Защита сетевого доступа, повторение (часть 9)

Published on Февраль 24, 2009 by   ·   Комментариев нет

Введение

В предыдущей части этого цикла статей я показал вам, как установить группу безопасности, которую можно использовать для выделения компьютеров, которые будут управляться с использованием NAP. Этой статьей я завершаю цикл, и покажу вам, как сделать клиентский компьютер членом только что созданной группы, а также мы проведем несколько тестов, которые позволят нам убедиться, что функция remote access quarantine enforcement работает. Кроме того, я покажу, как подключаться к вашей сети VPN с удаленным доступом.

Добавление компьютеров в группу

Наша очередная задача состоит в том, чтобы добавить несколько клиентских компьютеров в группу безопасности, созданную в предыдущей статье. Начнем процесс с открытия консоли Active Directory Users and Computers, затем выберем контейнер, содержащий имя нашего домена. Причина выбора именно этого контейнера состоит в том, что мы создавали группу безопасности на уровне домена, а не помещали ее в контейнер Users.

При выборе контейнера уровня домена вы должны увидеть группу NAP Clients, отображенную в панели детализации. Сделайте двойной щелчок мышью на этой группе, и Windows откроет окно свойств группы. Перейдите в окне на вкладку Members и щелкните на кнопку Add. Теперь введите имя клиентского компьютера. Затем щелкните на кнопку Locations и выберите контейнер Computers; щелкните OK. Когда Windows возвращает вас на экран Select Users, Contacts, Computers, or Groups, щелкните на кнопку Check Names для проверки, может ли Windows найти ваш клиентский компьютер. Теперь для завершения процесса надо два раза щелкнуть OK.

Проверка настроек политики группы

Теперь, когда клиентский компьютер добавлен в группу безопасности, пришла пора проверить, применяются ли на этом компьютере настройки политики группы, связанные с NAP. Перед этим, однако, нужно перезагрузить клиентскую машину, а затем войти в систему как стандартный пользователь.

После входа в систему откройте окно командной строки и введите следующую команду:


NETSH NAP CLIENT SHOW GROUPPOLICY

После этого вы должны увидеть набор данных, аналогичных показанным на Рисунке A.

3256

Рисунок A: Введите команду NETSH NAP CLIENT SHOW GROUPPOLICY в командной строке

Как вы видите на рисунке, есть несколько типов встроенных в Windows клиентов enforcement client. Это потому, что NAP может настраиваться несколькими различными способами. Поскольку мы используем NAP для контроля доступа к серверу VPN, единственным клиентов enforcement client, в котором мы заинтересованы, является Remote Access Quarantine Enforcement Client. Посмотрите под Remote Access Quarantine Enforcement Client и убедитесь, что Admin line установлена в Enabled, как на рисунке выше. Другие клиенты enforcement client должны быть отключены в данной конкретной конфигурации.

Для следующего теста введите команду:


NETSH NAP CLIENT SHOW STATE

Как вы видите на Рисунке B, в результате выводится довольно много данных. Перейдите к секции Remote Access Quarantine Enforcement Client. Проверьте, инициализирован ли клиент Remote Access Quarantine Enforcement Client.

3355

Рисунок B: Проверьте, инициализирован ли клиент Remote Access Quarantine Enforcement Client

Если оба этих теста успешно пройдены, это означает, что настройки политики группы, связанные с NAP, успешно применяются на клиенте. В этом случае просто закройте окно командной строки. В противном случае вам необходимо вернуться назад и еще раз проверить все настройки.

Создание VPN соединения

Последний шаг в процессе настройки состоит из подключения VPN соединения к серверу удаленного доступа. Сделать это очень просто. В Windows Vista откройте панель управления, сделайте двойной щелчок на иконке Network and Sharing Center. После этого щелкните на ссылке Setup a Connection or Network, расположенной на панели Tasks. Теперь вы должны увидеть экран, аналогичный показанному на Рисунке C, где вас спрашивают о типе соединения, который вы хотите создать.

3451

Hисунок C: Выберите опцию Connect to Workplace и щелкните Next

Выберите опцию Connect to a Workplace и щелкните Next. Если сетевые соединения уже существуют, Windows задаст вам вопрос, хотите ли вы создать новое соединения или использовать уже имеющееся. Выберите опцию создания нового соединения и щелкните Next..

На следующем экране вас спросят, хотите ли вы использовать ваше соединение с Интернетом, или вы хотите создать соединение с прямым набором номера. Выберите опцию Use My Internet Connection (VPN). Теперь вам предложат ввести адрес в Интернете и целевое имя. Введите либо IP-адрес сервера RRAS, либо URL в поле Internet Address, а затем введите описание соединения в поле Destination Name.  Вы должны также выбрать опцию Don’t Connect Now.

Щелкните Next, и вы перейдете на экран, где вам предложат возможность ввести ваши аутентификационные данные. Можете сохранять эти данные или не сохранять – это ваше дело. После этого щелкните на кнопку Create, и новое соединение будет создано. Щелкните Close, чтобы закрыть диалоговое окно.

Теперь, когда VPN соединение создано, нужно сделать некоторые настройки, касающиеся безопасности. Для этого щелкните правой кнопкой мыши на только что созданном соединении, и затем выберите команду Properties в появившемся меню.

Когда Windows откроет окно свойств соединения, перейдите на вкладку Security и выберите опцию Advanced. Затем щелкните на кнопку Settings.

Windows теперь отобразит диалоговое окно Advanced Security Settings, показанное на Рисунке E. Выберите опцию Require Encryption (Disconnect if Server Declines) из выпадающего списка Data Encryption. Теперь выберите опцию Use Extensible Authentication Protocol (EAP), и затем Protected EAP (PEAP) (Encryption Enabled) в секции Logon Security.

Теперь вы должны щелкнуть на кнопку Properties. При этом Windows отобразит диалоговое окно Protected EAP Properties. Убедитесь, что выбраны опции Validate Server Certificate и the Connect to these Servers. Вам также необходимо убедиться, что текстовое окно под опцией Connect to These Servers содержит список для соответствующего сервера.

Центральная секция диалогового окна содержит список различных центров сертификации. Для простоты всего лишь отметьте все центры сертификации. В нижней секции диалогового окна убедитесь, что опция Select Authentication Method выставлена в Secure Password (EAP-MSCHAP v2), а также выбрана опция Enable Quarantine Checks.

Далее вам нужно щелкнуть кнопку Configure и затем выбрать Automatically Use My Windows Logon Name and Password (and Domain if Any). Щелкните OK четыре раза для закрытия различных диалоговых окон.

Проверка NAP

Теперь мы, наконец, готовы осуществить проверку NAP. Как вы, возможно, помните, у вас есть возможность требовать любое число критериев состояния для клиентов, но для демонстрационных целей мы всего лишь потребуем, чтобы на клиентской машине был включен Windows Firewall. Для этого нужно открыть Windows Security Center на клиентской машине и выключить Windows Firewall. После этого я рекомендую оставить экран Windows Security Center (Рисунок D), чтобы вы могли сразу проверить статус брандмауэра Windows Firewall.

3552

Рисунок D: Убедитесь в том, что Windows Firewall выключен

Теперь откройте панель управления и сделайте двойной щелчок на иконке Network and Sharing Center. Когда следующий экран откроется, щелкните на ссылку Connect to a Network. Затем щелкните на VPN соединение, созданное вами ранее, и щелкните на кнопку Connect. Когда Windows зарегистрирует ваш компьютер в сети, Windows Firewall должен автоматически включиться .

Заключение

Как вы видите, настройка вашего сервера удаленного доступа для использования NAP – довольно утомительная процедура. Однако старания обычно окупаются, и надежность вашей сети заметно возрастает.

www.windowsnetworking.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]