Win2008 R2之DA實戰(zhàn):DC FOR NAP準(zhǔn)備篇
本篇為上篇Direct Access成功搭建之后(點擊),添加IPsec NAP功能,為Direct Access客戶端提供安全加固方案,保證內(nèi)部網(wǎng)絡(luò)安全。
一 、NAP(Network Access Protection)功能簡述
網(wǎng)絡(luò)訪問保護(hù) (NAP)。NAP 是一種創(chuàng)建、強制和修正客戶端健康策略的技術(shù),包含在 Windows Vista? 客戶端操作系統(tǒng)和 Windows Server 2008 操作系統(tǒng)中。通過 NAP,系統(tǒng)管理員可以設(shè)置并自動強制運行狀況策略,策略中可以包含軟件要求、安全更新要求、計算機配置要求以及其他設(shè)置。可以為不符合健康策略的客戶端計算機提供受限網(wǎng)絡(luò)訪問,直到更新其配置并且使其符合策略時為止。根據(jù)您選擇部署 NAP 的方式,可以自動更新不兼容的客戶端,使用戶可以快速重新獲得完全網(wǎng)絡(luò)訪問,而不必手動更新或重新配置其計算機。
更多詳情,請見http://www.ixpub.net/viewthread.php?tid=1038193&extra=
二、IPsec NAP網(wǎng)絡(luò)概念簡述
IPsec NAP網(wǎng)絡(luò)環(huán)境把網(wǎng)絡(luò)邏輯的分成3個網(wǎng)絡(luò),分別是安全網(wǎng)絡(luò)、邊界網(wǎng)絡(luò)、受限網(wǎng)絡(luò)。
" 安全網(wǎng)絡(luò):此網(wǎng)絡(luò)的計算機,符合含有一個系統(tǒng)健康證書并且可以使用IPsec進(jìn)行安全通信。通常Active Directory 域中的大多數(shù)服務(wù)器例如證書服務(wù)和郵件服務(wù)器處于安全網(wǎng)絡(luò)中。
" 邊界網(wǎng)絡(luò):此網(wǎng)絡(luò)中的計算機含有系統(tǒng)健康證書,但是需要能訪問整個網(wǎng)絡(luò)資源,因此不需要進(jìn)行認(rèn)證和IPsec保護(hù)通信,通常這個網(wǎng)絡(luò)類型中的計算機需要評估和更新NAP客戶端計算機的系統(tǒng)健康狀態(tài),所以NPS和HRA服務(wù)器處在這個網(wǎng)絡(luò)中,但是需要對他們進(jìn)行嚴(yán)格控制,以免對內(nèi)部網(wǎng)絡(luò)帶來安全威脅。
" 受限網(wǎng)絡(luò):處于此網(wǎng)絡(luò)中的計算機沒有經(jīng)過安全健康檢查,并且沒有系統(tǒng)健康證書,在獲得補救服務(wù)器更新之前,網(wǎng)絡(luò)訪問受限制。
#p#
三、IPsec NAP工作過程簡述
1、 NAP客戶端發(fā)送當(dāng)前健康狀態(tài)至HRA(健康注冊頒發(fā)機構(gòu));
2、 HRA發(fā)送客戶端的健康狀態(tài)至健康策略服務(wù)器(NPS);
3、 健康策略服務(wù)器評估客戶端的當(dāng)前健康狀態(tài)信息,以決定其是否符合健康策略,并把結(jié)果發(fā)回給SHA,如果不符合,在發(fā)回的消息中也包含健康補救(Remediation) 的指令;
4、 如果符合健康策略,則HRA為NAP客戶端分發(fā)健康證書,則客戶端可以使用此證書與其他符合健康策略的計算機開始初始化IPSEC連接;
5、 如果不符合健康策略,HRA通知NAP客戶端如何校正其健康狀態(tài)并不發(fā)給客戶端健康證書,因此客戶端不能初始化IPSEC連接,但是客戶端可以與補救服務(wù)器通信,以校正客戶端的健康狀態(tài);
6、 NAP 客戶端發(fā)送相關(guān)的更新請求至補救服務(wù)器;
7、 補救服務(wù)器提供符合健康策略的更新給NAP 客戶端,NAP客戶端更新其健康狀態(tài);
8、 NAP客戶端發(fā)送其更新過的健康狀態(tài)信息至SHA,SHA發(fā)送客戶端的健康狀態(tài)信息至NAP健康策略服務(wù)器;
9、 假設(shè)其符合健康狀態(tài)策略,則發(fā)送結(jié)果至SHA,并頒發(fā)健康證書給客戶端,客戶端可以使用此證書開始IPSEC通信。
四、環(huán)境描述
此次實驗依托前次Direct Access 實驗環(huán)境,只需要額外添加一臺NPS服務(wù)器,具體設(shè)置如下:
軟件配置:
" NPS1:安裝有Windows server 2008 R2的成員服務(wù)器,同時為NPS和HRA角色
小貼士:NPS為網(wǎng)絡(luò)策略服務(wù)器,可以為客戶端運行狀況、連接請求身份驗證和連接請求授權(quán)創(chuàng)建并強制使用組織范圍的網(wǎng)絡(luò)訪問策略。
HRA為健康注冊機構(gòu),作為一個注冊機構(gòu),HRA 負(fù)責(zé)驗證客戶端憑據(jù),然后將證書申請轉(zhuǎn)發(fā)到代表客戶端的證書機構(gòu) (CA)。通過檢查網(wǎng)絡(luò)策略服務(wù)器 (NPS),HRA 可驗證證書申請以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。
網(wǎng)絡(luò)配置:
" NPS1:10.0.0.4/24(CIDR表示法,同255.255.255.0)
NAP軟件需求:
" NAP服務(wù)器:Windows Server 2008或更高版本。
" NAP客戶端:Windows XP SP3或更高版本,Windows Vista Business或更高版本,Windows 7或更高版本。
" Active Directory:至少有基于Windows server 2003 的DC,并為GC角色.
注意:此環(huán)境中所有服務(wù)器均使用Windows server 2008 R2企業(yè)版,客戶端使用Windows 7旗艦版。
#p#
五、前期準(zhǔn)備:服務(wù)器配置
DC1配置
1. 在AD中創(chuàng)建一個全局安全組:IPsec NAP Examption,將NPS、HRA及DC服務(wù)器放入此組,以標(biāo)識不管他們的健康狀況如何,都可以獲得一個系統(tǒng)健康證書,與網(wǎng)絡(luò)內(nèi)的任何計算機通信,并處于邊界網(wǎng)絡(luò)中。此實驗需要將NPS1;DA1;APP1;DC1放入該組。
2. 配置證書模板,在【證書模板】中,復(fù)制工作站證書,起名:系統(tǒng)健康證書。如圖1
3. 切換到【擴展】選項卡中,編輯【應(yīng)用程序策略】,點擊【添加】,找到【系統(tǒng)健康身份驗證】,點擊【確定】,如圖2.雙擊【系統(tǒng)健康身份驗證】確認(rèn)其對象標(biāo)識符為:1.3.6.1.4.1.311.47.1.1.如圖3
4. 回到新模板屬性中,切換到【安全】選項卡,添加【IPsec NAP Examption】安全組,并賦予【讀取、注冊、自動注冊】權(quán)限,這樣改組成員就不需要檢查系統(tǒng)健康狀態(tài)而獲取到一個系統(tǒng)健康證書了。如圖4
5. 在證書模板中新建剛才創(chuàng)建的【系統(tǒng)健康證書】。如圖5
6. 配置組策略,新建一個【NAP Policy】GPO,啟用其證書自動注冊功能。依次展開【NAP Policy】-【計算機配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【公鑰策略】,在右側(cè)的明細(xì)中,雙擊【證書服務(wù)器客戶端-自動注冊】,將其啟用,并勾選下面兩個選項。如圖6
7. 此時在【IPsec NAP Examption】組中的計算機使用【gpupdate /force】強制刷新組策略,即可看到自動頒發(fā)的系統(tǒng)健康證書。圖9中為NPS服務(wù)器自動申請到得證書。如圖7
至此,NAP IPsec DC配置完成,并且大家已經(jīng)初步了解了NAP IPsec功能特性。下一篇,將描述NAP服務(wù)器的搭建配置,敬請期待。
【編輯推薦】
- Win2008 R2之DA實戰(zhàn):域環(huán)境準(zhǔn)備
- Win2008 R2之DA實戰(zhàn):服務(wù)器部署篇
- Win2008 R2之DA實戰(zhàn):服務(wù)器環(huán)境準(zhǔn)備篇
