部署NAP For DHCP 限制非法客户端
人气:0我们发现经常有一些不满足公司安全策略的计算机接入公司网络,从公司的DHCP服务器获得TCP/IP配置从而访问公司网络,这会带来了巨大的风险。其实我们可以使用Windows Server 2008的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置,从而达到控制它们对公司内网访问的目的。下面笔者部署环境就“NAP for DHCP”的部署和测试进行一个演示,希望对大家有帮助。
环境描述:
Ctocio:Windows Server 2008的DHCP服务器、NAP服务器
Test:Windows Vista的客户端
1、NAP服务器端配置
(1).配置健康策略服务器
以管理员administrator身份登录Ctocio,依次点击“开始”→“管理工具”,打开“网络策略服务器”窗口。依次展开“NPS(本地)”→“网络访问保护”→“系统健康验证器”,在内容面板双击“Windows安全健康验证程序”,在“Windows安全健康验证程序 属性”对话框,点击“配置”只勾选“防火墙”下的“已为所有网络连接启用防火墙”,取消所有其它选择(注意不需要取消对”Windows Update“的选择),点击“确定“关闭“Windows安全健康验证程序 属性”对话框。(图1)
图1 Windows安全健康验证程序
需要注意的是,“Windows安全健康验证程序“这一SHV是由微软提供的,主要用于监控客户端计算机安全中心的状态。当然如果你还想监控第三方厂家产品的安全配置,还需要安装由其他厂家开发的SHV的。
(2).配置更新服务器组
在“网络策略服务器”窗口的右窗格的“网络访问保护”下,右击“更新服务器组”,点击“新建”弹出对话框,在“组名“中输入“Windows设置更新服务器组1”,然后点击“添加”,在“IP地址或DNS名称”下输入192.168.1.1,然后点击”确定“两次。说明一下,此组中所包含的服务器实际上应放在受限网络中用于对客户端进行修补的服务器,例如WSUS服务器,病毒库升级服务器等。(图2)
图2 新建WSUS服务器
(3).配置健康策略
在“网络策略服务器”窗口中点击“策略”项选择“健康策略”,右击选择“新建”,在“新建健康策略属性”对话框中,“策略名称”输入“健康”,在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”,点击“确定”。接下来,继续点击“策略”,选择“健康策略”,右击选择“新建”在“新建健康策略属性”对话框中,“策略名称”输入“不健康”,在“客户端SHV检查”选择“客户端未能通过一个或多个SHV检查”,在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”,点击“确定”即可。(图3)
图3 Windows安全健康验证程序
(4).配置网络策略
在“网络策略服务器”窗口中点击“策略”,选择“网络策略”,禁用三条默认的策略(选中策略名称,右击选择“禁用”)。右击“网络策略”,选择“新建”,在 “新建网络策略向导”的“指定网络策略名称和连接类型”页面,在“策略名称”中输入“健康网络策略完全访问”,在“网络访问服务器类型”选择“DHCP Server”。点击“下一步”,在“指定条件”页面,点击“添加”。在“选择条件”对话框,选择“健康策略”。在“健康策略”对话框选择“健康”,然后点击“确定”,再点击“下一步”。在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。在“配置身份验证方法”页面,勾选“仅执行计算机健康检查”,取消所有其它选择,点击“下一步”。在“连接请求策略”对话框,点击“否”。
在“配置约束”页面,点击“下一步”。在“配置设置”页面,“网络访问保护”“NAP强制”,选择“允许完全网络访问”,点击“下一步”。最后点击“完成”关闭“新建网络向导”。(图4)
图4 健康策略
通过上面的设置,我们已经创建应用于健康客户端的网络策略,下面将创建用于不健康客户端的网络策略。在“网络策略服务器”窗口中点击“策略”,选择“网络策略”,右击选择“新建”。在 “新建网络策略向导”,“指定网络策略名称和连接类型”页面,在“策略名称”中输入“不健康网络策略-受限访问”,在“网络访问服务器类型”选择“DHCP Server”,点击“下一步”。在“指定条件”页面,点击“添加”。在“选择条件”对话框,选择“健康策略”。在“健康策略”对话框选择“不健康”,然后点击“确定”,再点击“下一步”。
在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。(说明一下,如果希望直接拒绝客户端从公司的DHCP服务器获得TCP/IP配置,可以选择“拒绝访问”,因为本例中将设置受限访问,所以依然选择了“已授予访问权限”。)(图5)
图5 新建网络策略
我们继续配置,在“配置身份验证方法”页面,取消所有选择,勾选“仅执行计算机健康检查”,取消所有其它选择,点击“下一步”。在“连接请求策略”对话框,点击“否”。在“配置约束”页面,点击“下一步”。在“配置设置”页面,“网络访问保护”,“NAP强制”,选择“允许受限访问”,点击“配置”。在“更新服务器和疑难解答URL”对话框,“更新服务器组”下选择“Windows设置更新服务器组1”,然后点击“确定”。在“自动更新”下,确定未选择“启用客户端计算机的自动更新功能”,然后点击“下一步”。最后,点击“完成”关闭“新建网络策略向导”。做了以上设置后,一旦客户端不满足健康策略,将被放置在受限网络,也就是客户端只能访问到更新服务器组中的服务器(不能访问企业内网的其它服务器),然后进行自动修补的操作。本文中为了测试实验的结果,所以将“启用客户端计算机的自动更新功能“取消了,所以修补的操作将手动完成。(图6)
图6 设置更新服务器
(5).配置DHCP服务器应用网络访问保护
依次点击“开始”→“管理工具”,打开“DHCP”设置窗口。展开“IPv4”,选择“作用域[192.168.1.0] jp.com”,右击选择“属性”。在“作用域[192.168.1.0] jp.com 属性”对话框“网络访问保护”选项卡下,选择“对此作用域启用”,勾选“使用默认网络访问保护配置文件”,点击”确定“。展开“作用域[192.168.1.0] jp.com”,选择“作用域选项”,右击选择“配置选项”。点击“高级”选项卡,在“用户类别”下选择“Default Network Access Protaction Class”(默认的网络访问保护类别)。选择“006 DNS 服务器”,输入“192.168.1.1”,点击”添加“,选择“015 DNS域名”,输入域名,本例为“test.jp.com”,最后点击”确定“。(说明一下,test.jp.com域是不健康的客户端所在的受限访问网络。)(图7)
图7 作用域
2、DHCP客户端配置
首先以管理员身份administrator身份登录Test客户端,在进行配置之前,先在“命令提示符”下使用“ping Ctocio”命令测试网络连接性。接下来将客户端设置为“自动获得IP地址”和“自动获得DNS服务器地址”。(图8)
图8 DHCP客户端配置
3、强制NAP客户端
在Ctocio服务器上,依次点击”开始“→”运行“,输入”napclcfg.msc”。然后展开“NAP客户端设置(本地计算机)”→“强制客户端”,在内容面板选择“DHCP隔离强制客户端”,在“操作”面板,点击“启用”。接下来,依次点击“开始”→“管理工具”,打开“服务”。在内容面板,双击“Network Access Protection Agent”,将“启动类型”更改为“自动”,然后“启动”该服务,最后“确定”退出。(图9)
图9 强制DHCP客户端设置
3、NAP控制DHCP验证
通过上面对NAP服务器端和客户端的设置,我们就部署好了NAP对DHCP客户端的接入控制,下面我们进行测试验证。
首先我们关闭客户端的系统防火墙进行测试,依次点击“开始”→“控制面板”,打开“Windows防火墙”,选择“更改设置”。在“Windows防火墙 设置”对话框,点击“关闭”,然后点击“确定”即可。接下来运行“命令提示符”工具,执行命令“ipconfig /release”释放当前IP配置,再输入“ipconfig /renew”重新获得IP配置 ,然后输入“ipconfig /all”查看当前IP配置。可以看到客户端能获得IP地址,但是获得的域名后缀是“test.jp.com”,系统隔离状态为“受限制”。同时还可以看到在屏幕右下角有一个提示,提示为“此计算机不符合该网络的要求,网络访问权限将受限制”。(图10)
图10 管理命令行
接下来我们开启系统防火墙,然后分别在“命令提示符”下依次执行命令“ipconfig /release”、“ipconfig /renew”、“ipconfig /all”,可以看到客户端能获得IP地址,域名后缀为“jp.com”,系统隔离状态为“未限制”。同时在屏幕右下角看到一个提示,提示为“此计算机满足该网络要求,您具有完全的网络访问权限”。(图11)
图11 完全访问权限
总结:上面的演示主要为大家提供一个思路,可使用NAP控制DHCP客户端接入网络,在实战中大家可根据需要灵活应用。另外,NAP for DHCP只是NAP的一个应用场景,其实它还适于诸如VPN、TS Gateway、IPSEC,802.1X交换机等很多场景。
加载全部内容