在上一篇中(點擊),我們對網絡訪問保護技術做了一個技術預覽,大致瞭解了網絡訪問保護這個策略平臺包含的組件及保護機制,接下來的幾篇我將重點描述一下其中一種強制保護機制:DHCP網絡保護訪問強制。
一、 網絡訪問保護強制過程簡述
策略驗證
系統健康代理(SHA)會監控NAP客戶端的健康狀態,並且交給系統健康驗證器(SHV)來進行分析。系統健康驗證器會根據客戶端健康狀態,使用不同的網絡策略將客戶端推送至相應的限制網絡中。網絡訪問保護使用SHA和SHV來監控,強制和修補客戶端的健康狀態。
通過包含在Windows Vista,Windows Server 2008,Windows Server 2008 R2和Windows 7裏的Windows安全健康代理(Windows Security Health Agent,包含在SHA中)及Windows 安全健康驗證器(Windows Security Health Validator,包含在SHV中)去強制NAP客戶端執行一些策略,例如開啓防火牆,開啓殺毒軟件,更新殺毒軟件等等。
網絡限制
在網絡訪問保護平臺中,不符合健康要求的客戶端會被推送到受限網絡中,直到符合了健康安全策略纔會被允許進入不受限網絡。其中有3個允許訪問的網絡類型:
允許全網絡訪問:這是一個默認設置。客戶端的連接請求如果通過了身份驗證和授權,就可以不受限制的進入到企業網絡中,並被記錄到日誌中。
允許受限網絡訪問:客戶端計算機未符合網絡訪問保護的健康狀態要求,會被送到與企業網隔離的受限網絡中,此網絡不可訪問企業網絡資源,但是可以訪問由網絡訪問保護平臺提供的補丁服務,殺毒軟件升級服務等健康狀態修復。直到客戶端符合了安全健康策略,纔會被允許進入企業網絡。
限時的全網絡訪問:客戶端與策略驗證匹配,網絡訪問保護強制被延遲執行,客戶端被暫時准許進行完全網絡訪問。
修補服務
不符合安全健康策略的客戶端將會被送到受限網絡中進行健康狀態修補。在受限網絡中,網絡訪問保護會提供一些資源來幫助客戶端進行健康狀態的修補,比如使用WSUS服務器來爲客戶端提供升級補丁,提供殺毒軟件升級程序給客戶端提供殺毒軟件升級服務等。
後續監控
當客戶端發起訪問網絡資源和他們的健康狀態發生改變的時候,網絡訪問保護依然處於監控狀態。本例中,當客戶端進行DHCP地址續約時,會同時發送一個健康狀態聲明,根據聲明決定客戶端該屬於哪種網絡訪問狀態。
二、 網絡訪問保護測試環境描述
1. 網絡拓撲
2. 配置描述
DC1:此次實驗選擇了Windows Server 2003作爲域控制器,主要考慮現在大多數企業中,仍已Windows 2003爲主要應用操作系統系統,雖然網絡訪問保護屬於Windows 2008帶來的新功能,但也支持此種系統架構。
NPS1:此爲網絡策略服務器(Network Policy Server),作爲網絡訪問保護的健康策略服務器和RADIUS服務器,可以選用Windows Server 2008 或者Windows Server 2008 R2。同時也安裝DHCP角色並配置爲強制DHCP網絡訪問保護。
WSUS1:此爲網絡訪問保護修補服務器,提供安全軟件共享服務,爲未通過健康狀態檢測的客戶端提供健康狀態修補。
Client1:網絡訪問保護測試客戶端,Windows 7操作系統,初始安裝狀態,無任何安全應用程序,爲了達到實驗效果,需要關閉系統防火牆。
注意:此實驗環境使用Windows Server2008 R2均爲企業版,使用Windows 7均爲旗艦版。
三、 服務器環境準備
1. DC1準備
創建一個名爲【NAP Client】的安全組,用於存放NAP客戶端,並方便施加NAP相關組策略。此實驗需要將Client1放入此用戶組。
2. NPS1準備
安裝DHCP角色
打開NPS1的服務器管理器,右擊【角色】,選擇【添加角色】,在【添加角色嚮導】中,選擇【DHCP服務器】。如圖1
圖1
跳過DHCP服務器簡介,在【選擇網絡連接綁定】中,默認選擇當前網絡連接即可。如圖2
圖2
IPv4 DNS設置,這裏只要NPS1本機的網卡地址信息設置正常,系統可以自動讀取出DNS地址信息,點擊【驗證】可驗證DNS地址的有效性。如圖3
圖3
IPv4 WINS設置默認即可,因爲在Windows Server 2008中,微軟在DNS中提供了新的區域類型:GlobalNames區域,來替代Windows 2003中的WINS,提供NETBIOS名稱解析功能。
在DHCP作用域中,添加我們需要的作用域,範圍從192.168.1.20到192.168.1.100即可。如圖4
圖4
在DHCPv6 無狀態模式中,選擇【對此服務器禁用DHCPv6 無狀態模式】。如圖5
圖5
在DHCP 服務器授權中,因爲我當前登錄用戶就是域管理員,所以這裏就使用此用戶。如果當前用戶權限不足,比如普通域用戶,在備用憑據中指定具有域管理員權限的用戶即可。如圖6
圖6
之後,可以看到安裝彙總信息,確認無誤後,點擊安裝。
安裝完成後,展開DHCP控制檯,可以看到當前NPS1服務的DHCP已經啓用,並且已被授權。如圖7
圖7
3. Client1準備
此實驗中,Client1只要加入到Contoso域中即可。但爲了達到保護效果,我們手動關閉Client1的防火牆。依次打開【控制面板-系統和安全-Windows 防火牆-自定義設置】,關閉3種網絡位置的防火牆即可。如圖8
圖8
到目前爲止,我們已經爲DHCP NAP需要的環境搭建好了域控制器,NPS服務器還有客戶端。下一篇,我將講解DHCP NAP的策略部署及測試,來體驗一把真正的網絡訪問保護。