9.2 实战:使用NAP控制DHCP客户端接入网络
NAP可以使用DHCP来强制健康策略,可以帮助抵御病毒,蠕虫和恶意软件的攻击。
DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件。
使用DHCP 强制,DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要求。
DHCP强制是最容易的强制,因为DHCP强制依赖IP路由表中的条目,所以是最薄弱的限制。
在NAP客户和DHCP服务器之间,NAP客户端使用DHCP message来获得一个合法的IP V4地址设置,并指示它的健康状态, NAP server使用DHCP message分配设置为限制网络的IPV4地址设置,并且指示修正服务器。
企业场景:
微软动手实战室发现经常有一些不满足公司安全策略(例如没有使用最新的病毒库)的计算机接入网络,从公司的DHCP服务器获得TCP/IP配置从而访问公司网络,这带来了巨大的风险。他们决定使用Windows Server 2008最新的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置,从而达到控制它们对公司内网访问的目标。
实战目标:
u 控制DHCP客户端的接入
u 没有启用Windows 防火墙的计算机从DHCP服务器获得IP地址后只能访问“受限网络”
u 启用Windows防火墙的计算机从DHCP服务器获得IP地址后能够访问“公司网络”和“受限网络”
网络拓扑:
图 9-2 实战场景
实战环境:
u DCServer服务器安装Windows Server 2008企业版,是ESS.COM域的成员,安装企业根证书颁发机构和DNS服务。
u DHCP-NPS计算机安装Windows Server 2008企业版,是域中的成员,安装DHCP服务器角色。
u “受限网络”的中有一台计算机,IP地址为172.16.0.100,在这里是DCServer的IP地址。
u “公司网络”中有台计算机,IP地址为172.16.0.200,在本实战为FileServer的IP地址。
u Vista计算机安装Vista企业版操作系统,配置为DHCP客户端
9.2.1在DHCPServer上安装和配置网络策略服务
任务:
u 安装网络策略服务
步骤:
1. 如图9-3所示,在DHCP-NPS上,以域管理员身份登录,打开服务器管理器,点击“添加角色”。
2. 如图9-4所示,在出现的开始之前向导对话框,点击“下一步”。
图 9-3 添加角色 图 9-4 向导
3. 如图9-5所示,在出现的选择服务器角色对话框,选中“网络策略和访问服务”,点击“下一步”。
4. 如图9-6所示,在出现的网络策略和访问服务器简介对话框,点击“下一步”。
图 9-5 选择角色 图 9-6 网络策略和访问服务简介
5. 如图9-7所示,在出现的选择角色服务对话框,选择“网络策略服务器”,点击“下一步”。
6. 如图9-8所示,在出现的确认安装选择对话框,点击“安装”。
图 9-7 选择角色服务 图 9-8 确认安装
7. 如图9-9所示,在出现的安装结果对话框,点击“关闭”。
图 9-9 安装结果
9.2.2 在DHCP-NPS上配置NAP策略
任务:
u 新建更新服务器组
u 配置系统健康验证服务器
u 使用向导创建NAP for DHCP
步骤:
1. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”,打开网络策略服务器管理工具。
2. 如图9-10所示,右击“更新服务器组”,点击“新建”。
3. 如图9-11所示,在出现的新建更新服务器组对话框,输入组名,点击“添加”。
图 9-10 新建更新服务器组 图 9-11 新建更新服务器组
4. 如图9-12所示,在出现的添加新服务器对话框,输入友好名称和服务器的DNS名称,点击“解析”。
5. 如图9-13所示,在新建更新服务器组对话框,点击“添加”。
图 9-12 添加更新服务器 图 9-13 添加更新服务器
6. 如图9-14所示,在出现的添加服务器对话框,输入友好名称和DNS名称,点击“解析”。
7. 如图9-15所示,在新建更新服务器组对话框,点击“确定”。
图 9-14 添加更新服务器 图 9-15 添加更新服务器
8. 如图9-16所示,点中“系统健康验证器”,右击“Windows 安全健康验证程序”,点击“属性”。
9. 如图9-17所示,在出现的Windows安全健康验证程序属性对话框,点击“配置”。
图 9-16 打开Windows 安全健康验证程序 图 9-17配置Windows 安全健康验证程序
10. 如图9-18所示,在出现的Windows 安全健康验证程序对话框,选中“已为所有网络连接启用防火墙”,点击“确定“。
11. 如图9-19所示,点中“NPS(本地)”,点击“配置NAP”。
图 9-18 配置Windows 安全健康验证程序 图 9-19 打开NAP配置向导
12. 如图9-20所示,在出现的选择与NAP一起使用的网络连接方法对话框,选择“主动主机配置协议(DHCP)”,输入策略名称“NAP DHCP”,点击“下一步”。
13. 如图9-21所示,在出现的指定NAP强制服务器运行DHCP服务器对话框,点击“下一步”。
图 9-20 选择连接方法和输入策略名称 图 9-21 NAP向导
14. 在出现的指定DHCP作用域对话框,点击“添加”.
15. 如图9-22所示,在出现的MS-Service类对话框,输入“LocalOffice”,点击“确定”。
16. 如图9-23所示,在出现的配置用户组和计算机组对话框,点击“下一步”。
图 9-22 指定DHCP作用域 图 9-23 NAP向导
17. 如图9-24所示,在出现的指定NAP更新服务器组和URL对话框,选择“UpdateServer1”,点击“下一步”。
18. 如图9-25所示,在出现的定义NAP健康策略对话框,去掉选择“启用客户端计算机自动更新”,选择“拒绝对不具有NAP功能的客户端计算机的完全网络访问权限。只允许访问受限的网络”。(不启用自动更新,能够在测试中看到受限访问的结果)
图 9-24 选择更新服务器组 图 9-25 定义NAP健康策略
19. 如图9-26所示,在出现的正在完成NAP增强策略和RADIUS客户端配置对话框,点击“完成”。
20. 如图9-27所示,点击“连接请求策略”,可以看到刚才创建的策略。
图 9-26 完成向导 图 9-27 查看连接请求策略
21. 如图9-28所示,点中“网络策略”,可以看到向导创建的网络策略。
22. 如图9-29所示,点击“健康策略”,可以看到向导自动创建的健康策略。
图 9-28 查看网络策略 图 9-29 查看健康策略
9.2.3 配置DHCP支持NAP
任务:
u 配置DHCP支持NAP
u 并为不符合策略的计算机分配特定的DNS域名
步骤:
1. 点击“开始”à“程序”à“管理工具”à“DHCP”,打开DHCP服务管理工具。
2. 如图9-30所示,右击IPv4下的作用域,点击“属性”。
3. 如图9-31所示,在出现的作用域属性对话框,在网络访问保护标签下,选择“对此作用域启用”,选择“使用自定义配置文件”,输入“LocalOffice”
图 9-30 配置DHCP支持NAP 图 9-31 指定配置文件名
4. 如图9-32所示,右击“作用域选项”,点击“配置选项”。
5. 如图9-33所示,在出现的作用域选项对话框,在高级标签下,用户类别选择“默认的网络访问保护级别”,选中“015 DNS域名”,字符串输入“restrict.ess.com”,点击“确定”。
图 9-32 配置作用域选项 图 9-33 为受限的计算机指定DNS域名
6. 如图9-34所示,点击“作用域选项”,在可以看到两个DNS域名。
图 9-34 配置的作用域选项
9.2.4在Vista技术计算机上测试NAP
任务:
u 关闭Vista计算机的Windows防火墙
u 启用并配置NAP客户端
u 测试NAP阻止计算机访问公司网络
步骤:
1. 在Vista上,以管理员的身份登录。
2. 如图9-35所示,点击“开始”à“设置”à“控制面板”à“Windows防火墙”,在出现的Windows防火墙对话框,点击“启用或关闭Windows防火墙”。
3. 如图9-36所示,在出现的Windows防火墙设置对话框,在常规标签下,选择“关闭”,点击“确定”,关闭Windows防火墙。这样就不符合安全策略了。
图 9-35 更改Windows防火墙 图 9-36 关闭Windows防火墙
4. 如图9-37所示,点击“开始”à“运行”,输入napclcfg.msc,点击“确定”,打开NAP客户端。
5. 如图9-38所示,点中“强制客户端”,右击“DHCP隔离强制客户端”,点击“启用”。
图 9-37 打开NAP客户端 图 9-38 启用DHCP隔离强制客户端
6. 如图9-39所示,点击“开始”à“运行”,输入services.msc,打开服务管理工具。
7. 如图9-40所示,右击“Network Access Protection Agent”,点击“属性”。
图 9-39 打开服务管理器 图 9-40 打开服务属性
8. 如图9-41所示,在出现的Network Access Protection Agent的属性对话框,启动类型选择“自动”,启动该服务。
9. 如图9-42所示,点击“开始”à“设置”à“网络连接”,双击“本地连接”,将IP地址和DNS设置成自动获得。
图 9-41 设置为自动启动 图 9-42 配置IP地址和DNS自动获得
10. 如图9-43所示,在命令提示符下输入ipconfig,可以看到获得的IP地址和DNS后缀为restrict.ess.com,点击开始菜单出现的图标,提示此计算机不符合该网络的要求,网络访问受限制。
11. 如图9-44所示,在命令提示符下输入route print 查看路由表。只有到受限网络的路由表,没有到公司网络的路由表,NAP就是通过设置客户端的路由表实现的访问控制。对于网络高手来说,很容易突破该限制。
图 9-43 验证NAP 图 9-44 查看路由表
12. 如图9-45所示,点击开始菜单出现的图标,在出现的网络访问保护对话框,可以看到修结果:管理员必须启用与Windows安全中心兼容的防火墙程序。
13. 如图9-46所示,打开网络和共享中心,可以看到提示“网络访问可能受限制”。
图 9-45 查看受限的详细信息 图 9-46 从网络和共享中心查看受限状态
14. 如图9-47所示,在命令提示符下,测试到UpdateServer的连通性,测试到公司网络的连通性。在受限访问情况下只能访问,更新服务器组定义的IP地址。
15. 如图9-48所示,启用防火墙。
图 9-47 测试到受限网络和公司网络连通性 图 9-48 启用Windows防火墙
16. 如图9-49所示,很快可以看到提示提示“此计算机符合该网络的要求,您具有完全的网络访问权限”。同时输入ipconfig /all可以看到符合安全后获得的DNS后缀。
17. 如图9-50所示,在命令提示符下测试到公司网络的连通性。发现能够和公司网络通信。
图 9-49 符合安全策略后的变化 图 9-50 测试到公司网络连通性
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131972,如需转载请自行联系原作者