实战:使用NAP控制DHCP客户端接入网络

9.2 实战:使用NAP控制DHCP客户端接入网络

NAP可以使用DHCP来强制健康策略,可以帮助抵御病毒,蠕虫和恶意软件的攻击。

DHCP强制包含DHCP NAPS ES组件和DHCP NAP EC组件。

使用DHCP 强制,DHCP server可以在计算机尝试租借和更新IP地址强制健康策略要求。

DHCP强制是最容易的强制,因为DHCP强制依赖IP路由表中的条目,所以是最薄弱的限制。

在NAP客户和DHCP服务器之间,NAP客户端使用DHCP message来获得一个合法的IP V4地址设置,并指示它的健康状态, NAP server使用DHCP message分配设置为限制网络的IPV4地址设置,并且指示修正服务器。

企业场景:

微软动手实战室发现经常有一些不满足公司安全策略(例如没有使用最新的病毒库)的计算机接入网络,从公司的DHCP服务器获得TCP/IP配置从而访问公司网络,这带来了巨大的风险。他们决定使用Windows Server 2008最新的网络访问保护(NAP)技术来控制这些客户端从DHCP服务器获得配置,从而达到控制它们对公司内网访问的目标。

实战目标:

u 控制DHCP客户端的接入

u 没有启用Windows 防火墙的计算机从DHCP服务器获得IP地址后只能访问“受限网络”

u 启用Windows防火墙的计算机从DHCP服务器获得IP地址后能够访问“公司网络”和“受限网络”

网络拓扑:

实战:使用NAP控制DHCP客户端接入网络

图 9-2 实战场景

实战环境:

u DCServer服务器安装Windows Server 2008企业版,是ESS.COM域的成员,安装企业根证书颁发机构和DNS服务。

u DHCP-NPS计算机安装Windows Server 2008企业版,是域中的成员,安装DHCP服务器角色。

u “受限网络”的中有一台计算机,IP地址为172.16.0.100,在这里是DCServer的IP地址。

u “公司网络”中有台计算机,IP地址为172.16.0.200,在本实战为FileServer的IP地址。

u Vista计算机安装Vista企业版操作系统,配置为DHCP客户端

9.2.1在DHCPServer上安装和配置网络策略服务

任务:

u 安装网络策略服务

步骤:

1. 如图9-3所示,在DHCP-NPS上,以域管理员身份登录,打开服务器管理器,点击“添加角色”。

2. 如图9-4所示,在出现的开始之前向导对话框,点击“下一步”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-3 添加角色 图 9-4 向导

3. 如图9-5所示,在出现的选择服务器角色对话框,选中“网络策略和访问服务”,点击“下一步”。

4. 如图9-6所示,在出现的网络策略和访问服务器简介对话框,点击“下一步”。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-5 选择角色 图 9-6 网络策略和访问服务简介

5. 如图9-7所示,在出现的选择角色服务对话框,选择“网络策略服务器”,点击“下一步”。

6. 如图9-8所示,在出现的确认安装选择对话框,点击“安装”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-7 选择角色服务 图 9-8 确认安装

7. 如图9-9所示,在出现的安装结果对话框,点击“关闭”。

实战:使用NAP控制DHCP客户端接入网络

图 9-9 安装结果

9.2.2 在DHCP-NPS上配置NAP策略

任务:

u 新建更新服务器组

u 配置系统健康验证服务器

u 使用向导创建NAP for DHCP

步骤:

1. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”,打开网络策略服务器管理工具。

2. 如图9-10所示,右击“更新服务器组”,点击“新建”。

3. 如图9-11所示,在出现的新建更新服务器组对话框,输入组名,点击“添加”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-10 新建更新服务器组 图 9-11 新建更新服务器组

4. 如图9-12所示,在出现的添加新服务器对话框,输入友好名称和服务器的DNS名称,点击“解析”。

5. 如图9-13所示,在新建更新服务器组对话框,点击“添加”。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-12 添加更新服务器 图 9-13 添加更新服务器

6. 如图9-14所示,在出现的添加服务器对话框,输入友好名称和DNS名称,点击“解析”。

7. 如图9-15所示,在新建更新服务器组对话框,点击“确定”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-14 添加更新服务器 图 9-15 添加更新服务器

8. 如图9-16所示,点中“系统健康验证器”,右击“Windows 安全健康验证程序”,点击“属性”。

9. 如图9-17所示,在出现的Windows安全健康验证程序属性对话框,点击“配置”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-16 打开Windows 安全健康验证程序 图 9-17配置Windows 安全健康验证程序

10. 如图9-18所示,在出现的Windows 安全健康验证程序对话框,选中“已为所有网络连接启用防火墙”,点击“确定“。

11. 如图9-19所示,点中“NPS(本地)”,点击“配置NAP”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-18 配置Windows 安全健康验证程序 图 9-19 打开NAP配置向导

12. 如图9-20所示,在出现的选择与NAP一起使用的网络连接方法对话框,选择“主动主机配置协议(DHCP)”,输入策略名称“NAP DHCP”,点击“下一步”。

13. 如图9-21所示,在出现的指定NAP强制服务器运行DHCP服务器对话框,点击“下一步”。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-20 选择连接方法和输入策略名称 图 9-21 NAP向导

14. 在出现的指定DHCP作用域对话框,点击“添加”.

15. 如图9-22所示,在出现的MS-Service类对话框,输入“LocalOffice”,点击“确定”。

16. 如图9-23所示,在出现的配置用户组和计算机组对话框,点击“下一步”。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-22 指定DHCP作用域 图 9-23 NAP向导

17. 如图9-24所示,在出现的指定NAP更新服务器组和URL对话框,选择“UpdateServer1”,点击“下一步”。

18. 如图9-25所示,在出现的定义NAP健康策略对话框,去掉选择“启用客户端计算机自动更新”,选择“拒绝对不具有NAP功能的客户端计算机的完全网络访问权限。只允许访问受限的网络”。(不启用自动更新,能够在测试中看到受限访问的结果)

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-24 选择更新服务器组 图 9-25 定义NAP健康策略

19. 如图9-26所示,在出现的正在完成NAP增强策略和RADIUS客户端配置对话框,点击“完成”。

20. 如图9-27所示,点击“连接请求策略”,可以看到刚才创建的策略。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-26 完成向导 图 9-27 查看连接请求策略

21. 如图9-28所示,点中“网络策略”,可以看到向导创建的网络策略。

22. 如图9-29所示,点击“健康策略”,可以看到向导自动创建的健康策略。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-28 查看网络策略 图 9-29 查看健康策略

9.2.3 配置DHCP支持NAP

任务:

u 配置DHCP支持NAP

u 并为不符合策略的计算机分配特定的DNS域名

步骤:

1. 点击“开始”à“程序”à“管理工具”à“DHCP”,打开DHCP服务管理工具。

2. 如图9-30所示,右击IPv4下的作用域,点击“属性”。

3. 如图9-31所示,在出现的作用域属性对话框,在网络访问保护标签下,选择“对此作用域启用”,选择“使用自定义配置文件”,输入“LocalOffice”

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-30 配置DHCP支持NAP 图 9-31 指定配置文件名

4. 如图9-32所示,右击“作用域选项”,点击“配置选项”。

5. 如图9-33所示,在出现的作用域选项对话框,在高级标签下,用户类别选择“默认的网络访问保护级别”,选中“015 DNS域名”,字符串输入“restrict.ess.com”,点击“确定”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-32 配置作用域选项 图 9-33 为受限的计算机指定DNS域名

6. 如图9-34所示,点击“作用域选项”,在可以看到两个DNS域名。

实战:使用NAP控制DHCP客户端接入网络

图 9-34 配置的作用域选项

9.2.4在Vista技术计算机上测试NAP

任务:

u 关闭Vista计算机的Windows防火墙

u 启用并配置NAP客户端

u 测试NAP阻止计算机访问公司网络

步骤:

1. 在Vista上,以管理员的身份登录。

2. 如图9-35所示,点击“开始”à“设置”à“控制面板”à“Windows防火墙”,在出现的Windows防火墙对话框,点击“启用或关闭Windows防火墙”。

3. 如图9-36所示,在出现的Windows防火墙设置对话框,在常规标签下,选择“关闭”,点击“确定”,关闭Windows防火墙。这样就不符合安全策略了。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-35 更改Windows防火墙 图 9-36 关闭Windows防火墙

4. 如图9-37所示,点击“开始”à“运行”,输入napclcfg.msc,点击“确定”,打开NAP客户端。

5. 如图9-38所示,点中“强制客户端”,右击“DHCP隔离强制客户端”,点击“启用”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-37 打开NAP客户端 图 9-38 启用DHCP隔离强制客户端

6. 如图9-39所示,点击“开始”à“运行”,输入services.msc,打开服务管理工具。

7. 如图9-40所示,右击“Network Access Protection Agent”,点击“属性”。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-39 打开服务管理器 图 9-40 打开服务属性

8. 如图9-41所示,在出现的Network Access Protection Agent的属性对话框,启动类型选择“自动”,启动该服务。

9. 如图9-42所示,点击“开始”à“设置”à“网络连接”,双击“本地连接”,将IP地址和DNS设置成自动获得。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-41 设置为自动启动 图 9-42 配置IP地址和DNS自动获得

10. 如图9-43所示,在命令提示符下输入ipconfig,可以看到获得的IP地址和DNS后缀为restrict.ess.com,点击开始菜单出现的实战:使用NAP控制DHCP客户端接入网络图标,提示此计算机不符合该网络的要求,网络访问受限制。

11. 如图9-44所示,在命令提示符下输入route print 查看路由表。只有到受限网络的路由表,没有到公司网络的路由表,NAP就是通过设置客户端的路由表实现的访问控制。对于网络高手来说,很容易突破该限制。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-43 验证NAP 图 9-44 查看路由表

12. 如图9-45所示,点击开始菜单出现的实战:使用NAP控制DHCP客户端接入网络图标,在出现的网络访问保护对话框,可以看到修结果:管理员必须启用与Windows安全中心兼容的防火墙程序。

13. 如图9-46所示,打开网络和共享中心,可以看到提示“网络访问可能受限制”。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-45 查看受限的详细信息 图 9-46 从网络和共享中心查看受限状态

14. 如图9-47所示,在命令提示符下,测试到UpdateServer的连通性,测试到公司网络的连通性。在受限访问情况下只能访问,更新服务器组定义的IP地址。

15. 如图9-48所示,启用防火墙。

实战:使用NAP控制DHCP客户端接入网络实战:使用NAP控制DHCP客户端接入网络

图 9-47 测试到受限网络和公司网络连通性 图 9-48 启用Windows防火墙

16. 如图9-49所示,很快可以看到提示提示“此计算机符合该网络的要求,您具有完全的网络访问权限”。同时输入ipconfig /all可以看到符合安全后获得的DNS后缀。

17. 如图9-50所示,在命令提示符下测试到公司网络的连通性。发现能够和公司网络通信。

实战:使用NAP控制DHCP客户端接入网络 实战:使用NAP控制DHCP客户端接入网络

图 9-49 符合安全策略后的变化 图 9-50 测试到公司网络连通性




本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131972,如需转载请自行联系原作者

上一篇:《Ansible权威指南》一1.1 Ansible是什么


下一篇:《Ansible权威指南》一1.2 Ansible发展史