Win2008 R2之DA實戰:DC FOR NAP準備篇
本篇為上篇Direct Access成功搭建之后(點擊),添加IPsec NAP功能,為Direct Access客戶端提供安全加固方案,保證內部網絡安全。
一 、NAP(Network Access Protection)功能簡述
網絡訪問保護 (NAP)。NAP 是一種創建、強制和修正客戶端健康策略的技術,包含在 Windows Vista? 客戶端操作系統和 Windows Server 2008 操作系統中。通過 NAP,系統管理員可以設置并自動強制運行狀況策略,策略中可以包含軟件要求、安全更新要求、計算機配置要求以及其他設置。可以為不符合健康策略的客戶端計算機提供受限網絡訪問,直到更新其配置并且使其符合策略時為止。根據您選擇部署 NAP 的方式,可以自動更新不兼容的客戶端,使用戶可以快速重新獲得完全網絡訪問,而不必手動更新或重新配置其計算機。
更多詳情,請見http://www.ixpub.net/viewthread.php?tid=1038193&extra=
二、IPsec NAP網絡概念簡述
IPsec NAP網絡環境把網絡邏輯的分成3個網絡,分別是安全網絡、邊界網絡、受限網絡。
" 安全網絡:此網絡的計算機,符合含有一個系統健康證書并且可以使用IPsec進行安全通信。通常Active Directory 域中的大多數服務器例如證書服務和郵件服務器處于安全網絡中。
" 邊界網絡:此網絡中的計算機含有系統健康證書,但是需要能訪問整個網絡資源,因此不需要進行認證和IPsec保護通信,通常這個網絡類型中的計算機需要評估和更新NAP客戶端計算機的系統健康狀態,所以NPS和HRA服務器處在這個網絡中,但是需要對他們進行嚴格控制,以免對內部網絡帶來安全威脅。
" 受限網絡:處于此網絡中的計算機沒有經過安全健康檢查,并且沒有系統健康證書,在獲得補救服務器更新之前,網絡訪問受限制。
#p#
三、IPsec NAP工作過程簡述
1、 NAP客戶端發送當前健康狀態至HRA(健康注冊頒發機構);
2、 HRA發送客戶端的健康狀態至健康策略服務器(NPS);
3、 健康策略服務器評估客戶端的當前健康狀態信息,以決定其是否符合健康策略,并把結果發回給SHA,如果不符合,在發回的消息中也包含健康補救(Remediation) 的指令;
4、 如果符合健康策略,則HRA為NAP客戶端分發健康證書,則客戶端可以使用此證書與其他符合健康策略的計算機開始初始化IPSEC連接;
5、 如果不符合健康策略,HRA通知NAP客戶端如何校正其健康狀態并不發給客戶端健康證書,因此客戶端不能初始化IPSEC連接,但是客戶端可以與補救服務器通信,以校正客戶端的健康狀態;
6、 NAP 客戶端發送相關的更新請求至補救服務器;
7、 補救服務器提供符合健康策略的更新給NAP 客戶端,NAP客戶端更新其健康狀態;
8、 NAP客戶端發送其更新過的健康狀態信息至SHA,SHA發送客戶端的健康狀態信息至NAP健康策略服務器;
9、 假設其符合健康狀態策略,則發送結果至SHA,并頒發健康證書給客戶端,客戶端可以使用此證書開始IPSEC通信。
四、環境描述
此次實驗依托前次Direct Access 實驗環境,只需要額外添加一臺NPS服務器,具體設置如下:
軟件配置:
" NPS1:安裝有Windows server 2008 R2的成員服務器,同時為NPS和HRA角色
小貼士:NPS為網絡策略服務器,可以為客戶端運行狀況、連接請求身份驗證和連接請求授權創建并強制使用組織范圍的網絡訪問策略。
HRA為健康注冊機構,作為一個注冊機構,HRA 負責驗證客戶端憑據,然后將證書申請轉發到代表客戶端的證書機構 (CA)。通過檢查網絡策略服務器 (NPS),HRA 可驗證證書申請以確定 NAP 客戶端是否與網絡健康要求兼容。
網絡配置:
" NPS1:10.0.0.4/24(CIDR表示法,同255.255.255.0)
NAP軟件需求:
" NAP服務器:Windows Server 2008或更高版本。
" NAP客戶端:Windows XP SP3或更高版本,Windows Vista Business或更高版本,Windows 7或更高版本。
" Active Directory:至少有基于Windows server 2003 的DC,并為GC角色.
注意:此環境中所有服務器均使用Windows server 2008 R2企業版,客戶端使用Windows 7旗艦版。
#p#
五、前期準備:服務器配置
DC1配置
1. 在AD中創建一個全局安全組:IPsec NAP Examption,將NPS、HRA及DC服務器放入此組,以標識不管他們的健康狀況如何,都可以獲得一個系統健康證書,與網絡內的任何計算機通信,并處于邊界網絡中。此實驗需要將NPS1;DA1;APP1;DC1放入該組。
2. 配置證書模板,在【證書模板】中,復制工作站證書,起名:系統健康證書。如圖1
3. 切換到【擴展】選項卡中,編輯【應用程序策略】,點擊【添加】,找到【系統健康身份驗證】,點擊【確定】,如圖2.雙擊【系統健康身份驗證】確認其對象標識符為:1.3.6.1.4.1.311.47.1.1.如圖3
4. 回到新模板屬性中,切換到【安全】選項卡,添加【IPsec NAP Examption】安全組,并賦予【讀取、注冊、自動注冊】權限,這樣改組成員就不需要檢查系統健康狀態而獲取到一個系統健康證書了。如圖4
5. 在證書模板中新建剛才創建的【系統健康證書】。如圖5
6. 配置組策略,新建一個【NAP Policy】GPO,啟用其證書自動注冊功能。依次展開【NAP Policy】-【計算機配置】-【策略】-【Windows 設置】-【安全設置】-【公鑰策略】,在右側的明細中,雙擊【證書服務器客戶端-自動注冊】,將其啟用,并勾選下面兩個選項。如圖6
7. 此時在【IPsec NAP Examption】組中的計算機使用【gpupdate /force】強制刷新組策略,即可看到自動頒發的系統健康證書。圖9中為NPS服務器自動申請到得證書。如圖7
至此,NAP IPsec DC配置完成,并且大家已經初步了解了NAP IPsec功能特性。下一篇,將描述NAP服務器的搭建配置,敬請期待。
【編輯推薦】
