所有交易的 geek 使用 DHCP 强制控制网络访问

Greg Shields

内容

一个 NAP 的目标

所有时间，都获取更智能化这些 darn 的用户。 他们已经想到了如何关闭其防火墙总在 nastiest 的咖啡厅网络。 它们保留其便携式计算机离开办公室您每月的修补程序周期中因为他们认为您的修补程序导致其最后一个蓝色屏幕。 他们甚至禁用防病毒和防间谍软件实用程序在性能的速度下降的少许的提示。 用户执行这些步骤，因为他们认为它们实际上它们 hurting 贵公司的网络的安全性时对自己，进行帮助。

正确地配置和已修补的计算机是在正常运行的计算机，但使这些计算机正常运行是一个麻烦。 如果只出现一种方法您可以实施安全策略。 强制保证您的台式计算机和便携式计算机具有正确的防火墙配置。 强制确保缺少正确的修补程序的计算机无法访问您的网络。 强制意味着未运行防病毒或反恶意软件，则意味着没有连接到 pristine LAN。

这种安全策略强制进行的今天的适用于网络访问保护 (NAP)。 NAP 是组件，使用 Windows Server 2008 到达网络策略，并访问服务。 该服务器和客户端上使用服务定期检查客户端的符合您的安全策略的状态。 如果未正确配置这些客户端，NAP 可以自动限制其网络访问直到它们 remediated。 甚至更好 NAP 可以自动纠正错误客户端强制具有回为使用已建立的安全策略的行的错误配置。

NAP 是一个功能强大的工具，通过像 Forrester，其右上角的"前导符"象限中放置 NAP 的独立分析被视为一个最佳中类解决方案的。 是经济高效的解决方案因为今天实现在网络中的 NAP 不需要任何额外的软件购买，因为它已经是您的 Windows 和 Active Directory 投资的一部分。 NAP 的功能已经将使用每个版本的 Windows Server 2008 可用。 它为大容量的可伸缩性而设计，并能够支持大型企业中使用复杂的需求和的客户端的分数。

但是那么好 NAP 是否为什么没有更多的小型环境利用的？ 可能，许多 jack-of-all-trades 管理员或者不知道什么可以执行也将关闭放其明显的复杂程度。 这是易于理解。 如果您阅读在 有关 NAP 的文档您可能会 overwhelmed 通过强制执行安全配置的不同机制所需的所有移动部件。 IPSec，802.1X x、 VPN 和 TS Web Access 是需要额外的组件，您可能没有在您的环境中今天的所有 NAP 强制机制。 但是，很可能您已经有您需要实现其基于 DHCP 的强制。

它是我要在本月的专栏中显示您的易于安装且易于使用 DHCP 的强制机制。 而每个其他不可否认更强大中如何在确保客户端配置，每个还要求等不是证书服务基础结构或网络设备的深入知识，来成功实现的更多复杂技术。

让我们启动小，我们方式设置。

一个 NAP 的目标

我们的单击的单击之前，让我们考虑一些您可能有用于保护您的网络目标。 要确保用正确的修补程序进行更新的计算机。 您需要您在旅途便携机来获得正确的安全设置，在返回时。 您肯定需要防范恶意计算机插入到您的网络，并感染您的服务器和工作站。

如果这些目标的所有满足如果您的计算机正确修补，并且具有正确的防火墙和反恶意软件设置，您通常可以考虑计算机要正常运行。 正常运行的计算机往往以保持良好，极右侧的保护，它们可能不会传播解决您的网络的恶意软件。

NAP 的任务是监视并强制在网络上计算机的运行状况。 当计算机插在时 NAP 询问该种问题"是您状态良好？" 如果计算机响应在 affirmative 中，NAP 将授予您的网络的计算机完全访问。 如果客户端不能回答或者在负的解答则而重新定位到特殊的"修补"网络。 有，到计算机的可用的唯一资源那些需要使其再次正常运行： Windows 服务器更新服务 (WSUS) 服务器应用修补程序，下载在最新签名文件的防病毒服务器等。 NAP 可以同时监视网络上计算机、 性能不佳其运行状况时识别和快速修复后。

NAP 的强制机制与的方法的计算机能访问您的网络。 计算机连接到您的 802.1X x 轴的网络交换机或物理连接的无线访问点。 然后它们从 DHCP 服务器请求地址。 外部计算机可以连接通过 VPN 服务器或 TS Web Access 网站。 与您的域通信时需要 IPSec 身份验证。

如前所述，NAP 的 DHCP 强制机制最容易配置和使用，实质上是，您 DHCP 服务器成为 NAP 的网关守卫。 连接到网络的计算机，首先必须从 DHCP 请求一个地址。 这是 NAP 启用 DHCP 服务器的要求"是在正常运行？"问题。 如果计算机正确响应，DHCP 提供其完整的网络访问的地址。 如果计算机不知道如何回答或者错误地回答，DHCP 而提供它一个特殊的地址有关修正。

为了进一步简化我们的示例，我将指示 NAP 若要只监视 WSUS 修补程序的客户端。 在这种情况下客户端会考虑不能正常运行仅在不与 WSUS 或没有正确的修补程序时。 如会在以后发现，我可以这样做的原因 Microsoft 包括内置的安全，这些检查，以进行运行状况验证程序。

确定与该内置安全健康验证程序的计算机的运行状况要求两个客户端组件协同，工作本身提供 Windows Vista、 Windows Server 2008，和 Windows XP Service Pack 3 和 Windows安全中心在 NAP 客户端即在控制面板中可用 （请参见 图 1 ）。 而是与 NAP 服务器基础结构交互、 确定客户端的状态和执行实际的强制的 NAP 客户端的作业，是 Windows安全中心来识别和报告输出 whack 安全配置时的工作。 我们将在下一节中配置客户端部分以及服务器组件。

图 1 Windows 安全中心

实现 DHCP NAP，以强制 WSUS 更新

让我们假定您的网络和域已经在位置，并您的环境包括名为 \\server1 的域控制器。 还可以有名为 \\client1 测试您的 NAP 实施中使用 Windows Vista 便携式计算机。 您只是所生成名为 \\nps 将承载您的 DHCP 和 NAP 服务的 Windows Server 2008 计算机。 它还将为其更高版本将作为修正 Server 缺少修补程序的计算机承载您的 WSUS 数据库。 在此示例中，正在 collocating 每个该计算机上的这些服务，但有可能找到其自己的计算机上的每个。 工作的 DHCP 强制执行的必须的 Windows Server 2008 顶部运行它。

在服务器 \\nps 上使用服务器管理器安装 DHCP 服务器，网络策略和访问服务，和 WSUS 角色。 配置 DHCP 具有小范围进行测试，并使用必要的配置，使对环境有用中配置 WSUS。

下一步，创建名为 NAP 客户端计算机在域中的全局组。 此组中，您将更高版本添加计算机的运行状况，想要监视的 NAP 的名称。 对于本示例中，该计算机将为 \\client1。

NAP 的 DHCP 强制可以手动出不能正常运行的计算机在完全不同和独立子网中的地址，但为简单起见我们将只更改计算机的 DNS 域名。 此处，DHCP 将告诉正常运行的计算机而不能正常运行的计算机而是将 unhealthy.contoso.com，它们的 DNS 后缀是 contoso.com。 应注意，这使该示例简单，但不一定隔离不能正常运行的计算机。 一旦您理解基本概念，可以稍后返回并实现子网隔离。

上面的 DNS 后缀配置 DHCP 作用域。 通过右键单击作用域选项执行此操作在 DHCP 控制台中，并选择配置选项。 在生成的窗口中单击高级选项卡可以看到感兴趣的两个用户类。 默认用户类别表示正常运行的计算机在组。 这些计算机应获得完全访问权限和 contoso.com DNS 后缀选项 15。 默认网络访问保护类表示您不能正常运行的计算机，并应获取选项 15 的 DNS 后缀 unhealthy.contoso.com。 您应该可能还在选项 3 中输入选项 6 的 DNS 服务器的信息和默认网关信息。 完成所有的结果应类似于 图 2 。 此时，您可以 NAP 启用 DHCP 作用域通过右键单击本身作用域，然后查看属性。 在网络访问保护选项卡下单击为此作用域的启用。

图 2 DHCP’sDefault NAP 类必须 confi gured

这样就完成您的配置的 DHCP 服务。 下一步是配置 NAP 本身使用配置 NAP 向导。 在服务器管理器的右窗格中找到了同一名称的链接，当您导航到网络策略和访问时 | NPS （本地）。 例如，配置向导的多个页面：

选择网络连接方法，用于使用 NAP。 您的网络连接方法选择 DHCP。 该向导然后将自动填充使用 NAP DHCP 策略名称框。

指定运行 DHCP 服务器的 NAP 强制服务器 如果您的 DHCP 服务超过 NAP 服务器的不同服务器上，您是否输入这些服务器名称。 我们例如 NAP 和 DHCP 被搭配，以便可以安全地保留此框为空。

指定 DHCP 作用域。 输入要为 NAP 启用 DHCP 作用域。 通过将此框保留为空，使用所有的 DHCP 作用域。

配置用户组和计算机组。 将在此对话框中 NAP 客户端计算机全局组添加前面创建。 这将指示管理只有此组中的该计算机的强制 NAP 策略。 其他计算机处于独立。

指定 NAP 修补服务器和 URL。 此页来完成两件事情。 首先，它标识修正服务器负责解决不能正常运行的客户端。 在本示例，修正服务器将域服务的 \\server1 和 \\npsfor WSUS 服务。 单击新建组按钮并创建一个包括这些服务器的新组。 第二个，页面公开故障排除的 URL。 此 URL remanded 到独立网络的修正的运行不正常的计算机上的气球状提示中显示。 您必须创建您自己，该 Web 站点可以包含客户端或手动修正说明发生什么情况的说明。 例如，我们会将 URL 保留为空。

定义 NAP 运行状况策略。 此最后一个屏幕将以将进行自定义下一步，在 Windows 安全运行状况 Validator 中显示链接，并提供自动修正和网络访问限制的设置。 将为每个这些以下默认设置。

下一步是有趣部分。 此处，您需要配置组件的在 Windows 安全运行状况验证程序 (WSHV） 您要用于强制执行。 默认值 WSHV 包括可监视的 Windows 安全中心组件许多。

Windows 防火墙。 已注册与 Windows 安全中心的系统上是否有防火墙？ 为所有网络连接是否启用该防火墙？

病毒和间谍软件保护。 是否在计算机中上, 安装防病毒和防间谍软件应用程序，并且已在注册 Windows 安全中心？ 他们的应用程序打开的是和当前正在使用最新的签名？ 在 WSHA 将防病毒和防间谍软件应用程序单独，使您可以强制或两个在目标的系统。

Microsoft 更新。 已在计算机配置为检查自动更新通过 Windows Update 或本地的 WSUS 服务器？ 如果是这样，多少个小时前是否计算机检查更新？ 是否安装所有可用的更新？ 更新危急的级别重要、 重要，等） 被认为是正常的计算机必须安装？

在 Server 管理器中，导航到网络策略，并访问服务 | NPS (本地) | 网络访问保护 | 系统健康验证程序双击 Windows 安全健康验证程序。 在结果屏幕单击若要查看一个屏幕，类似 图 3 中的配置。

图 3 </a0>-默认 Windows 安全健康验证程序

选择要管理的 NAP 的区域。 请注意任何第三方防火墙、 防病毒或反间谍软件应用程序必须使用 Windows 安全中心注册或提供要监视的 NAP 自己加载项组件。 例如，我们将检查 图 3 所示框。 这将指示 NAP 确保自动更新为打开了所有的客户端系统，并验证已安装所有关键更新。 如果客户端不能满足这两个条件，它将被自动移动到修正网络的 WSUS 服务器可以自动解决该问题并使计算机返回到运行状况。

最后，有配置通过组策略应用的三个设置。 创建新的组策略对象 (GPO)、 将其链接到在的域和其打开进行编辑。

• 启用网络访问保护代理，并将它设置为自动。 执行此操作计算机配置下 | 策略 | Windows 设置 | 安全设置 | 系统服务。
• 启用 NAP 的 DHCP 隔离强制您会发现在计算机配置下的代理 | 策略 | Windows 设置 | 安全设置 | 网络访问保护 | NAP 客户端配置 | 强制客户端。 双击代理，并在结果屏幕中选择启用此强制客户端。 要应用此设置，右键单击 NAP 客户端配置节点，并选择应用。
• 启用位于计算机配置 Windows 安全中心 | 策略 | 管理模板 | Windows 组件 | 安全中心。

一个的最后一步： 关闭组策略管理编辑器并策略的安全筛选中, 替换经过身份验证的用户创建 NAP 客户端 Computers 组。 您现在可以开始向启动其参与 NAP 强制 NAP 客户端计算机组中添加域计算机。 一旦组策略适用于计算机中，及其交互使用 DHCP 会涉及我们在这里讨论的 NAP 运行状况检查。

您可以验证使用 napstat.exe NAP 客户端状态。 运行此工具从命令行结果系统任务栏图标以及气球状提示，提供有关客户端的强制状态信息。 单击该气球将显示如 图 4 ，表示客户端不兼容因为它不具有安装正确的安全更新中的状态窗口。 到目前为止 NAP 已标识为不正常客户端，因为 DHCP 会有重新协商租约并且更改 DNS 后缀以 unhealthy.contoso.com。

图 4 没有安装在正确 securityupdates </a0>-不正常 NAP 客户端

有多种显然多个可以调整 NAP 实现以提供额外的安全性。 为运行不正常的客户端创建完全独立的修正网络将是一个选项。 在 WSHV 中配置其他强制参数，或添加新的第三方 SHV 是其他人的。 如果网络策略和访问服务节点在 Server 管理器中研究解决，您会发现了许多用于自定义 NAP 以满足您的需要的其他选项。

Greg Shields ，MVP，是在 Concentrated 技术合作伙伴。 获取多个 greg 的 jack-of-all-trades 提示和技巧在 www.ConcentratedTech.com.