当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows Server2008的NAP配置攻略

Windows服务器
Windows Server 2003 R2 Beta 2将公测
Windows 2003组策略和安全模板的应用
Windows 2003 64位正式版抢先体验
微软发布WinServer2003 R2 Beta2
Windows Server 2003 安全配置实战演习
快速关闭Windows 2003的三种方法
windows 2003服务器防止海洋木马的安全设置
制作无盘Windows 2003之无忧Ghost文件
为Windows 2003加装视频压缩
安全配置向导为Win2003打造“铜墙铁壁”
用Win 2003 SP1向导功能打造安全服务器
在Win 2003系统中挖掘免费刻录软件
Windows 2003优化系列之系统服务的开关
发扬DIY精神 为Windows 2003移植系统还原
活学活用Win2003分区增容功能
轻松管理Win 2003的“远程桌面”
自动管理Windows 2003好用的“远程桌面”
活学活用Windows Server 2003分区增容功能
使用Web接口远程维护Win2003服务器
教你一招:Windows2003系统优化大有玄机

Windows服务器 中的 Windows Server2008的NAP配置攻略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 73 ::
收藏到网摘: n/a

今天的文章中,我们讨论的话题是Windos server 2008的NAP(Network Access Protection网络访问保护)功能,如果大家关注Windos server 2008的新技术就会发现,现在有关NAP的文章可以说是多如牛毛,但是仔细看来我们不难发现,这类文章更多的是集中在NAP功能的基本描述,而对于具体的使用体验以及配置技巧却很少提及,今天我们就来为大家解决这个问题。

在全新的Windos server 2008 中我们可以看到许多针对原先Windows 系统所存在的安全隐患的改进,NAP (Network Access Protection网络访问保护)就是其中非常重要的一项,这个技术可以有效的保证远程的连入计算机的安全。

NAP可提高移动计算机和内部网络的安全性。通常,带着计算机旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时,连接时间可能会非常短,以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名。因此,移动计算机所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性,因为它可确保在用户连接到网络前安装最新的更新内容。

在整个保护过程中,NAP针对存在风险的客户提供了3种解决方案,第一种是通过策略限制他们在内网中的访问,第二种是将这些用户隔离到一个指定的网段以等待下一步处理,而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成,比如SMS (Systems Management Server) ,同时这些受限的用户也可以通过策略配置的URL去访问到公司内网的一些补丁分发服务器等等。

在NAP中,Windos server 2008 扩展了Windows Server 2003中的网络访问隔离功能,原先的这一特性只能针对远程访问的用户加以防护,而在NAP中,Windos server 2008 可以保护所有通过VPN、DHCP以及IPsec进行连接的通信,由于篇幅有限,我们在这篇文章中之针对DHCP的客户端进行讲解。

要搭建NAP的环境,我们需要两台Windos server 2008 Beta 2的计算机,一台Windows XP或者Windows Vista的计算机;如果客户端是Windows XP的计算机,那么还必须安装NAPClient软件。

第一步:配置全新的DHCP服务器

要想实现NAP功能,我们首先要有一个域环境,我们选择其中的一台Windos server 2008,将它设置为DC,域的名称为NAP.com。并在此计算机上安装AD、DNS和Network Access Services,在安装Network Access Services时,只选择安装其中的Router and remote access。

将另外一台Windos server 2008加入到NAP.com域,配置称为成员服务器。然后在其上安装DHCP和Network Access Services。在安装的过程中系统将会询问是否安装WAS和IIS,点击确定,安装完成。环境配置好后,我们需要配置的顺序是先配置DHCP,然后配置Network Policy Service。首先在计算机服务中启动DHCP服务,因为DHCP服务默认是不启动的。然后在“Administrative tools”中打开DHCP控制台。首先对DHCP进行授权,右键点击服务器,选择“Authorizes”进行授权验证。接下来,右键点击“IPv4”,然后选择“New Scope”来新建一个范围,范围的IP地址可以根据现实的情况来设置。配置完IP范围后,在“IP4”下面会出现一个“Scope options”,右键点击,然后选择“Configure options”,打开配置对话框,在这个对话框中有两个标签,首先选择“General”。在下面我们需要配置三个选项,首先选择“Router”,然后在下面输入Router的IP地址;其次选择“DNS Server”选项,输入DNS的IP地址;最后选择“DNS Domain Name”,输入域的名称。如图:

然后选择“Advanced”标签,在这里我们配置关于NAP的一些选项。首选,在User class下拉列表中选择“Default Network Access Protection Class”,表明我们在配置NAP的选项。然后选择“Router”,在下面输入IP地址;接下来选择“DNS Server”,输入IP地址;最后选择“DNS Domain Name”,在下面输入一个域的名称,如unsecure.nap.com,注意这个域名和之前输入的那个域名并没有什么实际的作用,它们只是方便管理员来区分连到网络中的计算机哪些是安全的,哪些是不安全的。比如,如果计算机是安全的,那么它们就会在NAP.com这个域名下,如果计算机不是安全的,那么它们就会在unsecure.nap.com下。这只是为了方便管理员管理。

这些配置完成后,关闭对话框,回到DHCP控制台。我们现在需要做的就是将NAP在DHCP上开启。右键点击“Scope”,选择“Properties”。在属性对话框中,选择“Network Access Protection”标签。选中“Enable for this scope”。此时在DHCP上就开启NAP了。

第二步:实现我们的NAP配置

在DHCP配置完后,接下来就需要在这个Windos server 2008上配置NAP的服务了。首先在“Administrative Tools”里面打开“Network Policy Server”。如图:

然后展开左边的Network Access Protection,里面有三个子文件夹:System Health Validators,System Health Validators Templates,Remediation Server Group。首先来看第一个,System Health Validators,这个工具的作用就是检测连接到网络中的计算机哪些是不安全的,安全条件用户可以在里面设置,比如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等等。System Health Validators Templates是健康验证模版,在它里面创建两个模版,一个是安全计算机模版,另一个是不安全计算机的模版。System Health Validators工具验证出来的计算机如果是安全的就归类到System Health Validators Templates中那个安全计算机模版中,如果System Health Validators验证计算机是不安全的,那么它就会归类到不安全的这个模版中。

点击左边的“System Health Validators”,在右面的栏目中会列出此文件夹的项目,右击此项目,然后选择“Properties”。打开属性对话框,如图:

在此对话框中,可以设置计算机的筛选条件。然后在下半部分,用户可以选择当出现一些其它问题时(如网络问题),判断计算机是不是安全的,也可以设置为安全的,只需要点击下拉列表,然后选择“Health”就可以了。点击“Configure”进入设置条件对话框。如图:

在这里面,用户可以设置防火墙、杀毒软件、安全更新等。这些是检查计算机是否安全的条件。点击“OK”。这个子文件夹的内容就设置好了。设置下一个――System Health Validators Templates。在这里面新建模版,右键点击,选择“NEW”,如图:弹出创建对话框,在里面输入此模版的名称,比如我们创建一个安全计算机的模版,名称为Compliant Computer,在“Template Type”下拉列表选择“Check passes all SHV checks”。表明只有所有的验证条件符合的计算机才是安全的计算机。然后选中验证器Windows Security Health Validator,如图:

同样的方法创建一个计算机安全验证失败的模版。这次选中“Client fails one or more SHV checks”,这个选项的意思是如果有一个条件不符合安全机制,就认为这个计算机是不安全的。

这一部分完成后,如果不安全的计算机连接到网络,企业希望它被阻止访问企业内部网,同时也希望它能够上网安装补丁,或者进行安全设置以达到企业的标准。那么就需要一台服务器,在它里面可以包含一些安全的补丁,排除错误的方法等等。这个服务器可以配置一个网站,当不安全的计算机连到内部网络的时候,它会自动的访问这个网站,来知道哪些设置是不安全的,以便修复。这样的服务器就是Remediation Server Group。它也可以是一个服务器组。

右键点击“Remediation Server Group”,选择“New”。会弹出一个对话框,输入一个Group Name,这个组名是自己定义的,表示用来修复计算机那个服务器所属的组。选择“Next”,然后在里面添加服务器,最后点击完成。

这些完成之后,我们需要将已经定制的模版和策略集成在一起。这就需要在Authorization Policies里面设置。右键点击“Authorization Policie”,选择“New”-“Custom”。在此我们进行自定义设置。接下来,就会弹出一个自定义对话框,首先输入一个策略名称,这个策略是应用到安全的计算机的策略,我们起名为Compliant Computer,然后在“Policy Type”里面选择“Grant Access”,允许访问内部网络。如图:

然后点击“Conditions”标签,打开此标签。展开左边的树型结构,点击“SHV Templates”,在右边的Existing templates中选择一个策略,在此选择我们以前创建的安全计算机的模版-Compiant Computer。点击“Add”添加这个策略。

然后在左边的属性结构中,点击“Network Access Protection”下的NAP-Capable Computers,如图:

选择“Only computers that are NAP-capable”。此选项表明应用此策略的计算机是支持NAP的计算机。然后打开最后一个标签“Settings”,点击“Network Access Protection”下的“NAP Enforcement”,然后选择“Do not enforce”,因为这是安全的计算机,所以我们不强制使用NAP。

同样的方法创建一个针对不安全计算机的策略。不同的是在策略模版中选择的是不安全计算机的那个模版,“Policy Type”仍然是“Grant Access”。同时在“Settings”标签中的NAP Enforcement中选择“Enforce”,强制使用NAP。并且选中“Update non-compliant computers automatically”。

点击左侧的“Remediation Servers”,在里面选中创建的Remediation Group name。如果你想让不安全的计算机连接到网络上以后,自动的进入一个提供了安全措施的Web站点,你需要在Remediation Servers上创建这样一个站点,并且在左边树型结构的Troubleshooting URL中输入这个网址。到此,服务器端的设置就完成了。

第三步:将客户端加入保护范畴

接下来我们需要配置客户端。如果要使用Windows XP的计算机进行演示,需要在Windows XP上安装一个NAP的客户端,可以在微软站点下载。Windows Vista计算机已经有了NAP的客户端,但是首先需要在Windows Vista计算机服务中将其开启。然后打开MMC,在里面添加“NAP Client Configuration”。如图:

在这里面开启DHCP Quarantine Enforcement Client策略。

至此NAP DHCP保护的配置工作就全部完成了,如果配置没有问题的话,用户可以将客户端加入到域,然后开启“安全中心”服务(加入到域后默认是关闭安全中心的)。然后关闭防火墙,等一会在机器的右下角就会弹出一个标志,表明计算机是不安全的,被限制访问内部网络。而重启后我们可以发现防火墙会自动开启。

NAP的功能对于微软来说,的确是一次不小的挑战与革新,毕竟对于整个网络环境的保护,硬件厂商还是有着无可比拟的先天优势,事实上,很多的硬件厂商都已经有了类似于NAP的安全防护功能,有的甚至比微软的技术更加领先,对于网络环境的保护已经成为软硬件厂商激烈竞争的新领域,随着Windos server 2008全新测试版本的推出,NAP另外的几种保护模式也将逐渐成形,到时我们就可以看到更加丰富多彩的网络访问保护了。