NAP用戶端設定及測試
NAP用戶端需要設定的地方有三項
1.network access protection agent :該服務可以讓NAP用戶送出健康狀態(SOH)
2.DHCP Quarantine Enforcement Client DHCP強制隔離用戶端
3.啟用資訊安全中心:主要是可以在用戶端看到目前安全狀態提示
以上三項設定可以使用群組原則來達成統一設定:
首先開啟AD管理工具,建立一個NAP-Client 群組,會將需要受到NAP規範的電腦帳號加入到該群組來方便管理
將用戶端電腦帳戶加入該群組
建立GPO物件統一設定NAP用戶端
開啟群組原則工具,建立一個GPO物件[NAP用戶]
編輯該GPO物件
電腦原則>Windows設定>安全性設定>系統服務 > 將network access protection agent設定為[自動]
電腦原則>Windows設定>安全性設定>網路存取保護>網路存取保護(NAP)用戶端設定 >強制用戶端將DHCP隔離強制用戶端[啟用]
啟用資訊安全中心
電腦設定 > 系統管理範本 >Windows設定 > 資訊安全中心 > 將[開啟資訊安全中心(僅網域PC)]啟用,主要是可以在用戶端看到目前的安全狀態
GPO安全性篩選設定
將Authenticated Users 移除,並將NAP-Client群組加入,主要是只讓在該群組中的電腦套用設定
並將該GPO物件連結至網域下
用戶端測試
目前環境中有一台win8加入網域的PC,且防火牆狀態是有正常開啟所以是屬於健康的電腦
取得IP後DNS尾碼是lab.com
使用unc路徑可以正常存取檔案伺服器(\\fs\data)
由於NAP網路原則設定不符合標準用戶會自動修復所以若將防火牆關閉過幾秒鐘又會自動啟動
嘗試將不符合標準自動修復功能取消
手動將用戶端防火牆功能關閉此時,此時就會被判定為不健康的電腦,此時資訊安全中心會跳出警告訊息
取得的IP後DNS尾碼會是limit.lab.com
且子網路遮罩會是 255.255.255.255 所以網路存取就會受到限制
無法存取檔案伺服器資源
此時用戶端可以在資訊安全中心中看到目前防火牆是關閉狀態,因為原則設定不會自動修復所以必須要手動啟用防火牆,所以在資訊安全中心中點選[立即開啟]
當防火牆啟動後,取得IP 及DNS尾碼就會恢復正常可以存取完整資源的權限
測試設定補正伺服器
此功用是如果檢查原則有這設定需檢查是否有裝防毒軟體或是否更新Hotfix至最新等等時如果用戶不符合但是需要安裝軟體來修正時會有一台伺服器讓這些不符合健康原則的用戶來連線安裝軟體等等修正後再賦予完整的權限。
開啟NAP健康伺服器管理工具 > 找到網路原則項目 > 點選 NAP DHCP 不符合標準原則
點選 > 選設定索引頁 > 點 NAP 強制 > 補救伺服器群組區塊點選 > 設定
輸入:群組名稱(自訂)
示範設定補正伺服器為DC (192.168.1.1)
簡單測試一下,將該原則調整為不自動修復,再將用戶端防火牆關閉此時已經不符合健康原則,利用指令route print 看到的路由表除了和DHCP(192.168.1.2) 可以溝通外其他都不可以
若此時有設定補正伺服器選項可以看到路由表可以和DC(192.168.1.1)連線進行補正的動作
檢測指令參考:
在NAP用戶端執行以下三個指令檢查NAP相關設定
netsh nap client show state
netsh nap client show config
netsh nap client show group
結語:
透過以上佈署Windows Server 2012 DHCP 整合NAP環境就可以讓企業內部用戶端及網路安全等級提升,但請注意雖然佈署了NAP但是用戶端防毒及防惡意程式等安全性軟體還是不可以忽略的。
參考資料:
2.Windows 2012 NAP (NPS) with DHCP
本篇瀏覽人數: 3069