为×××客户配置NAP

 

 

实施拓扑：

拓扑说明：

     出于安全考虑，公司为×××远程连接的用户计算机进行检查，若远程连接客户端的计算机不符合健康要求，则不能通过×××服务器连接进公司内网进行资源访问，若符合NPS服务器设置的健康要求，通过了的客户端，NPS服务器则会颁发一张健康证书给远程的客户端，远程客户端就可以用这张证书来证明自己是健康的，我们在公司的一台装了windows server 2008 的计算机上安装×××和NPS角色，在NYC-DC1上面安装主域控制器进行身份验证，同时安装证书颁发机构为客户端颁发证书；然后安装一台测试客户端NYC-CL1;

 

任务描述：

l  将NYC-DC1配置为企业根CA

l  将 NYC-SVR1 配置成 NPS 健康策略服务器

l  配置 NYC-SVR1 路由和远程访问服务 （RRAS），配置成 ××× 服务器

l  将 NYC-CL1 配置为××× 和 NAP 客户端

 

 

功能实施：

  将 NYC-DC1 配置为 企业 根 CA

---

 

1.         安装“Active Directory 证书服务” 角色服务。CA 类型。选择“根CA”

2.         配置““证书模板””。添加“Authenticated Users”组的用户有“注册”的权限。

3.         刷新组策略，NYC-DC1也申请一张证书。

 

  将 NYC-SVR1 配置成 NPS 健康策略服务器

---

 

1.         首先刷新组策略

2.         获得计算机证书，用于服务器端 PEAP 认证：

3.         安装 NPS 服务器角色：安装选择“网络策略服务器”和“远程访问服务”

4.         将 NPS 配置成 NAP 健康策略服务器：只是选择在“Windows Vista”选项卡中“已为所有网络连接启用防火墙”。

 

 

5.         配置健康策略。新建健康策略1，策略名称“Compliant”，在“客户端 SHV 检查”，验证已经选择了“客户端通过了所有SHV检查”。在“此健康策略中使用的SHV”中选择“Windows 安全健康验证程序”复选框。

6.         配置健康策略。新建健康策略2，策略名称“NonCompliant”，在“客户端 SHV 检查”，验证已经选择了“客户端未能通过了一个或者多个SHV检查”。在“此健康策略中使用的SHV”中选择“Windows 安全健康验证程序”复选框。

 

7.         为符合计算机配置网络策略：首先禁用两个默认策略，新建“网络策略”，策略名称“Compliant-Full-Access”，指定条件为Compliant，指定访问权限是“已授予访问权限”。NAP 强制是“允许完全网络访问”。

8.         为不符合计算机配置网络策略：新建网络策略，策略名称“Noncompliant-Restricted”，指定条件Noncompliant，“指定访问权限”选择“已授予访问权限”，“NAP 强制”选择“允许受限访问”，“启用客户端计算机的自动更新功能”已选定。

9.         IP 筛选器。在 IPv4 下单击“输入筛选器”，新建“添加 IP 筛选器”，选择“目标网络”。IP 地址“10.10.0.10”，子网掩码“255.255.255.255”。入站筛选器中选择“仅允许下面列出的数据包”。单击“输出筛选器”，IP 地址“10.10.0.10”，子网掩码“255.255.255.255”。然后在“出站筛选器”对话框选择“仅允许下面列出的数据包”。

 

10.  配置连接请求策略：禁用默认策略，新建“连接请求策略”，策略名称“××× connections”。在“网络访问服务器的类型”下选择“远程访问服务器（×××-Dial up）”，指定条件“隧道类型”，选择 PPTP 和L2TP，指定连接请求转发功能，选择“在此服务器上对请求进行身份验证”，

 

 

11.     指定身份验证方法，选择“改写网络策略身份验证设置”。EAP 类型，添加“Microsoft：受保护的 EAP (PEAP)”，和“Microsoft：安全密码 (EAP-MSCHAP v2)”，验证“启用隔离检查”已经选择。

 

  配置 NYC-SVR1 路由和远程访问服务 （RRAS），配置成 ××× 服务器

---

1.         远程访问 (拨号或 ×××)为 IP地址为 192.168.1.10 的网络接口，IP 地址分配范围10.10.0.100~10.10.0.110。

 

2.         禁用Microsoft 路由和远程访问服务策略。

 

 

  允许 NYC-SVR1 上的 ping

---

1.         在nyc-svr1上，在高级安全Windows 防火墙里新建“入站规则”，规则是允许“特定 ICMP 类型”的 “回显请求”，

 

 

  将 NYC-CL1 配置为××× 和 NAP 客户端

---

 

1.         配置 NYC-CL1 启用安全中心：输入“gpedit.msc”，在组策略里启用“启用安全中心（仅限域 PC）”。

2.         启用远程访问隔离强制客户端：输入“napclcfg.msc”，打开启用“远程访问隔离强制客户端”

3.         启用并启动 NAP 代理服务：

 

4.         配置 NYC-CL1 的Internet网段：ip 192.168.1.20  255.255.255.0  dns10.10.0.10，

5.         验证 NYC-CL1的网络连接性：ping 192.168.1.10

6.         配置 ××× 连接：Internet地址“192.168.1.10”。目标名称“Woodgrovebank”。用户名“Administrator”，密码“Pa$$w0rd” 域“Woodgrovebank”，

 

7.         右键单击“WoodGroveBank”，选择属性“登录安全”，选择“使用可扩展的身份验证协议 (EAP)”，然后选择“ 受保护的EAP (PEAP) (启用加密)”。选择身份验证方法“安全密码 (EAP-MSCHAP v2)”。

 

 

 

 

1.         测试 ××× 连接：

 

第一次使用 ××× 连接时，会弹出“验证服务器证书”窗口。

 

2.         等待建立 ××× 连接。

 

3.         在命令行输入“ipconfig /all” 查看 IP 配置，系统隔离状态应该是“未限制”。

 

4.         “ping 10.10.0.10”。应该成功。

 

 

5.         “ping 10.10.0.24”。这也应该成功。

 

 

6.         先断开ＶＰＮ连接，配置 Windows 安全健康验证程序要求病毒防护：再进行连接．会在通知区域看到一条消息说此计算机不符合该网络的要求。该消息因为没有开启防火墙而显示。

 

7.         在命令行输入“ipconfig /all” 查看 IP 配置，系统隔离状态应该是“受限的”。

 

8.         尝试 ping 10.10.0.24。应该不成功。

 

 

9.   尝试 ping 10.10.0.10。这是策略允许访问的惟一服务器。