上一篇中(點擊),我們爲DHCP 網絡訪問保護平臺準備好了包括域環境,策略服務器,還有客戶端環境,但是,僅僅有健康狀態檢測和強制隔離,是無法保證內部網絡安全的,被隔離的客戶端如果無法自己修復健康狀態,就只能一直待在隔離網絡,影響正常使用。比如客戶端沒有安裝殺毒軟件,沒有開啓系統防火牆。此時的網絡訪問保護平臺只發揮了一半的作用,而另一半作用則是修復健康狀態有問題的客戶端計算機,例如提供反病毒軟件的下載、反間諜軟件的下載、強制開啓客戶端計算機的防火牆、自動更新等等。經過這樣一番檢查、策略控制、修復之後,符合健康狀態要求的客戶端纔可以獲得進入企業內網的權限,進行正常的網絡訪問。
一、 網絡策略服務器(Network Policy Server)配置
1. 安裝組策略管理功能
在網絡策略服務器中安裝組策略管理功能主要爲了方便的進行組策略管理。
打開NPS1中的服務器管理器,右擊【功能】,選擇【組策略管理】,點擊下一步安裝即可。如圖1
圖1
2. 安裝NPS角色
在NPS1中打開服務器管理器,右擊【角色】,選擇【網絡策略和訪問服務】。如圖2
圖2
在角色服務選擇中,選擇【網絡策略服務器】。如圖3
圖3
確認安裝角色後,點擊【安裝】即可。
3. 配置NPS1作爲健康策略服務器
首先先解釋幾個概念:
系統健康驗證器:系統健康驗證器(System Health validator)主要根據配置好的健康策略要求檢測需要連接到內部網絡的客戶端的健康狀態併發送一個結果給網絡策略服務器。
健康策略:基於SHV的檢查,健康策略指定了客戶端進行無限制訪問內部網絡所需要的條件。
網絡策略:網絡策略使用條件、設置和約束來決定可以訪問網絡的客戶端。網絡策略爲順從的客戶端計算機和不順從的客戶端計算機各準備了一條策略。比如符合健康狀態的計算機可以不受限訪問網絡,而不符合健康狀態的計算機則只能訪問受限網絡,除非該計算機進行修補後符合了健康狀態的檢測,纔會被放行進入不受限網絡。
打開網絡策略服務器控制檯,點擊【NPS(本地)】,在右側的標準配置中,選擇【網絡訪問保護(NAP)】,點擊【配置NAP】。如圖4
圖4
在配置NAP嚮導中,網絡連接方法選擇【動態主機配置協議(DHCP)】,策略名稱默認即可。如圖5
圖5
如果DHCP服務器沒有安裝在網絡策略服務器中,則需要將遠程DHCP服務器配置爲RADIUS客戶端。本實驗環境DHCP服務安裝在NPS中,所以無需配置,點擊下一步即可。如圖6
圖6
如果不指定DHCP作用域,則NAP將應用於選定DHCP服務器中的所有作用域範圍。本實驗環境無需配置,點擊下一步即可。如圖7
圖7
計算機組無需配置,留空則表示將該策略應用與所有用戶。
更新服務器組默認爲空,我們將WSUS1放入改組作爲修補服務器。點擊新建組,組名【WSUS】,更新服務器處點擊【添加】,將WSUS1的服務器IP地址添加進去。如果沒有幫助網頁,URL疑難解答地址可爲空。如圖8
圖8
在定義NAP健康策略頁,默認即可。如圖9
圖9
經過嚮導的指引配置,系統自動創建了健康策略及網絡策略,如圖9-1.9-2
圖9-1
圖9-2
4. 配置系統健康驗證器
健康驗證器定義了客戶端計算機訪問內部網絡需要的條件。打開網絡策略服務控制檯,展開【網絡訪問保護-系統健康驗證程序-Windows安全健康程序-設置】,右擊【默認配置】,選擇【屬性】。此實驗我們啓用2個條件,分別是【已爲所有網絡連接啓用防火牆】和【已啓用自動更新】。如圖10
圖10
5. 配置NPS1中的DHCP
打開DHCP服務器控制檯,展開【nps1.contoso.com-IPv4】,右擊作用域【192.168.1.0】,選擇屬性,在【網絡訪問保護】選項卡中,選中【對此作用域啓用】。如圖11
圖11
6. 在組策略中編輯NAP客戶端策略
在管理工具中,打開組策略管理工具,展開林,域,在【contoso.com】右擊選擇【在這個域中創建GPO並在此鏈接】,取名【NAP Client settings】。如圖12
圖12
編輯【NAP Client settings】,依次展開【計算機配置-Windows配置-安全設置-網絡訪問保護-NAP客戶端配置-強制客戶端】,雙擊【DHCP隔離強制客戶端】,勾選【啓用此強制客戶端】。如圖13
圖13
在展開【系統服務】,雙擊【Network Access Protection Agent】,選擇【定義此策略設置-自動】。如圖13-1
圖13-1
回到組策略管理控制檯,點擊【NAP Client settings】,在右側的安全篩選中,刪除默認的authenticated users,添加【NAP Client】組。如圖14
圖14
二、 客戶端訪問評估
1. 我們使用Client1來進行測試,強制刷新組策略,獲取新的NAP策略設置。
2. 依次打開Client 1的【控制面板】-【系統和安全】-【操作中心】,這裏看到該計算機的安全保護設置。展開【安全】選項,拉到底部,可以發現Client 1的網絡訪問保護功能已經啓用,如圖15
圖15
3. 此時打開防火牆設置,會在頂部多出這樣一行字【出於安全原因,某些設置由系統管理員管理】。如圖16。並且此時是無法手工關閉防火牆的,因爲此時系統的某些安全設置已經被NAP服務代理管理,即使選中關閉防火牆後,系統在檢測到安全策略設置中的選項被更改,會強行再次按照安全策略的內容啓動防火牆。由於此實驗安全策略選項我設置了防火牆和自動更新,所以這兩項設置都無法改變。
圖16
4. 我們可以利用NETSH命令檢查一下當前Client1是否被修復成功,在命令提示符中輸入:【netsh nap client show state】就可得到如圖17中的信息,圖中顯示健康代理已經正常啓用,並修復了客戶端計算機,允許其進入不受限網絡。
圖17
通過上述操作,小趙完成了對Contoso公司內網接入的安全加固,在一定程度上解決了外部計算機接入企業網絡會造成的破壞。但是網絡訪問保護技術不僅僅是這樣,它可以結合SCCM進行軟件更新評估,也可以通過IPSec強制對使用Direct Access技術的遠程計算機通信進行加密保護,同時還可以與思科的網絡訪問控制技術結合,提供全方位的保護。怎麼樣,聽了這些,你是否心動了呢?