой политикой (Group Policy Management)

Далее нам нужно установить функцию управления групповой политикой, чтобы иметь возможность изменять различные параметры групповой политики. Для этого откройте диспетчер сервера (Server Manager) и перейдите в раздел Обзор функций (Features Summary). Нажмите на ссылке Добавить функции (Add Features), и у вас откроется окно, в котором будут перечислены установленные на данный момент функции. Если нужная функция еще не установлена, отметьте галочкой соответствующую опцию (Group Policy Management). Наконец, нажмите Далее, а затем Установить. Когда процесс установки завершен, нажмите Готово, чтобы закрыть мастера установки. Также можно закрыть диспетчера сервера.

Создание параметров групповой политики

Теперь, когда у нас есть нужная группа безопасности, и мы установили функцию управления групповой политикой, пришло время настроить необходимые параметры групповой политики. Начнем этот процесс с ввода команды GPME.MSC в панель Выполнить. После этого Windows отобразит диалоговое окно, в котором вы сможете выбрать существующие групповые политики для редактирования. Вместо того чтобы редактировать одну из существующих групповых политик, нам нужно создать новый объект групповой политики.

Это можно сделать путем нажатия кнопки Создание нового объекта групповой политики, которая расположена справа от списка ваших доменов. После нажатия на кнопку вам будет предложено указать имя нового объекта групповой политики, который вы создаете. В этом примере назовем объект NAP Client Settings.

Теперь, когда новый объект групповой политики создан, выберите его и нажмите OK. В результате Windows откроет редактора объектов групповой политики (Group Policy Management Editor). Вам нужно перейти в древе консоли к Компьютер (Computer) | Конфигурация (Configuration) | Политики (Policies) | Параметры Windows | Настройки безопасности (Security Settings) | Системные службы (System Services). Теперь дважды нажмите на списке агентов защиты сетевого доступа (Network Access Protection Agent), расположенном в панели подробностей.

Windows откроет диалоговое окно свойств агента защиты сетевого доступа. Выберите опцию Определить параметры этой политики, а затем выберите опцию Автоматический запуск. Нажмите OK, чтобы закрыть диалоговое окно.

Теперь перейдите в древе консоли к Конфигурации компьютера (Computer Configuration) | Политики (Policies) | Параметры Windows | Настройки безопасности | Network Access Protection | Конфигурация клиента NAP | Клиенты внедрения (Enforcement Clients). После этого в панели подробностей будет отображен список различных доступных клиентов внедрения. Правой клавишей нажмите на Remote Access Quarantine Enforcement Client, а затем выберите команду Включить из появившегося контекстного меню. Теперь вернитесь ко вкладке Конфигурация NAP клиента, нажмите на ней правой клавишей и выберите Применить.

Теперь вернитесь в древе консоли к Конфигурации компьютера | Политики | Административные шаблоны | Компоненты Windows | Центр безопасности. Дважды нажмите на вкладке Включить центр безопасности (Только для ПК домена), отображенной в панели подробностей. После этого Windows отобразит диалоговое окно свойств включения центра безопасности. Выберите опцию Включено и нажмите OK. Это сделает центр безопасности доступны с клиентских ПК. Это очень важно, так как мы собираемся тестировать NAP на предмет возможности определения того, включен ли брандмауэр Windows на клиентских машинах.

Для завершения процесса нажмите OK, а затем закройте редактор управления групповыми политиками. В некоторых случаях вы можете получить уведомление, спрашивающее, хотите ли вы применить изменения, которые вы внесли в объекте групповой политике. Если вы получите такое уведомление, то убедитесь, что приняли изменения.

Настройка фильтров безопасности

Следующее, что нам нужно сделать, это применить некоторые фильтры безопасности, которые не позволят применить параметры клиентов NAP к сетевым серверам. Для настройки фильтров введите GPMC.MSC в строку Выполнить. Windows откроет консоль управления групповыми политиками. Перейдите в древе консоли к Домен | ваш домен | Объекты групповой политики | Параметры NAP клиента.

Если вы посмотрите в панель подробностей, то найдете там раздел под названием Фильтрация безопасности (Security Filtering) в нижней части окна. По умолчанию политика применяется к аутентифицированным пользователям. Нам нужно изменить ее так, чтобы политика не применялась ко всем, кто регистрируется и входит. Нажмите на списке Аутентифицированные пользователи (Authenticated Users), а затем на кнопку Удалить. Нажмите OK, когда Windows спросит, уверенны ли вы, что хотите применить эти изменения.

Теперь нажмите кнопку Добавить. Windows попросит вас выбрать пользователя, компьютер или группу, которую вы хотите использовать в качестве фильтра безопасности. Введите NAP Clients в поле и нажмите кнопку Проверка имен (Check Names). Если имя разрешено успешно, нажмите OK.

Заключение

Теперь все необходимые параметры групповой политики имеются в наличии. В следующей части я покажу, как добавлять клиентские компьютеры в группу безопасности, созданную в этой статье. Затем я покажу, как осуществлять простое тестирование, чтобы убедиться, что параметры групповой политики, определенные нами, применяются должным образом. После этого мы перейдем к тестированию защиты сетевого доступа NAP, и убедимся, что она способна определять, включен ли брандмауэр Windows на клиентском ПК.

www.windowsnetworking.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]