NAP IPSEC配置與管理詳解
好久沒有寫文章了,呵呵,惰性啊,今天一起聊聊Windows Server 2008中NAP的IPSEC的配置與實現等東東,首先我們了解下IPSEC NAP大致的工作過程,首先看以下簡圖:
圖表 1
圖表 2
一、對應的文字闡述如下:
1、 IPSEC EC發送當前健康狀態至HRA(健康注冊頒發機構);
2、 HRA發送客戶端的健康狀態至NAP 健康策略服務器(NPS);
3、 NAP 健康策略服務器評估客戶端的當前健康狀態信息,以決定其是否符合健康策略,并把結果發回給SHA,如果不符合,在發回的消息中也包含健康Remediation 的指令;
4、 如果符合健康策略,則HRA為客戶端分發健康證書,則客戶端可以使用此證書與其他符合健康策略的計算機開始初始化IPSEC連接;
5、 如果不符合健康策略,HRA通知NAP客戶如何校正其健康狀態并不發給客戶端健康證書,因此客戶端不能初始化IPSEC連接,但是客戶端可以與補救服務器通信,以校正客戶端的健康狀態;
6、 NAP 客戶端發送相關的更新請求至補救服務器;
7、 補救服務器提供符合健康策略的更新給NAP 客戶端,NAP客戶端更新其健康狀態;
8、 NAP客戶端發送其更新過的健康狀態信息至SHA,SHA發送客戶端的健康狀態信息至NAP健康策略服務器;
9、 假設其符合健康狀態策略,則發送結果至SHA,并頒發健康證書給客戶端,客戶端可以使用此證書開始IPSEC通信。
二、配置過程如下:
以下是這次的實驗環境配置:
計算機名 角色 IP地址 操作系統
NYC-SRV-01 NPS,域成員服務器,HRA 192.168.1.21 Windows Server 2008
NYC-DC-01 DC,CA 192.168.1.1 Windows Server 2008
NYC-CLI-01 Client,域客戶端 192.168.1.11 Windows Vista
NYC-CLI-02 Client,域客戶端 192.168.1.12 Windows Vista
1、必須要把NYC-DC-01的計算機提升為域woodgrovebank.com的DC,并在此計算機上安裝證書服務,用來頒發證書,并創建一個全局組為IPSEC NAP Exemption,因為在IPSEC NAP的網絡環境中把網絡可以從邏輯上劃分為三個網絡,安全網絡(有健康證書且要求IPSEC安全通信的計算機所在的網絡,如CA)、邊界網絡(有健康證書但是不要求IPSEC安全通信的計算機所在的網絡,如HRA,補救服務器),、受限網絡(沒有健康證書的計算機所在的網絡),通常全局組IPSEC NAP Exemption的成員就為邊界網絡中的計算機,這樣不管當前計算機的健康狀態是什么,都能夠獲得一個健康證書,并能夠與網絡中的任何一臺計算機進行通信。所以呢,我們在此次測試中就應該把NYC-SRV-01這臺計算機添加為此全局組的成員。
2、在DC上面安裝CA并配置CA。此CA用來向 HRA和IPSEC NAP Exemption組成員發布健康證書。所以安裝企業根CA,配置CA證書模板,并發布至活動目錄中:證書頒發機構右鍵選擇“證書模板”管理復制“WorkStation Authentication”模板,設置以下參數:模板名稱為:System Health Authentication,并選中下面的“發布證書至活動目錄中”,如下圖所示:
切換至“擴展”選項卡,定位于“應用程序策略”,并點擊“編輯”按鈕,再單擊“添加”按鈕,找到system Health Authentication,其值為1.3.6.1.4.1.311.47.1.1 (有二個System Health Authentication,通常是下面一個);再切換至“安全”選項卡,給全局組IPSEC NAP Exemption“讀取、注冊、自動注冊”權限,這樣,全局組IPSEC NAP Exemption中的成員就不管其健康狀態是什么,都能夠自動獲取此證書。關掉證書模板對話框。為了具有權限的用戶能夠申請此證書必須把它發布出來:在“證書頒發機構”右擊“證書模板”,新建要頒發的證書模板System Health Authentication。如下圖所示:
3、配置默認域策略,允許自動頒發證書。組策略管理默認域策略計算機配置Windows設置安全設置選中“公鑰策略”右邊詳細窗格中,選擇“證書服務客戶端――自動注冊”啟用,并選中下面兩個復選框;在計算機NYC-SRV-01上面使用命令gpupdate /force強制刷新組策略,打開MMC,并選擇“證書”,選擇“計算機”,在證書下面驗證已經成功獲得上面的的證書。
4、在NYC-SRV-01服務器上安裝角色“Network Policy Server”,并添加角色服務“Health Registration Authority”,打開Health Registration Authority”控制臺右鍵選中“Certificate Authority”添加證書頒發機構選擇前面安裝的CA證書;選擇Certificate Authority”的屬性確保在此選擇的CA類型與前面的相同,因為前面安裝的是企業CA,所以在此也選擇企業CA,并指定經過身份驗證的與匿名都使用“System Health Authentication”證書模板,如下面圖所示:
因為HRA必須要為符合健康策略的計算機頒發證書,所以HRA必須有“請求、發布與管理證書”的權限,同時如果HRA頒發的健康證書過期了HRA必須要從對應計算機的證書存儲中刪除證書,所以HRA還必須有“管理CA”的權限。如果HRA與CA在不同的計算機,則必須在CA的屬性“安全”選項卡,給HRA這臺計算機帳戶賦予以上的權限,如果HRA與CA在同一臺計算機,則只需要給“Network Service”賦予以上的權限,因為在此例當中,我們把HRA與CA安裝在不同的計算機上,所以在此,賦予計算機帳戶NYC-SRV-01以上的權限,如下圖所示:
5、打開“網絡策略服務器”控制臺,在右邊詳細窗格中選擇“配置NAP”,選擇“IPSEC with Health Registration Authority(HRA)”,接下來在本例中都以默認的值進行設置就OK了,不用做過多的其他設置。在“網絡策略服務器”控制臺中選擇“網絡訪問保護”系統健康校驗雙擊右邊詳細空格中選擇條目點擊“配置”按鈕,只選擇“啟用自動更新”,清除其他所有的選擇。在“網絡訪問保護”下面右鍵選擇“補救服務器組”選擇添加并把NYC-SRV-01添加進去,當客戶端計算機不符合健康策略要求的時候,將會連接到此計算機進行補救,至此服務器相關的設置已經配置完畢,接下來的過程將會配置客戶端。如下圖所示:
6、在NYC-CLI-01與NYC-CLI-02的兩臺客戶端計算機上都進行如下操作:輸入gpedit.msc計算機配置管理模板Windows組件系統中心,選擇右邊窗格中的“開啟安全中心(僅域PC)”并啟用它,關閉此窗口;接著輸入napclcfg.msc,選擇“強制客戶端”并啟用右邊詳細窗格中的“IPSEC Relying Party”,再選擇左邊的“健康注冊設置”受信任的服務器組,在受信任的服務器組中添加如下兩項內容:http://nyc-srv-01.woodgrovebank.com/domainhra/hcsrvext.dll
http://nyc-srv-01.woodgrovebank.com/nondomainhra/hcsrvext.dll
設置的結果如下所示:
打開服務控制臺,并把服務”Network Access Protection Agent“設置為自動為啟用它。
最后的結果可以參考下圖所示,當我把客戶端的自動更新關閉的時候,就會馬上在任務欄的右下角顯示出不符合安全策略的要求,并會連接到補救服務器進行補救:
如果此時你打開計算機的證書控制臺,會發現從HRA那里獲得了一個健康證書,如下圖所示:
最后,來做一個IPSEC測試,僅僅允許NYC-CLIENT-01至NYC-CLIENT-02的安全通訊,在此以命令ping做為測試的例子。在NYC-CLIENT-01至NYC-CLIENT-02上啟用防火墻,默認的情況下,會拒絕ping的數據包通訊,如果此時從NYC-CLIENT-01 ping 會出現“請求超時”,在NYC-CLIENT-01至NYC-CLIENT-02新建一個入站規則,安全規則僅允許安全的入站ping通訊,創建好的結果如下圖所示:
再在連接安全規則下面創建一個規則,規則名取為”allow secure connection”,如下圖所示,注意一定要選中“僅接受健康證書”:
在兩臺計算機上都做好了相應規則后,我們在NYC-CLIENT-01上ping 192.168.1.12結果如下,除了第一個包進行安全協商,其他連接都正常,如果此時刪除證書存儲中的“健康證書”,則又會返回“Request timed out”,這就是大家可以看到下面兩行的情形。
至此,本次實驗測試就先告一段落,有時地方沒有詳細寫具體操作過程,如果大家有什么疑問,歡迎交流指正,謝謝!沖涼了!
【編輯推薦】
- Windows Server 2008的創新性能和安全指數報告
- Windows server 2008 R2系統安全穩如磐石
- Windows Server 2008 R2安全性能體驗
- Windows Server 2008 R2中的DirectAccess功能詳解
- 解讀Windows Server 2008 R2安全性和高可靠性
