Windows Vista NAP 实际配置操作 [本文谢绝转载]
NAP的全称是Network Access Protection,它是Windows Vista和Windows Longhorn Server自带的功能。NAP的作用就是帮助企业管理接入到企业中的计算机必须符合企业的安全标准,只有符合企业标准的计算机才能够访问公司的内部网络,不符合标准的计算机被限制在企业的网络之外。这就有效的保证了企业的网络不会受到某个不安全的计算机接入而受到破坏。NAP特别适合于合作伙伴计算机接入企业网络的场景。
配置环境
要搭建NAP的环境,我们需要两台Windows Longhorn Server Beta 2的计算机,一台Windows XP或者Windows Vista的计算机;Windows XP的计算机必须安装NAPClient软件。
步骤
Number 1
将一台Windows Longhorn Server设置为DC,在此计算机上安装AD、DNS和Network Access Services,在安装Network Access Services时,只选择安装其中的Router and remote access。服务器AD和DNS的安装已经轻车熟路了,在此就不在演示了;Network Access Services只需要安装完成就可以了,不需要单独的配置。这台服务器的名称在此假设为DC,域的名称为NAP.com。
将另外一台Windows Longhorn Server加入到NAP.com域,配置称为成员服务器。然后在其上安装DHCP和Network Access Services。在安装的过程中系统需要您安装WAS和IIS,点击确定,安装完成。环境配置好后,我们需要配置的顺序是先配置DHCP,然后配置Network Policy Service。首先在计算机服务中启动DHCP服务,因为DHCP服务默认是不启动的。如图:
然后在“Administrative tools”中打开DHCP控制台。首先对DHCP进行授权,右键点击服务器,选择“Authorizes”进行授权验证。如图:
接下来,右键点击“IPv4”,然后选择“New Scope”来新建一个范围,范围的IP地址可以根据现实的情况来设置,在此不在叙述。配置完IP范围后,在“IP4”下面会出现一个“Scope options”,右键点击,然后选择“Configure options”,如图:
打开配置对话框,在这个对话框中有两个标签,首先选择“General”。在下面我们需要配置三个选项,首先选择“Router”,然后在下面输入Router的IP地址;其次选择“DNS Server”选项,输入DNS的IP地址;最后选择“DNS Domain Name”,输入域的名称。如图:
然后选择“Advanced”标签,在这里我们配置关于NAP的一些选项。首选,在User class下拉列表中选择“Default Network Access Protection class”,表明我们在配置NAP的选项。然后选择“Router”,在下面输入IP地址;接下来选择“DNS Server”,输入IP地址;最后选择“DNS Domain Name”,在下面输入一个域的名称,如unsecure.nap.com,注意这个域名为什么不是NAP.COM呢,它们不是在一个域内吗?这个域名和之前输入的那个域名并没有什么实际的作用,它们只是方便管理员来区分连到网络中的计算机哪些是安全的,哪些是不安全的。比如,如果计算机是安全的,那么它们就会在NAP.com这个域名下,如果计算机不是安全的,那么它们就会在unsecure.nap.com下。这只是为了方便管理员管理。
这些配置完成后,关闭对话框,回到DHCP控制台。我们现在需要做的就是将NAP在DHCP上开启。右键点击“Scope”,选择“Properties”。
在属性对话框中,选择“Network Access Protection”标签。选中“Enable for this scope”。此时在DHCP上就开启NAP了。
DHCP此时配置完成。
Number 2
在DHCP配置完后,接下来就需要在这个Windows Longhorn Server上配置NAP的服务了。首先在“Administrative Tools”里面打开“Network Policy Server”。如图:
然后展开左边的Network Access Protection,里面有三个子文件夹:System Health Validators,System Health Validators Templates,Remediation Server Group。首先来看第一个,System Health Validators,这个工具的作用就是检测连接到网络中的计算机哪些是不安全的,安全条件用户可以在里面设置,比如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等等。System Health Validators Templates是健康验证模版,在它里面创建两个模版,一个是安全计算机模版,另一个是不安全计算机的模版。System Health Validators工具验证出来的计算机如果是安全的就归类到System Health Validators Templates中那个安全计算机模版中,如果System Health Validators验证计算机是不安全的,那么它就会归类到不安全的这个模版中。
点击左边的“System Health Validators”,在右面的栏目中会列出此文件夹的项目,右击此项目,然后选择“Properties”。如图:
打开属性对话框,如图:
在此对话框中,可以设置计算机的筛选条件。然后在下半部分,用户可以选择当出现一些其它问题时(如网络问题),判断计算机是不是安全的,也可以设置为安全的,只需要点击下拉列表,然后选择“Health”就可以了。点击“Configure”进入设置条件对话框。如图:
在这里面,您可以设置防火墙、杀毒软件、安全更新等。这些是检查计算机是否安全的条件。点击“OK”。
这个子文件夹的内容就设置好了。设置下一个――System Health Validators Templates。在这里面新建模版,右键点击,选择“NEW”,如图:
弹出创建对话框,在里面输入此模版的名称,比如我们创建一个安全计算机的模版,名称为Compliant Computer,在“Template Type”下拉列表选择“Check passes all SHV checks”。表明只有所有的验证条件符合的计算机才是安全的计算机。然后选中验证器Windows Security Health Validator,如图:
同样的方法创建一个计算机安全验证失败的模版。如图:
这次选中“Client fails one or more SHV checks”,它的意思是如果有一个条件不符合安全机制,就认为这个计算机是不安全的。
这一部分就完成了。如果不安全的计算机连接到网络,企业希望它被阻止访问企业内部网,同时也希望它能够上网安装补丁,或者进行安全设置以达到企业的标准。那么就需要一台服务器,在它里面可以包含一些安全的补丁,排除错误的方法等等。这个服务器可以配置一个网站,当不安全的计算机连到内部网络的时候,它会自动的访问这个网站,来知道哪些设置是不安全的,以便修复。这样的服务器就是Remediation Server Group。它可以是一个服务器组。
右键点击“Remediation Server Group”,选择“New”。会弹出一个对话框,输入一个Group Name,这个组名是自己定义的,表示用来修复计算机那个服务器所属的组。如图:
选择“Next”,然后在里面添加服务器,最后点击完成。如图:
这些完成之后,我们需要将已经定制的模版和策略集成在一起。这就需要在Authorization Policies里面设置。右键点击“Authorization Policie”,选择“New”-“Custom”。在此我们进行自定义设置。如图:
接下来,就会弹出一个自定义对话框,首先输入一个策略名称,这个策略是应用到安全的计算机的策略,我们起名为Compliant Computer,然后在“Policy Type”里面选择“Grant Access”,允许访问内部网络。如图:
然后点击“Conditions”标签,打开此标签。如图:
展开左边的树型结构,点击“SHV Templates”,在右边的Existing templates中选择一个策略,在此选择我们以前创建的安全计算机的模版-Compiant Computer。点击“Add”添加这个策略。
然后在左边的属性结构中,点击“Network Access Protection”下的NAP-Capable Computers,如图:
选择“Only computers that are NAP-capable”。此选项表明应用此策略的计算机是支持NAP的计算机。
然后打开最后一个标签“Settings”,如图:
点击“Network Access Protection”下的“NAP Enforcement”,然后选择“Do not enforce”,因为这是安全的计算机,所以我们不强制使用NAP。
同样的方法创建一个针对不安全计算机的策略。不同的是在策略模版中选择的是不安全计算机的那个模版,“Policy Type”仍然是“Grant Access”。同时在“Settings”标签中的NAP Enforcement中选择“Enforce”,强制使用NAP。并且选中“Update non-compliant computers automatically”。
点击左边树型结构的“Remediation Servers”,在里面选中创建的Remediation Group name。如图:
如果你想让不安全的计算机连接到网络上以后,它会自动的进入一个Web站点,里面提供了安全措施的内容,你需要在Remediation Servers上创建这样一个站点,并且在左边树型结构的Troubleshooting URL中输入这个网址。如图:
到此,服务器端的设置就完成了。
Number 3
接下来我们需要配置客户端。如果要使用Windows XP的计算机进行演示,需要在Windows XP上安装一个NAP的客户端,可以在微软站点下载。Windows Vista计算机已经有了NAP的客户端,但是首先需要在Windows Vista计算机服务中将其开启。然后打开MMC,在里面添加“NAP Client Configuration”。如图:
在这里面开启DHCP Quarantine Enforcement Client策略。
NAP的功能还不完善,如果要演示给客户看的话,请将客户端加入到域,然后开启“安全中心”服务(加入到域后默认是关闭安全中心的)。然后关闭防火墙,等一会在机器的右下脚就会弹出一个标志,表明计算机是不安全的,被限制访问内部网络。
Demo完成。
问题:
因为NAP的功能还不是太完善,因此在将客户端连接到网络时经常找不到DHCP服务器,获得不了IP地址。解决办法:首先在服务器的DHCP控制台中将NAP的功能Disable,等加入到域后在开启NAP。