实战：使用NAP控制DHCP客户端接入网络

9.2 实战：使用NAP控制DHCP客户端接入网络

NAP可以使用DHCP来强制健康策略，可以帮助抵御病毒，蠕虫和恶意软件的攻击。

DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件。

使用DHCP 强制，DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要求。

DHCP强制是最容易的强制，因为DHCP强制依赖IP路由表中的条目，所以是最薄弱的限制。

在NAP客户和DHCP服务器之间，NAP客户端使用DHCP message来获得一个合法的IP V4地址设置，并指示它的健康状态， NAP server使用DHCP message分配设置为限制网络的IPV4地址设置，并且指示修正服务器。

企业场景：

微软动手实战室发现经常有一些不满足公司安全策略（例如没有使用最新的病毒库）的计算机接入网络，从公司的DHCP服务器获得TCP/IP配置从而访问公司网络，这带来了巨大的风险。他们决定使用Windows Server 2008最新的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置，从而达到控制它们对公司内网访问的目标。

实战目标：

u 控制DHCP客户端的接入

u 没有启用Windows 防火墙的计算机从DHCP服务器获得IP地址后只能访问“受限网络”

u 启用Windows防火墙的计算机从DHCP服务器获得IP地址后能够访问“公司网络”和“受限网络”

网络拓扑：

图 9-2 实战场景

实战环境：

u DCServer服务器安装Windows Server 2008企业版，是ESS.COM域的成员，安装企业根证书颁发机构和DNS服务。

u DHCP-NPS计算机安装Windows Server 2008企业版，是域中的成员，安装DHCP服务器角色。

u “受限网络”的中有一台计算机，IP地址为172.16.0.100，在这里是DCServer的IP地址。

u “公司网络”中有台计算机，IP地址为172.16.0.200，在本实战为FileServer的IP地址。

u Vista计算机安装Vista企业版操作系统，配置为DHCP客户端

9.2.1在DHCPServer上安装和配置网络策略服务

任务：

u 安装网络策略服务

步骤：

1. 如图9-3所示，在DHCP-NPS上，以域管理员身份登录，打开服务器管理器，点击“添加角色”。

2. 如图9-4所示，在出现的开始之前向导对话框，点击“下一步”。

图 9-3 添加角色 图 9-4 向导

3. 如图9-5所示，在出现的选择服务器角色对话框，选中“网络策略和访问服务”，点击“下一步”。

4. 如图9-6所示，在出现的网络策略和访问服务器简介对话框，点击“下一步”。

图 9-5 选择角色 图 9-6 网络策略和访问服务简介

5. 如图9-7所示，在出现的选择角色服务对话框，选择“网络策略服务器”，点击“下一步”。

6. 如图9-8所示，在出现的确认安装选择对话框，点击“安装”。

图 9-7 选择角色服务 图 9-8 确认安装

7. 如图9-9所示，在出现的安装结果对话框，点击“关闭”。

图 9-9 安装结果

9.2.2 在DHCP-NPS上配置NAP策略

任务：

u 新建更新服务器组

u 配置系统健康验证服务器

u 使用向导创建NAP for DHCP

步骤：

1. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”，打开网络策略服务器管理工具。

2. 如图9-10所示，右击“更新服务器组”，点击“新建”。

3. 如图9-11所示，在出现的新建更新服务器组对话框，输入组名，点击“添加”。

图 9-10 新建更新服务器组 图 9-11 新建更新服务器组

4. 如图9-12所示，在出现的添加新服务器对话框，输入友好名称和服务器的DNS名称，点击“解析”。

5. 如图9-13所示，在新建更新服务器组对话框，点击“添加”。

图 9-12 添加更新服务器 图 9-13 添加更新服务器

6. 如图9-14所示，在出现的添加服务器对话框，输入友好名称和DNS名称，点击“解析”。

7. 如图9-15所示，在新建更新服务器组对话框，点击“确定”。

图 9-14 添加更新服务器 图 9-15 添加更新服务器

8. 如图9-16所示，点中“系统健康验证器”，右击“Windows 安全健康验证程序”，点击“属性”。

9. 如图9-17所示，在出现的Windows安全健康验证程序属性对话框，点击“配置”。

图 9-16 打开Windows 安全健康验证程序 图 9-17配置Windows 安全健康验证程序

10. 如图9-18所示，在出现的Windows 安全健康验证程序对话框，选中“已为所有网络连接启用防火墙”，点击“确定“。

11. 如图9-19所示，点中“NPS（本地）”，点击“配置NAP”。

图 9-18 配置Windows 安全健康验证程序 图 9-19 打开NAP配置向导

12. 如图9-20所示，在出现的选择与NAP一起使用的网络连接方法对话框，选择“主动主机配置协议（DHCP）”，输入策略名称“NAP DHCP”，点击“下一步”。

13. 如图9-21所示，在出现的指定NAP强制服务器运行DHCP服务器对话框，点击“下一步”。

图 9-20 选择连接方法和输入策略名称 图 9-21 NAP向导

14. 在出现的指定DHCP作用域对话框，点击“添加”.

15. 如图9-22所示，在出现的MS-Service类对话框，输入“LocalOffice”，点击“确定”。

16. 如图9-23所示，在出现的配置用户组和计算机组对话框，点击“下一步”。

图 9-22 指定DHCP作用域 图 9-23 NAP向导

17. 如图9-24所示，在出现的指定NAP更新服务器组和URL对话框，选择“UpdateServer1”，点击“下一步”。

18. 如图9-25所示，在出现的定义NAP健康策略对话框，去掉选择“启用客户端计算机自动更新”，选择“拒绝对不具有NAP功能的客户端计算机的完全网络访问权限。只允许访问受限的网络”。（不启用自动更新，能够在测试中看到受限访问的结果）

图 9-24 选择更新服务器组 图 9-25 定义NAP健康策略

19. 如图9-26所示，在出现的正在完成NAP增强策略和RADIUS客户端配置对话框，点击“完成”。

20. 如图9-27所示，点击“连接请求策略”，可以看到刚才创建的策略。

图 9-26 完成向导 图 9-27 查看连接请求策略

21. 如图9-28所示，点中“网络策略”，可以看到向导创建的网络策略。

22. 如图9-29所示，点击“健康策略”，可以看到向导自动创建的健康策略。

图 9-28 查看网络策略 图 9-29 查看健康策略

9.2.3 配置DHCP支持NAP

任务:

u 配置DHCP支持NAP

u 并为不符合策略的计算机分配特定的DNS域名

步骤：

1. 点击“开始”à“程序”à“管理工具”à“DHCP”，打开DHCP服务管理工具。

2. 如图9-30所示，右击IPv4下的作用域，点击“属性”。

3. 如图9-31所示，在出现的作用域属性对话框，在网络访问保护标签下，选择“对此作用域启用”，选择“使用自定义配置文件”，输入“LocalOffice”

图 9-30 配置DHCP支持NAP 图 9-31 指定配置文件名

4. 如图9-32所示，右击“作用域选项”，点击“配置选项”。

5. 如图9-33所示，在出现的作用域选项对话框，在高级标签下，用户类别选择“默认的网络访问保护级别”，选中“015 DNS域名”，字符串输入“restrict.ess.com”，点击“确定”。

图 9-32 配置作用域选项 图 9-33 为受限的计算机指定DNS域名

6. 如图9-34所示，点击“作用域选项”，在可以看到两个DNS域名。

图 9-34 配置的作用域选项

9.2.4在Vista技术计算机上测试NAP

任务：

u 关闭Vista计算机的Windows防火墙

u 启用并配置NAP客户端

u 测试NAP阻止计算机访问公司网络

步骤：

1. 在Vista上，以管理员的身份登录。

2. 如图9-35所示，点击“开始”à“设置”à“控制面板”à“Windows防火墙”，在出现的Windows防火墙对话框，点击“启用或关闭Windows防火墙”。

3. 如图9-36所示，在出现的Windows防火墙设置对话框，在常规标签下，选择“关闭”，点击“确定”，关闭Windows防火墙。这样就不符合安全策略了。

图 9-35 更改Windows防火墙 图 9-36 关闭Windows防火墙

4. 如图9-37所示，点击“开始”à“运行”，输入napclcfg.msc，点击“确定”，打开NAP客户端。

5. 如图9-38所示，点中“强制客户端”，右击“DHCP隔离强制客户端”，点击“启用”。

图 9-37 打开NAP客户端 图 9-38 启用DHCP隔离强制客户端

6. 如图9-39所示，点击“开始”à“运行”，输入services.msc，打开服务管理工具。

7. 如图9-40所示，右击“Network Access Protection Agent”，点击“属性”。

图 9-39 打开服务管理器 图 9-40 打开服务属性

8. 如图9-41所示，在出现的Network Access Protection Agent的属性对话框，启动类型选择“自动”，启动该服务。

9. 如图9-42所示，点击“开始”à“设置”à“网络连接”，双击“本地连接”，将IP地址和DNS设置成自动获得。

图 9-41 设置为自动启动 图 9-42 配置IP地址和DNS自动获得

10. 如图9-43所示，在命令提示符下输入ipconfig，可以看到获得的IP地址和DNS后缀为restrict.ess.com，点击开始菜单出现的图标，提示此计算机不符合该网络的要求，网络访问受限制。

11. 如图9-44所示，在命令提示符下输入route print 查看路由表。只有到受限网络的路由表，没有到公司网络的路由表，NAP就是通过设置客户端的路由表实现的访问控制。对于网络高手来说，很容易突破该限制。

图 9-43 验证NAP 图 9-44 查看路由表

12. 如图9-45所示，点击开始菜单出现的图标，在出现的网络访问保护对话框，可以看到修结果：管理员必须启用与Windows安全中心兼容的防火墙程序。

13. 如图9-46所示，打开网络和共享中心，可以看到提示“网络访问可能受限制”。

图 9-45 查看受限的详细信息 图 9-46 从网络和共享中心查看受限状态

14. 如图9-47所示，在命令提示符下，测试到UpdateServer的连通性，测试到公司网络的连通性。在受限访问情况下只能访问，更新服务器组定义的IP地址。

15. 如图9-48所示，启用防火墙。

图 9-47 测试到受限网络和公司网络连通性 图 9-48 启用Windows防火墙

16. 如图9-49所示，很快可以看到提示提示“此计算机符合该网络的要求，您具有完全的网络访问权限”。同时输入ipconfig /all可以看到符合安全后获得的DNS后缀。

17. 如图9-50所示，在命令提示符下测试到公司网络的连通性。发现能够和公司网络通信。

图 9-49 符合安全策略后的变化 图 9-50 测试到公司网络连通性

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1131972，如需转载请自行联系原作者