Меню

Nap win 2008 настройка



Терминология Windows Server 2008 R2 NAP

Для понимания концепций NAP в Windows Server 2008 R2 важно разобраться в описан­ных ниже терминах.

  • Клиент внедрения (Enforcement Client — ЕС). Клиент, присугствующий в инфра­структуре NAP. Windows 7, Windows Vista и Windows XP SP3 поддерживают NAP и мо­гут иметь топологию ЕС в NAP, т.к. во всех этих системах имеется компонент System Health Agent (Агент работоспособности системы).
  • Сервер внедрения (Enforcement Server — ES). Веб-сервер в составе инфраструкту­ры NAP, обеспечивающий выполнение политик. В Windows Server 2008 R2 это роль сервера сетевых политик (Network Policy Server — NPS).
  • Агент работоспособности системы (System Health Agent — SHA). Непосредственно агент, отсылающий информацию о работоспособности ES-серверам NAP. В Windows 7, Windows Vista и Windows XP SP3 это верификатор работоспособности системы (System Health Validator — SHA) Windows — служба, выполняющаяся на каждом кли­енте и следящая за локальным центром безопасности Windows (Windows Security Center) на компьютерах.
  • Верификатор работоспособности системы (System Health Validator — SHV). Это компонент NAP, работающий на стороне сервера, который выполняет обработку информации, получаемой от агентов SHA, и внедрение политик. SHV из Windows Server 2008 R2 допускает полную интеграцию с продуктами NAP других поставщиков, поскольку основан на открытых стандартах.
  • Сервер исправления (Remediation Server). Сервер, который становится доступным клиентам, не прошедшим тесты политики NAP. Эти серверы обычно выполняют службы, с помощью которых клиенты могут быть приведены в соответствие с поли­тиками: серверы WSUS, DNS-серверы и серверы центра управления конфигурацией системы (System Center Configuration Manager).

Источник

Установка сервера IPsec Server и изоляции домена с помощью групповой политики Windows Server 2008 (часть 3)

Посетителей: 2596 | Просмотров: 4340 (сегодня 0) Шрифт:

Во второй части этой серии статей о настройке внедрения политики NAP IPsec мы рассмотрели сервер сетевой политики (Network Policy Server). В той части мы выполнили следующие процедуры:

  • Добавление сервера сетевой политики в группу NAP Exempt
  • Перезагрузка сервера NPS
  • Запрос сертификата компьютера для сервера NPS
  • Просмотр сертификата здоровья и компьютера, установленного на сервер NPS
  • Установка сервера NPS, подчиненного центра сертификации и центра регистрации здоровья
  • Настройка подчиненного ЦС и сервера NPS
  • Включение разрешений для центра регистрации здоровья на запрос, издание и управление сертификатами
  • Настройка центра регистрации здоровья на использование подчиненного ЦС для издания сертификатов здоровья

В этой части мы продолжим работать с сервером NPS. Во-первых, мы настроим политику NAP IPsec Enforcement на сервере NPS. После того как мы закончим создание политики, мы перейдем к работе с клиентскими системами и настроим их для тестирования.

Настройка политики NAP IPsec Enforcement на сервере NPS

В этом разделе о настройке политики внедрения NAP IPsec на сервере сетевой политики мы будем делать следующее:

  • Настройка NAP с помощью мастера NPS NAP
  • Настройка валидатора здоровья системы (Windows Security Health Validator)
  • Настройка параметров NAP клиента в групповой политике
  • Сужение границ групповой политики NAP клиента с помощью фильтрации групп безопасности
Читайте также:  Влияет ли настройка антенны

Настройка NAP с помощью мастера

Мастер настройки NAP поможет установить NPS в качестве сервера политики здоровья NAP. Мастер предоставляет наиболее распространенные параметры для каждого метода внедрения NAP и автоматически создает пользовательские NAP политики для использования в сети. Мастера настройки NAP можно открыть из консоли сервера NPS.

  1. В панели подробностей под вкладкой Стандартная конфигурация выберите Настроить NAP. Мастер настройки NAP будет запущен. На странице Выбор способа сетевого подключения для использования с NAP во вкладке Способ сетевого подключения выберите опцию IPsec с системой регистрации здоровья (Health Registration Authority (HRA)), а затем нажмите Далее.

  1. На странице Настройка групп пользователей и машин нажмите Далее. В этой тестовой среде нам не нужно настраивать группы.

  1. На странице Завершение настройки политики NAP Enforcement Policy и клиентов RADIUS нажмите Закончить.

Настройка валидатора Windows Security Health Validator

По умолчанию Windows SHV настроен на требование включенного брандмауэра, антивирусной защиты, защиты от шпионского ПО и автоматического обновления. В этой тестовой среде мы начнем с требования включенного состояния брандмауэра Windows. А чуть позже мы посмотрим, как с помощью политик можно сделать машины здоровыми и нездоровыми.

Выполняем следующие шаги на WIN2008SRV1:

  1. Уберите галочки со всех опций за исключением опции Брандмауэр включен для всех сетевых подключений.

Настройка параметров NAP клиента в групповой политике

Следующие параметры клиента NAP будут настроены в новом объекте групповой политики (GPO) с помощью консоли управления Group Policy Management на WIN2008DC:

После того, как эти параметры настроены в GPO, добавляются фильтры безопасности для внедрения этих параметров на указанных вами машинах. В следующем разделе подробно описаны данные шаги.

Выполните следующие шаги на WIN2008DC, чтобы создать GPO и параметры групповой политики для GPO клиентов NAP:

  1. В окне Название группы введите HRA Servers, а затем нажмите Далее.

Сужение границ объекта групповой политики NAP клиента с помощью фильтрации групп безопасности

Далее нужно настроить фильтрацию групп безопасности для параметров объекта групповой политики NAP клиента. Это не позволит применить параметры NAP клиентов к серверам в домене.

Обратите внимание, что сейчас в группе безопасности NAP клиентов отсутствуют члены. VISATASP1 и VISTASP1-2 будут добавлены в эту группу после того, как каждая из машин будет присоединена к домену.

Настройка VISTASP1 и VISTASP1-2 для тестирования

Теперь мы готовы к настройке клиентских компонентов системы. В этом разделе мы выполним следующее:

  • Присоединим VISTASP1 к домену
  • Добавим VISTASP1 в группу NAP клиентов
  • Подтвердим параметры групповой политики NAP на VISTASP1
  • Экспортируем сертификат Enterprise Root CA с VISTASP1
  • Импортируем сертификат корневого ЦС на VISTASP1-2
  • Вручную настроим параметры NAP клиента на VISTASP1-2
  • Запустим агента NAP на VISTASP1-2
  • Настроим брандмауэр с расширенной безопасностью на разрешение доступа машинам VISTASP1 и VISTASP1-2 для выполнения эхо запросов друг на друге
Читайте также:  Настройка рекламной компании в директе

Присоединение VISTASP1 к домену

Во время настройки VISTASP1 используйте следующие инструкции. Когда настраиваете VISTASP1-2, выполняйте проверку процедуры регистрации сертификата здоровья до того, как присоединить VISTASP1-2 к msfirewall.org домену. VISTASP1-2 не присоединена к домену для проверки процедуры регистрации сертификата здоровья в целях демонстрации того, что различные сертификаты здоровья предоставляются компьютерам в средах доменов и рабочих групп.

Итак, сначала мы посмотрим, как машины, присоединенные к домену, получают сертификаты, когда присоединим VISTASP1 к домену, а затем вручную настроим VISTASP1-2 в качестве NAP клиента и посмотрим, как машины, не принадлежащие домену, получают сертификат здоровья и доступ к сети.

Выполняем следующие шаги на VISTASP1, чтобы присоединить машину к домену:

Источник

Интеграция DHCP и NAP в Windows Server

Платформа NAP (Network Access Protection) призвана защитить сеть от клиентов, не имеющих достаточных собственных средств защиты. Простейший способ включить NAP на DHCP – настроить DHCP-сервер как сервер политики сети (Network Policy Server, NPS). Для этого нужно установить консоль Сервер политики сети (Network Policy Server), настроить политику объединения DHCP и NAP и включить NAP на DHCP. При этом на сетевых компьютерах осуществляется включение платформы NAP, но не ее настройка.

Чтобы создать политику интеграции NAP и DHCP, выполните следующие действия:

1. На сервере, который будет выполнять роль сервера политики сети запустите Мастер добавления компонентов (Add Features Wizard), чтобы установить консоль Сервер политики сети (Network Policy Server).

2. В дереве консоли Сервер политики сети (Network Policy Server) выделите узел NPS (Локально) (NPS (Local)) и щелкните ссылку Настройка NAP (Configure NAP) на главной панели. Запустится мастер Настройка NAP (Configure NAP Wizard).

3. В списке Способ сетевого подключения (Network Connection Method) выберите вариант Протокол DHCP (Dynamic Host Configuration Protocol (DHCP)). Этот способ подключения будет использован для NAP-совместимых клиентов. Заданное по умолчанию имя политики – NAP DHCP. Щелкните Далее (Next).

4. На странице Укажите серверы принудительной защиты доступа к сети под управлением DHCP-сервера (Specify NAP Enforcement Servers Running DHCP Server) укажите все удаленные DHCP-серверы вашей сети:

Щелкните Добавить (Add). В диалоговом окне Новый RADIUS-клиент (Add New RADIUS Client) введите понятное имя удаленного сервера в поле Понятное имя (Friendly Name). В поле Адрес (Address) введите DNS-имя или IP-адрес удаленного сервера DHCP. Для проверки адреса щелкните Проверить (Verify).

В разделе Общий секрет (Shared Secret) установите переключатель Создать (Generate). Затем щелкните кнопку Создать (Generate), чтобы создать длинный пароль с общим секретом. Вам нужно будет ввести эту фразу в политику NAP DHCP на всех удаленных DHCP-серверах. Поэтому обязательно запишите ее или сохраните в файле, в безопасном расположении. Щелкните ОК.

5. Щелкните Далее (Next). На странице Укажите DHCP-области (Specify DHCP Scopes) вы можете задать области DHCP, к которым будет применена политика. Если области не указаны, политика применяется ко всем областям на выбранных DHCP-серверах, в которых включена NAP. Два раза щелкните Далее (Next).

6. На странице Задайте группу сервера исправлений NAP и URL-адрес (Specify A NAP Remediation Server Group And URL) выберите группу серверов обновлений или щелкните Создать группу (New Group), чтобы задать группу серверов исправлений. На этих серверах хранятся обновления ПО для NAP-клиентов. В текстовое поле введите URL веб-страницы с инструкцией, как привести компьютер в соответствие с политикой NAP. Убедитесь, что клиенты DHCP могут открыть эту страницу. Щелкните Далее (Next).

7. На странице Определите политику работоспособности NAP (Define NAP Health Policy) задайте, как будет работать политика работоспособности NAP. В большинстве случаев можно оставить стандартные параметры, которые запрещают вход в сеть клиентам, не совместимым с NAP. Для NAP-совместимых клиентов проводится проверка работоспособности и автоматическое исправление. Это позволяет им получить необходимые обновления ПО. Щелкните Далее (Next) и Готово (Finish).

Вы можете настроить параметры NAP для всего DHCP-сервера или для отдельных областей. Чтобы просмотреть или изменить глобальные параметры NAP, выполните следующие действия:

Читайте также:  Настройка opera chrome прокси

1. В консоли DHCP разверните узел нужного сервера. Щелкните правой кнопкой узел IPv4 и выберите Свойства (Properties).

2. На вкладке Защита доступа к сети (Network Access Protection), щелкните кнопку Включить во всех областях (Enable On All Scopes) или Отключить во всех областях (Disable On All Scopes), чтобы включить или отключить NAP для всех областей сервера.

Выберите один из следующих переключателей, чтобы указать, как должен действовать DHCP-сервер, если NPS-сервер недоступен. Затем щелкните ОК.

• Полный доступ (Full Access) Предоставляет DHCP-клиентам полный доступ к сети. Клиентам позволено выполнять любые разрешенные действия.

• Ограниченный доступ (Restricted Access) Предоставляет DHCP-клиентам ограниченный доступ к сети. Клиенты могут работать только с тем сервером, к которому они подключены.

• Отбросить клиентский пакет (Drop Client Packet) Блокирует запросы клиентов и запрещает выход клиентов в сеть. У клиентов нет доступа к ресурсам сети.

Чтобы просмотреть и изменить параметры NAP для отдельных областей, выполниет следующие действия:

1. В консоли DHCP разверните узел нужного сервера. Затем разверните узел IPv4.

2. Щелкните правой кнопкой нужную область и выберите Свойства (Properties).

3. На вкладке Защита доступа к сети (Network Access Protection) установите переключатель Включить для этой области (Enable For This Scope) или Отключить для этой области (Disable For This Scope), чтобы включить или отключить NAP для данной области.

4. Если вы включили NAP и хотите использовать профиль NAP отличный от стандартного, установите переключатель Использовать особый профиль (Use Custom Profile) и введите имя профиля, например, Alternate NAP DHCP.

5. Щелкните OK, чтобы сохранить параметры.

Источник

Adblock
detector