Windows Server 2012 DHCP整合NAP環境建置(四)NAP用戶端設定及測試

NAP用戶端設定及測試

NAP用戶端需要設定的地方有三項

1.network access protection agent :該服務可以讓NAP用戶送出健康狀態(SOH)

2.DHCP Quarantine Enforcement Client DHCP強制隔離用戶端

3.啟用資訊安全中心:主要是可以在用戶端看到目前安全狀態提示

以上三項設定可以使用群組原則來達成統一設定:

 

首先開啟AD管理工具,建立一個NAP-Client 群組,會將需要受到NAP規範的電腦帳號加入到該群組來方便管理

NPS51

將用戶端電腦帳戶加入該群組

NPS52

建立GPO物件統一設定NAP用戶端

開啟群組原則工具,建立一個GPO物件[NAP用戶]

NPS53

編輯該GPO物件

電腦原則>Windows設定>安全性設定>系統服務 > 將network access protection agent設定為[自動]

NPS54

電腦原則>Windows設定>安全性設定>網路存取保護>網路存取保護(NAP)用戶端設定 >強制用戶端將DHCP隔離強制用戶端[啟用]

NPS55

啟用資訊安全中心

電腦設定 > 系統管理範本 >Windows設定 > 資訊安全中心 > 將[開啟資訊安全中心(僅網域PC)]啟用,主要是可以在用戶端看到目前的安全狀態

NPS56

GPO安全性篩選設定

將Authenticated Users 移除,並將NAP-Client群組加入,主要是只讓在該群組中的電腦套用設定

NPS57

並將該GPO物件連結至網域下

NPS58

用戶端測試

目前環境中有一台win8加入網域的PC,且防火牆狀態是有正常開啟所以是屬於健康的電腦
取得IP後DNS尾碼是lab.com

NPS59

使用unc路徑可以正常存取檔案伺服器(\\fs\data)

NPS60

由於NAP網路原則設定不符合標準用戶會自動修復所以若將防火牆關閉過幾秒鐘又會自動啟動

嘗試將不符合標準自動修復功能取消

NPS61

手動將用戶端防火牆功能關閉此時,此時就會被判定為不健康的電腦,此時資訊安全中心會跳出警告訊息

NPS64

取得的IP後DNS尾碼會是limit.lab.com

且子網路遮罩會是 255.255.255.255 所以網路存取就會受到限制

NPS62

無法存取檔案伺服器資源

NPS63

此時用戶端可以在資訊安全中心中看到目前防火牆是關閉狀態,因為原則設定不會自動修復所以必須要手動啟用防火牆,所以在資訊安全中心中點選[立即開啟]

NPS65

當防火牆啟動後,取得IP 及DNS尾碼就會恢復正常可以存取完整資源的權限

NPS66

測試設定補正伺服器

此功用是如果檢查原則有這設定需檢查是否有裝防毒軟體或是否更新Hotfix至最新等等時如果用戶不符合但是需要安裝軟體來修正時會有一台伺服器讓這些不符合健康原則的用戶來連線安裝軟體等等修正後再賦予完整的權限。

開啟NAP健康伺服器管理工具 > 找到網路原則項目 > 點選 NAP DHCP 不符合標準原則

NPS67

點選 > 選設定索引頁 > 點 NAP 強制 > 補救伺服器群組區塊點選 > 設定

NPS68

輸入:群組名稱(自訂)

示範設定補正伺服器為DC (192.168.1.1)

NPS69

NPS70

簡單測試一下,將該原則調整為不自動修復,再將用戶端防火牆關閉此時已經不符合健康原則,利用指令route print 看到的路由表除了和DHCP(192.168.1.2) 可以溝通外其他都不可以

NPS71

若此時有設定補正伺服器選項可以看到路由表可以和DC(192.168.1.1)連線進行補正的動作

NPS72

檢測指令參考:

在NAP用戶端執行以下三個指令檢查NAP相關設定

netsh nap client show state

netsh nap client show config

netsh nap client show group

結語:

透過以上佈署Windows Server 2012 DHCP 整合NAP環境就可以讓企業內部用戶端及網路安全等級提升,但請注意雖然佈署了NAP但是用戶端防毒及防惡意程式等安全性軟體還是不可以忽略的。

參考資料:

1.DHCP 的 NAP 強制

2.Windows 2012 NAP (NPS) with DHCP

3.認識網路存取保護(NAP)



本篇瀏覽人數: 3069
分類: Windows Server 2012 筆記。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *