- Folosind Filtrarea politicii de grup pentru a crea o politică de aplicare a DHCP NAP (Partea 1)
- Folosind filtrarea politicii de grup pentru a crea o politică de aplicare a politicii de aplicare a DHCP NAP (partea 2)
- Folosind Filtrarea politicii de grup pentru a crea o politică de implementare DHCP NAP (Partea 3)
În primele trei părți ale acestei serii de configurarea PNA DHCP Aplicarea politicii, am acoperit elementele de bază ale PNA, și apoi stabilit o politică de aplicare DHCP pe serverul SEN care conține politica PNA. În această ultimă parte a seriei vom finaliza setarea de configurare a serverului DHCP pentru a lucra cu serverul ANP NPS și politicienii, după care vom configura politica de grup, astfel încât politica, și componentele PNA sunt ajustate automat pentru fiecare mașină care face parte din grupurile de securitate ANP de calculatoare în Active Directory. În final, vom testa soluția pentru a vedea dacă funcționează cu adevărat.
Configurarea unui server DHCP
Acum că politicile noastre NAP au fost configurate cu expertul NAP, ne putem concentra pe configurarea serverului DHCP. Amintiți-vă că serverul DHCP este serverul de acces la rețea din scriptul DHCP NAP, deci trebuie să configurați serverul DHCP pentru a comunica cu componentele NAP astfel încât totul să funcționeze.
Deschideți consola DHCP din meniul Administrare. În consola DHCP, extindeți numele serverului, apoi fila IPv4. apoi extindeți fila Scope. Faceți clic pe fila Opțiuni vizibilitate. Faceți clic dreapta în zona goală a panoului din dreapta, după cum se arată în figura de mai jos, și selectați comanda Configure Options.
În caseta de dialog Opțiuni, faceți clic pe fila Complex. Verificați că câmpul Clasă furnizor este setat la opțiunile implicite DHCP. În clasa Utilizator, selectați intrarea din clasa Protecție acces la rețea implicită. Opțiunea DHCP pe care o vom configura aici va fi aplicată clienților pentru a le identifica drept clienți NAP care nu respectă politica.
Găsiți opțiunea 015 DNS nume de domeniu și introduceți numele în câmpul de text String value care va fi utilizat pentru clienții care nu sunt conforme cu NAP. Acest lucru vă va ajuta să identificați mai ușor computerele neconforme. Faceți clic pe OK.
Acum veți vedea intrările pentru clasele Clasei de protecție pentru clasa de protecție pentru accesul la rețelele de acces și de rețea implicite. Ultima opțiune de clasă va fi alocată computerelor care nu sunt conforme atunci când implementarea DHCP este utilizată cu NAP.
Înainte ca NAP să poată utiliza acești parametri, trebuie să ajustăm domeniul de vizibilitate pentru a lucra cu NAP. Faceți clic pe fila Limite de vizibilitate din fila IPv4 din panoul din stânga al consolei, apoi faceți clic dreapta pe ea. În caseta de dialog Proprietăți de frontieră, faceți clic pe fila Protecție acces la rețea. Selectați Activare pentru această margine. apoi selectați opțiunea Utilizare standard de protecție a accesului la rețea.
Opțiunea Utilizare profil utilizator este destul de interesantă, dar pe Internet, inclusiv pe site-ul Microsoft www.microsoft.com. nu există nicio documentație cu privire la modul de utilizare a acestei opțiuni. Voi posta această informație pe blogul meu dacă aflu cum să o fac să funcționeze.
Faceți clic pe OK în caseta de dialog Proprietăți de frontieră.
Configurarea setărilor NAP din Politica de grup
Deși putem configura manual NAP pe fiecare mașină care va participa la infrastructura noastră de securitate NAP, configurarea manuală nu este o opțiune potrivită într-o situație de mari dimensiuni. Pentru a rezolva această problemă, Microsoft a inclus extensiile de politică de grup necesare care vă permit să configurați NAP în politica de grup.
Există trei lucruri pe care trebuie să le facem în Politica de grup pentru centralizarea configurației:
- Activați agentul NAP pe mașinile care participă la NAP
- Configurați agentul de aplicare a NAP (în acest caz, acesta va fi agentul de executare a NAP pentru DHCP)
- Configurați GPO pentru a se aplica numai mașinilor aparținând grupului de securitate care conține mașinile implicate în controlul accesului la rețea NAP.
Înainte de a efectua următorii pași, trebuie să creați un obiect Group Policy numit NAP Client Settings. Puteți face acest lucru în Consola de gestionare a politicii de grup. Dacă nu știți cum să faceți acest lucru, contactați Consola de gestionare a politicii de grup pentru ajutor, deoarece acest proces este destul de simplu. Asigurați-vă că GPO se află în același domeniu ca și mașinile dvs.
Activați agentul NAP
În fila Servicii de sistem, veți găsi elementul din panoul din dreapta pentru Agentul de protecție a accesului la rețea. Faceți dublu clic pe acest element. În caseta de dialog Proprietăți NAP Agent, selectați opțiunea pentru a defini setările pentru această politică. apoi selectați opțiunea Automat. Faceți clic pe OK.
Acești pași vor permite agentului NAP pe acele computere pentru care este folosit GPO. Agentul NAP trebuie să fie activat pentru ca procesarea NAP să funcționeze corect.
Activarea clientului de executare DHCP
În fila Clienți de implementare, în panoul din dreapta al consolei, vor fi afișați diferiți clienți de implementare disponibili pentru NAP. Puteți include una sau mai multe metode de implementare; nu vă limitați la un singur client de implementare. În acest exemplu, folosim doar implementarea DHCP, deci faceți clic dreapta pe Clientul de executare a carantinei DHCP și selectați Activare. așa cum se arată în figura de mai jos.
Faceți clic pe fila Configurare client NAP din panoul din stânga al consolei, după cum se arată în figura de mai jos. Faceți clic dreapta pe fila Configurare client NAP și selectați Aplicare. Aceasta se aplică setările clientului de implementare la Politica de grup.
Folosind Filtrarea securității politicii de grup pentru a aplica un GPO în calculatoarele grupului de securitate NAP
Ultimul nostru pas în Politica de grup va fi aplicarea setărilor GPO în GPO în setările clientului NAP pentru computerele care aparțin grupului de securitate Computere forțate NAP. pe care am creat-o mai devreme. Deschideți consola de gestionare a politicii de grup. Extindeți numele pădurii, apoi extindeți fila Domenii. Extindeți apoi numele de domeniu și faceți clic pe obiectul GPO Setări client NAP.
În panoul din dreapta al consolei, veți vedea o secțiune numită Filtrare de securitate. Puteți utiliza această funcție pentru a aplica setările politicii de grup în acest GPO în grupul de securitate pe care l-am creat pentru computerele client NAP.
În secțiunea Filtrare securitate, faceți clic pe caseta de validare Utilizatori autentificați. apoi faceți clic pe Eliminare.
Veți vedea caseta de dialog Gestionare politică grup. Doriți să eliminați acest privilegiu de delegare? Faceți clic pe OK.
Faceți clic pe butonul Adăugați. Aceasta deschide caseta de dialog Select User, Computer sau Group. Introduceți Calculatoare forțate NAP în caseta Introduceți un nume de obiect pentru selectare și faceți clic pe Verificați nume. Pentru a confirma că un grup poate fi găsit. Apoi faceți clic pe OK.
Acum, în secțiunea Filtrare securitate, veți vedea un grup de securitate care va găzdui computerele cu activare NAP.
Activarea computerelor Vista în grupul de securitate Computere forțate NAP
Când sunt setate setările pentru politica de grup, putem include clientul pe computerul client Vista în grupul de securitate Computers NAP Enforced Computers. Deschideți consola Utilizatori și computere Active Directory și faceți clic pe fila Utilizatori din panoul din stânga al consolei.
Faceți dublu clic pe intrarea NAP Enforce Computers. Aceasta va afișa caseta de dialog Proprietăți pentru computerele forțate NAP. Faceți clic pe fila Membri, apoi faceți clic pe Adăugați.
În caseta de dialog Selectați utilizatori, contacte, computere sau grupuri, introduceți numele computerului care va participa la aplicarea legii NAP. În acest exemplu, avem un computer, un membru de domeniu, numit VISTA2. și vom introduce acel nume în Introduceți numele obiectelor pentru a selecta caseta de text.
Dacă mașina pe care doriți să o includeți în grupul de aplicații NAP nu este încă inclusă în domeniu, puteți crea un cont de computer în Active Directory utilizând opțiunea Add Computer din consola Active Directory Users and Computers. Apoi, puteți atașa mai târziu această mașină la domeniu. În rețeaua noastră, pe care o folosim în acest articol, computerul VISTA2 intră deja în domeniu.
În acest moment, puteți utiliza comanda gpupdate / force pe controlerul de domeniu. De asemenea, dacă mașinile cu activare NAP aparțin deja unui domeniu, va trebui să reporniți aceste computere astfel încât noile setări pentru politica de grup să aibă efect.
Cea mai problematică zonă din soluția NAP este cea a politicii de grup. Rețeaua de producție va trebui să aștepte o perioadă lungă de timp pentru răspândirea politicii de grup, dar în laboratorul de testare suntem înclinați spre intoleranță și doresc ca totul să funcționeze imediat. Dacă observați că parametrii nu sunt aplicați clientului, aveți răbdare. Reporniți clientul de câteva ori sau executați comanda gpupdate / force pe client. Dacă NAP încă nu funcționează, trebuie să reconfigurați toate setările de configurare NAP, precum și Politica de grup. Există o mulțime de "părți în mișcare" aici, deci este foarte ușor să pierdeți un pas.
Acum, să testați soluția NAP în acțiune.
Verificarea soluției
Aceste situații vor apărea dacă mașina nu a fost inclusă în domeniu sau dacă parametrii NAP nu s-au aplicat clientului.
Acum, să vedem cum arată lucrurile când au fost aplicați parametrii NAP.
Executați din nou comanda ipconfig și vedeți numele de domeniu nelimitat care a fost atribuit clientului.
Rulați comanda Print Route. Se poate observa că principala poartă este instalată aici. În plus, avem o interfață de rutare pentru ID-ul de rețea în subrețea. Au fost eliminate interfețele speciale de rutare către serverul DHCP și controlerul de domeniu.
Să testați funcția de corecție automată. Rețineți că am activat funcția de reparare automată în Windows Security SHV. Acest lucru permite agentului NAP să încerce să remedieze problemele de securitate care pot apărea pe clientul NAP. De exemplu, dacă firewall-ul este dezactivat pe clientul NAP, agentul NAP îl poate activa.
Figura de mai jos arată că am dezactivat Paravanul de protecție Windows pe clientul Vista. Încercați-l pe clienții Vista.
Așteptați câteva secunde. Veți vedea că starea paravanului de protecție Windows este schimbată automat la activ fără intervenția dvs.
Rețineți că nu există nicio notificare despre această acțiune în tava de sistem. Dacă doriți să vedeți notificarea din tava de sistem, va trebui să configurați totul astfel încât agentul NAP să nu poată rezolva automat problemele. Dacă reveniți la Windows SHV pe serverul NPS, puteți modifica acest comportament astfel încât să fie necesar un program antivirus. Dacă clientul nu are un program anti-virus, veți primi o notificare în tava de sistem, care vă spune că setările de securitate ale computerului nu îndeplinesc cerințele de securitate a rețelei. Dacă faceți clic pe mesaj, veți vedea o casetă de dialog, după cum se arată în figura de mai jos.
În această ultimă parte a seriei noastre privind utilizarea DHCP cu implementarea PNA, am văzut cum se configurează un server DHCP, apoi configurați setările de politică de grup privind automatizarea politicii de instalare, articolul a încheiat testarea soluțiilor noastre și a constatat că un server DHCP de politică PNA de executare funcționează efectiv. În viitor, intenționez să scriu mai multe articole despre configurația PNA, folosind diferite metode de implementare. Vom lua în considerare opțiuni mai complexe, cum ar fi utilizarea mai multor servere NAP și DHCP (sau servere de implementare). Vedeți-vă!
Trimiteți-le prietenilor: