实施拓扑:
拓扑说明:
出于安全考虑,公司为×××远程连接的用户计算机进行检查,若远程连接客户端的计算机不符合健康要求,则不能通过×××服务器连接进公司内网进行资源访问,若符合NPS服务器设置的健康要求,通过了的客户端,NPS服务器则会颁发一张健康证书给远程的客户端,远程客户端就可以用这张证书来证明自己是健康的,我们在公司的一台装了windows server 2008 的计算机上安装×××和NPS角色,在NYC-DC1上面安装主域控制器进行身份验证,同时安装证书颁发机构为客户端颁发证书;然后安装一台测试客户端NYC-CL1;
任务描述:
l 将NYC-DC1配置为企业根CA
l 将 NYC-SVR1 配置成 NPS 健康策略服务器
l 配置 NYC-SVR1 路由和远程访问服务 (RRAS),配置成 ××× 服务器
l 将 NYC-CL1 配置为××× 和 NAP 客户端
功能实施:
1. 安装“Active Directory 证书服务” 角色服务。CA 类型。选择“根CA”
2. 配置““证书模板””。添加“Authenticated Users”组的用户有“注册”的权限。
3. 刷新组策略,NYC-DC1也申请一张证书。
1. 首先刷新组策略
2. 获得计算机证书,用于服务器端 PEAP 认证:
3. 安装 NPS 服务器角色:安装选择“网络策略服务器”和“远程访问服务”
4. 将 NPS 配置成 NAP 健康策略服务器:只是选择在“Windows Vista”选项卡中“已为所有网络连接启用防火墙”。
5. 配置健康策略。新建健康策略1,策略名称“Compliant”,在“客户端 SHV 检查”,验证已经选择了“客户端通过了所有SHV检查”。在“此健康策略中使用的SHV”中选择“Windows 安全健康验证程序”复选框。
6. 配置健康策略。新建健康策略2,策略名称“NonCompliant”,在“客户端 SHV 检查”,验证已经选择了“客户端未能通过了一个或者多个SHV检查”。在“此健康策略中使用的SHV”中选择“Windows 安全健康验证程序”复选框。
7. 为符合计算机配置网络策略:首先禁用两个默认策略,新建“网络策略”,策略名称“Compliant-Full-Access”,指定条件为Compliant,指定访问权限是“已授予访问权限”。NAP 强制是“允许完全网络访问”。
8. 为不符合计算机配置网络策略:新建网络策略,策略名称“Noncompliant-Restricted”,指定条件Noncompliant,“指定访问权限”选择“已授予访问权限”,“NAP 强制”选择“允许受限访问”,“启用客户端计算机的自动更新功能”已选定。
9. IP 筛选器。在 IPv4 下单击“输入筛选器”,新建“添加 IP 筛选器”,选择“目标网络”。IP 地址“10.10.0.10”,子网掩码“255.255.255.255”。入站筛选器中选择“仅允许下面列出的数据包”。单击“输出筛选器”,IP 地址“10.10.0.10”,子网掩码“255.255.255.255”。然后在“出站筛选器”对话框选择“仅允许下面列出的数据包”。
10. 配置连接请求策略:禁用默认策略,新建“连接请求策略”,策略名称“××× connections”。在“网络访问服务器的类型”下选择“远程访问服务器(×××-Dial up)”,指定条件“隧道类型”,选择 PPTP 和L2TP,指定连接请求转发功能,选择“在此服务器上对请求进行身份验证”,
11. 指定身份验证方法,选择“改写网络策略身份验证设置”。EAP 类型,添加“Microsoft:受保护的 EAP (PEAP)”,和“Microsoft:安全密码 (EAP-MSCHAP v2)”,验证“启用隔离检查”已经选择。
配置 NYC-SVR1 路由和远程访问服务 (RRAS),配置成 ××× 服务器
1. 远程访问 (拨号或 ×××)为 IP地址为 192.168.1.10 的网络接口,IP 地址分配范围10.10.0.100~10.10.0.110。
2. 禁用Microsoft 路由和远程访问服务策略。
1. 在nyc-svr1上,在高级安全Windows 防火墙里新建“入站规则”,规则是允许“特定 ICMP 类型”的 “回显请求”,
1. 配置 NYC-CL1 启用安全中心:输入“gpedit.msc”,在组策略里启用“启用安全中心(仅限域 PC)”。
2. 启用远程访问隔离强制客户端:输入“napclcfg.msc”,打开启用“远程访问隔离强制客户端”
3. 启用并启动 NAP 代理服务:
4. 配置 NYC-CL1 的Internet网段:ip 192.168.1.20 255.255.255.0 dns10.10.0.10,
5. 验证 NYC-CL1的网络连接性:ping 192.168.1.10
6. 配置 ××× 连接:Internet地址“192.168.1.10”。目标名称“Woodgrovebank”。用户名“Administrator”,密码“Pa$$w0rd” 域“Woodgrovebank”,
7. 右键单击“WoodGroveBank”,选择属性“登录安全”,选择“使用可扩展的身份验证协议 (EAP)”,然后选择“ 受保护的EAP (PEAP) (启用加密)”。选择身份验证方法“安全密码 (EAP-MSCHAP v2)”。
1. 测试 ××× 连接:
第一次使用 ××× 连接时,会弹出“验证服务器证书”窗口。
2. 等待建立 ××× 连接。
3. 在命令行输入“ipconfig /all” 查看 IP 配置,系统隔离状态应该是“未限制”。
4. “ping 10.10.0.10”。应该成功。
5. “ping 10.10.0.24”。这也应该成功。
6. 先断开VPN连接,配置 Windows 安全健康验证程序要求病毒防护:再进行连接.会在通知区域看到一条消息说此计算机不符合该网络的要求。该消息因为没有开启防火墙而显示。
7. 在命令行输入“ipconfig /all” 查看 IP 配置,系统隔离状态应该是“受限的”。
8. 尝试 ping 10.10.0.24。应该不成功。
9. 尝试 ping 10.10.0.10。这是策略允许访问的惟一服务器。