Терминология Windows Server 2008 r2 nap
Для понимания концепций NAP в Windows Server 2008 R2 важно разобраться в описанных ниже терминах.
Клиент внедрения (Enforcement Client — ЕС). Клиент, присутствующий в инфраструктуре NAP. Windows 7, Windows Vista и Windows XP SP3 поддерживают NAP и могут иметь топологию ЕС в NAP, т. к. во всех этих системах имеется компонент System Health Agent (Агент работоспособности системы).
Сервер внедрения (Enforcement Server — ES). Веб-сервер в составе инфраструктуры NAP, обеспечивающий выполнение политик. В Windows Server 2008 R2 это роль сервера сетевых политик (Network Policy Server — NPS).* Агент работоспособности системы (System Health Agent — SHA). Непосредственно агент, отсылающий информацию о работоспособности ES-серверам NAP. В Windows 7, Windows Vista и Windows ХР SP3 это верификатор работоспособности системы (System Health Validator — SHA) Windows — служба, выполняющаяся на каждом клиенте и следящая за локальным центром безопасности Windows (Windows Security Center) на компьютерах.
Верификатор работоспособности системы (System Health Validator — SHV). Это компонент NAP, работающий на стороне сервера, который выполняет обработку информации, получаемой от агентов SHA, и внедрение политик. SHV из Windows Server 2008 R2 допускает полную интеграцию с продуктами NAP других поставщиков, поскольку основан на открытых стандартах.
Сервер исправления (Remediation Server). Сервер, который становится доступным клиентам, не прошедшим тесты политики NAP. Эти серверы обычно выполняют службы, с помощью которых клиенты могут быть приведены в соответствие с политиками: серверы WSUS, DNS-серверы и серверы центра управления конфигурацией системы (System Center Configuration Manager).
Цель этой работы
В данной практической работе рассматривается реализация NAP для DHCP-управляемых соединений. использование NAP в сочетании с DHCP позволяет защитить сеть от всех потенциально небезопасных клиентов, управляемых через DHCP, в том числе NAP-совместимых настольных компьютеров - резидентов.
К NAP – совместимым ОС относятся Windows SP2, SP3, Vista, 7 с программой NAP – клиента. Более старые ОС не поддерживаются, т.к. в NAP используется информация от компонента Windows Security Center (WSC).
Предварительные требования
Во-первых, необходима инфраструктура Active Directory (AD) с одним или несколькими контролёрами домена Windows Server 2008, т.к. прошлые версии службы DHCP (в частности, версия Windows Server 2003) не распознают NAP.
Во-вторых, упражнения выполняются на Win2008-R2 с использованием машины Win2008R2 (компьютер WS2008-DC).
В-третьих, требуется по крайней мере один статический адрес для этого компьютера.
Работа для выполнения на виртуальной машине
Упражнение 1. Установка ролей Network Access Services
Откройте окно «Диспетчер сервера»/Роли/Добавить роли (рис. 1)
рис.
1
В появившемся окне выполните следующие действия
Раздел |
Ваши действия |
Перед началом работы |
|
Выбор роли сервера |
|
Службы политики сети и доступа (рис.2) |
|
Службы ролей (рис. 3) |
|
Подтверждение |
|
Результаты установки (рис. 4) |
|
рис.
2
рис.
3
рис.
4
Упражнение 2. Настройка политик состояния Проверки допустимости системы (System Health Validator)
Перед выполнением упражнения перезагрузите виртуальную машину.
В дереве Диспетчер сервера раскройте пункт Роли, подпункт Службы политики сети и доступа и нажмите Перейти в консоль NPS.(рис. 5)
рис.
5
В открывшейся консоли NPS необходимо настроить параметры. Нажмите Дополнительная настройка.
Средства проверки работоспособности и Политики работоспособности, чтобы подготовить подходящую сетевую политику:
Компонент Средства проверки работоспособности задает требования к настройкам безопасности клиентов, которые обращаются к сети,
Политики работоспособности определяет различные конфигурации для NAP-совместимых клиентов.
В левой части окна, в разделе дерева разверните NPS(локально). Далее разверните Защита доступа к сети. Выберите Средство проверки работоспособности системы безопасности Windows. Следует дважды щелкнуть на этом элементе в разделе центрального окна, чтобы открыть окно настройки.(рис.6)
рис.6
В окне свойства/параметры нужно щелкнуть на кнопке Настроить…, чтобы увидеть требования к безопасности. Можно просто установить соответствующие флажки, назначив требования к клиентам.
В целях тестирования установим только флажок брандмауэра как для Vista, так и для ХР,
Все остальные флажки необходимо снять. Два раза нажмите ОК, чтобы завершить настройку.
Упражнение 3. Шаблоны проверки исправности системы (System Health Validator Template)
Шаблоны проверки исправности системы используются для определения того, что понимается под исправным состоянием компьютера. Шаблоны проверки получают результаты проверок SHV и, основываясь на числе успешных и не успешных из этих пройденных проверок, сообщают, является компьютер допустимым или недопустимым.
В левой части экрана раскройте раздел Политики.
Правой кнопкой щелкните в левом окне на Политики работоспособности, и выберите Новый документ.
Для начала подготовим политику для соответствующих клиентов.
Имя политики |
|
Клиенты, проверяемые SHV |
|
Выбор параметра Клиент пороходит все проверки SHV означает, что корректным считается клиент, который соответствует всем требованиям, заданным в SHV (в данном примере — только требование к брандмауэру).
SHV, используемые в политике работоспособности |
|
Первая политика настроена. Следующий этап — создать политику для компьютеров, не соответствующих требованиям безопасности.
Задание: Повторите шаги, чтобы создать новую политику состояния, которую можно назвать noncompliant. В раскрывающемся меню нужно выбрать пункт Клиент проходит одну или несколько проверок SHV; и результате клиент, у которого выявлен хотя бы один некорректный компонент, считаете несоответствующим. Наконец, следует установить флажок Средство работоспособности системы безопасности Windows Средство работоспособности системы безопасности Windows и нажать ОК. (рис. 7)
рис.
7
Упражнение 4. Создание сетевых политик для NAP. Создание политики для несоответствующих их клиентов.
После того как будет завершена настройка параметров SHV и Политики работоспособности, можно настроить сетевые политики.
В дереве консоли выберите пункт Сетевые политики.
Проверьте, чтобы две политики были отключены. По умолчанию в окне Имя политики. Две стандартные политики:
Подключения к серверу маршрутизации и удаленного доступа (Microsoft)
Подключения к другим серверам доступа
Создайте новую политику (нажмите правой кнопкой мышки по Сетевые политики. И выберите Новый документ).
Имя политики |
|
Способ сетевого подключения |
|
Укажите условия |
|
|
|
|
|
Укажите разрешение доступа |
|
На первый взгляд логично отказать в доступе некорректным клиентам, но в действительности полностью лишать их доступа неправильно. Предпочтительно предоставить им ограниченный доступ лишь к тем компьютерам, которые помогут повысить их безопасность (т. е. серверам с программами коррекции).
Настройка методов проверки подлинности |
|
Поскольку выполняется настройка политики для проверки состояния безопасности клиентов через DHCP и так как клиенты DHCP не проходят проверку подлинности на сервере DHCP, настраивать методы проверки подлинности не нужно.
Настройка ограничений |
|
Настройка параметров |
|
В режиме ограниченного доступа клиенты помещаются в карантин и получают доступ только к серверам коррекции. Из этого окна можно настроить серверы коррекции: достаточно щелкнуть на кнопке Настроить.., чтобы создать группу Remediation Server, и ввести IP-адреса для компьютеров.
Благодаря Разрешенному ограниченному доступу и Автообновлению клиентских компьютеров клиентский компонент может подключаться автоматически обновляет состояние системы безопасности компьютера. (Например, отключенный брандмауэр будет включаться автоматически).
На странице Completing New Network Policy щелкните Finish для завершения настройки сетевой политики для компьютеров, соответствующих требованиям вашей сети.
Завершение создания политики сети |
|
Упражнение 5. Создание политики для корректных клиентов.
После того как будет готова политика для несоответствующих клиентов, необходимо составить политику для корректных клиентов.
Задание:
Выполните те же шаги, чтобы создать новую сетевую политику, дав ей имя compliant full.
На странице «Укажите условия» выберите политику состояния compliant.
Настройка параметров |
Принудительное использование NAP Разрешить полный доступ к сети |
Все другие параметры — такие же, как в политике для некорректных клиентов.
Затем требуется настроить DHCP
Упражнение 6. Настройка группы серверов исправления (Remediation Server Groups)
Группы серверов исправления (Remediation Server Groups) используются для указания ресурсов, доступ к которым разрешен недопустимому компьютеру. В эти группы часто включаются такие ресурсы, как WSUS или серверы SMS (Systems Management Server — сервер управления системами), а также серверы для обновления антивируса. Крайне важно включить не только сами серверы, но также используемые клиентами для их поиска серверы разрешения имен.
Поскольку, чтобы для автоматических обновлений использовать сервер wsus.class.ru, клиенты CLASS настраиваются с помощью групповой политики, в группу серверов исправления необходимо включить не только IP- адрес сервера WSUS, но также адрес сервера DNS, используемого клиентами для преобразования полного доменного имени (FQDN) в числовой IP-адрес. Не имея доступа к ресурсам разрешения этих имен (которые могут быть как DNS, так и WINS, в зависимости от настройки клиентов), клиенты не смогут разрешить адрес ресурсов исправления и, следовательно, не смогут получить к ним доступ.
Ниже приведены параметры DNS и IP для рассматриваемого примера: