Share via

  • 發行項

所有的交易的 geek 使用 DHCP 強制的控制網路存取

Greg Shields

內容

為 NAP,目標

這些 darn 的使用者取得更聰明一直。 已經知道如何關閉他們的防火牆-永遠在 nastiest 的咖啡店的網路。 能夠保持其膝上型電腦離開辦公室在每月的補充程式週期,因為他們認為您的修補程式會造成最後一個藍色螢幕。 它們甚至停用防毒軟體和防間諜軟體公用程式,在效能變慢的任何提示。 您的使用者會採取這些步驟,因為他們認為它們實際上它們影響您的企業的網路的安全性時協助自己。

正確設定,並修正電腦是在 [狀況良好] 的電腦],但保持這些電腦的 [狀況良好] 是一個麻煩。 如果只發生在方法,您無法強制執行您的安全性原則。 強制執行會保證您的桌上型電腦和膝上型電腦有正確的防火牆組態。 強制執行可確保沒有正確的補充程式的電腦無法存取您的網路。 強制執行表示未執行防毒或反惡意程式碼,表示您 pristine LAN 無法連接。

該種安全性原則強制是目前網路存取保護 (NAP)。 NAP 是的元件,與 Windows Server 2008 到達網路原則,並在存取服務。 它會在伺服器和用戶端上使用服務來定期檢查您的安全性原則的用戶端的相容性的狀態。 如果未正確設定這些用戶端,NAP 可以自動限制網路存取,直到它們 remediated。 更好,NAP 可以自動重新進行錯誤用戶端強制使用到列已建立的安全性原則不正確的組態。

NAP 會是一個功能強大的工具是由獨立的分析師,像使用者將 NAP,其右上方的族長 」 象限中的 Forrester 被視為類別的最佳解決方案。 是合乎成本效益的解決方案因為今天 NAP 在您的網路中實作必須沒有額外的軟體的購買,因為它已經是投資的您 Windows 與 Active Directory 的一部分。 已使用的每個版本的 Windows Server 2008 NAP 的功能。 它設計大量的延展性,而且可以支援複雜的需求與用戶端的大型企業。

但如果 NAP 非常因此,為什麼不多個小型的環境得利用它嗎? 系統可能,許多 jack-of-all-trades 管理員可能不知道哪些它可以執行或會由其明顯的複雜性,將關閉。 這是容易瞭解。 如果您閱讀, NAP 文件您無法強制使用安全性設定其不同的機制所需的所有移動部分壅塞。 IPSec,802.x、 VPN 和 TS Web Access 是所有的 NAP 強制機制需要額外的元件,您可能沒有在您的環境中目前的。 不過,很可能您已經有您需要實作其 DHCP 強制執行。

它是該易於安裝,且容易使用 DHCP 強制機制我要告訴您,在本月的專欄中。 雖然每個其他無可否認地在他們確保用戶端組態的方式更強大也需要較複雜的技術,例如憑證服務的基礎結構] 或 [深入知識網路裝置的實作成功。

讓我們來啟動小,],並設定工作我們的方式。

為 NAP,目標

我們進入按一下 [-由-按一下之前,請先讓我們來考慮一些目標,您可能有保障網路的安全。 要確保使用正確的補充程式會更新電腦。 您想要以取得正確的安全性設定值,當它們傳回您道路在膝上型電腦。 您當然需要防禦惡意電腦插入到您的網路,並感染您的伺服器和工作站。

如果這些目標的所有符合,如果您的電腦會正確修補,且擁有正確防火牆和反惡意程式碼設定,您通常可以考慮在電腦為 [狀況良好]。 [狀況良好] 的電腦會保持為 [狀況良好],有權限的保護,而他們可能未分配解決您的網路的惡意軟體。

NAP 的工作是監視和強制執行在網路上的電腦的健康狀況。 NAP 時在插入的電腦,詢問問題,「 是您 [狀況良好]? 」 如果電腦的回應,affirmative 中,NAP 就會授與該電腦完整存取您的網路。 如果用戶端無法回應或在負數的解答它而重新定位到特殊"補救網路。 只可用電腦資源有這些才能讓 [狀況良好] 再: Windows 伺服器更新 Services (WSUS) 伺服器套用修補程式,防毒軟體的伺服器下載,大部分最新簽章檔案,等等。 NAP 可以也監看在網路上的電腦辨識其健康情況會降低時,它時快速修正。

在其中電腦存取您網路的方式與相關的 NAP 強制機制。 電腦會連線到 802.x-能夠網路交換器或實體的連線的無線存取點。 然後從您的 DHCP 伺服器要求的位址。 外部電腦可能會透過 VPN 伺服器] 或 [TS Web Access 網站中連接。 與您的網域通訊,可能需要 IPSec 驗證。

注意,NAP 的 DHCP 強制機制是最容易設定及使用,基本上,您的 DHCP 伺服器會變成 NAP 的閘道管理員。 連線到您的網路電腦,就必須從 DHCP,第一次要求的位址。 這是其中 NAP 功能已啟用 DHCP 伺服器要求 「 是您 [狀況良好]? 」 問題。 如果電腦正確的回應,DHCP 提供完整的網路存取的位址。 如果電腦不知道如何回答或如果它不正確地回答,DHCP 而讓它使用特殊的位址的補救措施。

若要進一步簡化我們的範例中,,我會指示 NAP,只監視 WSUS 的更新程式的用戶端。 在這種情況下用戶端會被視為健康情況不良與 WSUS 不交談或沒有正確的補充程式時,只。 您稍後將會發現,我可以執行此操作因為 Microsoft 包含內建的安全性,可讓執行這些檢查的健全狀況驗證。

判斷的內建的安全性狀況驗證的電腦的健康情況需要兩個用戶端元件一起,NAP 用戶端原本就有提供 Windows Vista、 Windows Server 2008,和 Windows XP Service Pack 3 和 Windows 資訊安全中心,這是 [控制台] 中可用 (請參閱 [圖 1 )。 而若要介面與 NAP 伺服器基礎結構,判斷用戶端的狀態,執行實際的強制執行,則 [NAP 用戶端的工作,它就會是識別和安全性設定的 whack 時所報告的 Windows 資訊安全中心的工作。 我們將在下一節設定用戶端部分,以及伺服器元件。

fig01.gif

[圖 1 : 的 Windows 資訊安全中心

實作的 DHCP NAP,以強制 WSUS 的更新

讓我們假設您的網路及網域位於已位置,且您的環境中包含名為 \\server1 網域控制站。 您必須命名為 \\client1 用來測試您的 NAP 實作 Windows Vista 膝上型電腦。 您就已經建置名為 \\nps 即將裝載您的 DHCP 和 NAP 服務在 Windows Server 2008 電腦。 它將會更新版本作為補救措施伺服器的遺漏補充程式的電腦,它也會裝載您的 WSUS 資料庫。 在這個範例中,我正在 collocating 每一個這些相同的電腦上的服務,但並可以找出它自己的電腦上的每一個]。 為 DHCP 強制執行工作,您必須執行 Windows Server 2008。

在伺服器的 \\nps,使用伺服器管理員安裝 [DHCP 伺服器]、 [網路原則及存取服務,和 WSUS 的角色。 測試的小範圍中設定 DHCP,並使用必要的組態,可讓您的環境適合中設定 WSUS。

接下來,請在您呼叫 NAP 用戶端電腦的網域中建立全域群組。 此群組中,您將更新版本加入電腦要監視的 NAP 的健全狀況的名稱。 這個範例中,該電腦就會是 \\client1。

NAP 的 DHCP 強制可以交出健康情況不良的電腦完全不同且獨立子網路位址,但為了簡單起見我們只會變更電腦的 DNS 網域名稱。 這裡,DHCP 會告訴 [狀況良好] 的電腦健康情況不良的電腦的電腦,而將取得 unhealthy.contoso.com 時,其 DNS 尾碼的在 contoso.com。 要注意這會在範例的簡單,但不一定要隔離的健康情況不良的電腦的電腦。 一旦您瞭解基本概念,您可以稍後返回,並實作子網路隔離。

使用上述的 DNS 尾碼,請設定您的 DHCP 領域。 這麼做在 DHCP 主控台領域選項上按滑鼠右鍵,並選擇設定選項]。 在結果的視窗中按一下 [進階] 索引標籤,您會看到感興趣的兩個使用者類別的位置 (英文)。 預設使用者類別代表所 [狀況良好] 的電腦的設定。 完整存取權限] 和 [contoso.com DNS 尾碼 15] 選項下的,應該取得這些電腦。 在預設網路存取] 保護類別代表您處於不健全狀況的電腦,並應在 DNS 尾碼 unhealthy.contoso.com 取得選項 15。 您可能應該在 3] 選項中也輸入 6] 選項下的 DNS 伺服器的資訊和預設閘道的資訊。 完成所有的結果看起來應該類似 [圖 2 。 此時您可以 NAP 啟用 DHCP 領域按一下滑鼠右鍵本身範圍] 和 [檢視內容。 在 [網路存取保護] 索引標籤下, 按一下 [此範圍的啟用]。

fig02.gif

[圖 2 DHCP’sDefault NAP 類別必須是 confi gured

這是完成您的 DHCP 服務的組態。 下一個步驟是設定 NAP 使用設定 NAP 精靈本身。 如果要在伺服器管理員] 的右邊窗格中尋找相同名稱的連結,當您巡覽至網路原則及存取 | NPS (本機)。 這個範例中,設定精靈的多個頁面,如下所示:

選取 [網路連線方法,使用與 NAP]。 為您的網路連線方法,請選取 DHCP。 精靈將會再自動填入 NAP DHCP 原則名稱方塊。

指定 NAP 強制伺服器 (執行 DHCP 伺服器。 您的 NAP 伺服器以外的不同伺服器上您的 DHCP 服務若是您要輸入的伺服器名稱。 我們例如 NAP 和 DHCP 會結合,讓您可以安全地保留此方塊為空白。

指定的 DHCP 領域。 請輸入您要啟用的 NAP DHCP 領域。 此方塊保留空白的使用所有的 DHCP 領域。

設定使用者群組及電腦群組。 在這個] 新增 [NAP 用戶端電腦群全域組您之前建立。 這會指示 NAP 原則管理此群組中的電腦強制執行。 還有其他的電腦本身。

指定 NAP 補救伺服器和 URL。 這個頁面] 完成兩件事。 第一次,它會識別負責修正處於不健全狀況的用戶端的補救伺服器。 在這個範例中,補救伺服器將會是網域服務的 \\server1 and \\npsfor WSUS 服務]。 按一下新的群組按鈕,並建立新群組,包含這些伺服器。 第二個,頁面會公開疑難排解的 URL。 這個 URL 會顯示在健康情況不良 remanded 的補救措施隔離網路的電腦上的汽球提示中。 您必須建立您自己,Web 網站可以包含指示所發生狀況至用戶端或手動的補救措施的指示。 這個範例中,我們會保留 URL 空白。

定義 NAP 健康情況原則。 這個最後一個畫面會顯示 Windows 安全性狀況驗證,將 [下一步],自訂連結,並提供自動的補救措施 」 和 「 網路存取限制的設定。 保留預設設定,每一個這些這裡。

下一步將是有趣的部分。 這裡,您需要設定元件的 [Windows 安全性狀況驗證 (WSHV) 您要使用的強制執行。 預設值 WSHV 會包含可監視 Windows 資訊安全中心元件數。

Windows 防火牆。 使用 [Windows 資訊安全中心已註冊的系統上是否有防火牆? 所有的網路連線被啟用的防火牆嗎?

病毒和間諜軟體保護。 是否在的電腦上安裝防毒軟體和防間諜軟體應用程式,並且已在已使用登錄 Windows 資訊安全中心]? 他們的應用程式所開啟的是,以及目前使用最新的簽章嗎? 在 WSHA 將防毒軟體和防間諜軟體應用程式分別,可讓您強制執行一或兩個在目標的系統。

Microsoft 更新。 已在電腦設定為檢查透過 Windows Update 或 「 本機的 WSUS 伺服器的自動更新嗎? 如果,多少小時之前沒有電腦檢查更新檔? 是否已安裝所有可用的更新? 何種層級的更新程式的危急性 — 重要、 重要,等等 — 必須視為 [狀況良好] 電腦的安裝嗎?

在 Server Manager,會瀏覽至網路的原則,並在存取服務 | NPS (本機) | 網路存取保護 | 系統健全狀況驗證連按兩下 [Windows 安全性的健全狀況驗證。 在產生的畫面按一下 [以查看 [圖 3 ] 所示在畫面的設定]。

fig03.gif

[圖 3 : 預設的 Windows 安全性狀況驗證

選取您要管理的 NAP 區域。 請注意任何協力廠商的防火牆、 防毒軟體或防間諜軟體應用程式必須註冊 Windows 資訊安全中心或提供自己的附加元件要監視的 NAP。 這個範例中,我們將核取只有 [圖 3 ] 所示方塊。 這會指示 NAP,確保已自動更新開啟的所有用戶端系統,並將所有的重大更新都已安裝。 如果用戶端無法符合兩個條件,它將會自動移至補救措施,WSUS 伺服器可以自動解決問題和網路讓電腦,回到 [狀況。

最後,也會有三個設定的設定,透過 「 群組原則套用。 建立新群組原則物件 (GPO),它連結到在的網域,並開啟它進行編輯。

  • 啟用網路存取保護代理程式並將它自動。 在 [電腦設定] 之下執行這項操作 | 原則 | Windows 設定 | 安全性設定 | 系統服務。
  • 啟用的 NAP 代理程式您可以在 [電腦組態] 下找到的 DHCP 隔離強制 | 原則 | Windows 設定 | 安全性設定] | 網路存取保護 | NAP 用戶端設定 | 強制用戶端。 連按兩下 [代理程式,並在 [結果] 畫面中選擇啟用這個強制用戶端。 若要套用此設定,請在 [NAP 用戶端的組態節點上按一下滑鼠右鍵,然後選擇 [套用]]。
  • 啟用在電腦組態中找到 [Windows 資訊安全中心 | 原則 | [系統管理範本] | Windows 元件 | 資訊安全中心。

一個的最後一個步驟: 關閉 「 群組原則管理編輯器並篩選的原則的安全性,取代已驗證的使用者將先前建立的 NAP 用戶端電腦群組。 您現在可以開始新增至啟動其參與 NAP 強制 NAP 用戶端電腦群組的網域電腦。 一旦套用電腦群組原則,其與 DHCP 的互動會涉及我們在這裡所討論的 NAP 健康檢查。

您可以驗證使用 napstat.exe 的 NAP 用戶端狀態。 執行此工具從命令列上的結果在系統匣圖示,以及一個汽球提示,提供用戶端的強制執行狀態的資訊。 按一下該提示,會顯示如 [圖 4 ,表示用戶端不相容因為有未安裝適當的安全性更新中的狀態視窗。 這時候由於 NAP 有加以識別處於不健全狀況的用戶端,DHCP 會有重新交涉其使用期,變更 DNS 尾碼為 unhealthy.contoso.com。

fig04.gif

[圖 4) 一個處於不健全狀況的 NAP 用戶端沒有適當的 securityupdates 安裝

有很明顯地要有許多的多個方法,在其中您可以調整您的 NAP 實作,提供其他的安全性。 建立完全獨立的補救措施網路的健康情況不良的用戶端是一個的選項。 設定其他的強制參數,WSHV] 或 [加入新的協力廠商 SHVs,都是其他人。 如果再深入 [網路原則與存取服務] 節點在 Server Manager 的周圍,您會發現許多自訂 NAP],以符合您需求的其他選項。

夥伴,以在專注技術 Greg 盾 ,MVP,。 取得多個 greg 的 jack-of-all-trades 秘訣和技巧,在 www.ConcentratedTech.com.