Win2008 R2實戰之DHCP NAP環境準備篇

在上一篇中(點擊)，咱們對網絡訪問保護技術作了一個技術預覽，大體瞭解了網絡訪問保護這個策略平臺包含的組件及保護機制，接下來的幾篇我將重點描述一下其中一種強制保護機制：DHCP網絡保護訪問強制。

1、 網絡訪問保護強制過程簡述

策略驗證

系統健康代理(SHA)會監控NAP客戶端的健康狀態，而且交給系統健康驗證器(SHV)來進行分析。系統健康驗證器會根據客戶端健康狀態，使用不一樣的網絡策略將客戶端推送至相應的限制網絡中。網絡訪問保護使用SHA和SHV來監控，強制和修補客戶端的健康狀態。

經過包含在Windows Vista，Windows Server 2008，Windows Server 2008 R2和Windows 7裏的Windows安全健康代理(Windows Security Health Agent，包含在SHA中)及Windows 安全健康驗證器(Windows Security Health Validator，包含在SHV中)去強制NAP客戶端執行一些策略，例如開啓防火牆，開啓殺毒軟件，更新殺毒軟件等等。

網絡限制

在網絡訪問保護平臺中，不符合健康要求的客戶端會被推送到受限網絡中，直到符合了健康安全策略纔會被容許進入不受限網絡。其中有3個容許訪問的網絡類型：

容許全網絡訪問：這是一個默認設置。客戶端的鏈接請求若是經過了身份驗證和受權，就能夠不受限制的進入到企業網絡中，並被記錄到日誌中。

容許受限網絡訪問：客戶端計算機未符合網絡訪問保護的健康狀態要求，會被送到與企業網隔離的受限網絡中，此網絡不可訪問企業網絡資源，可是能夠訪問由網絡訪問保護平臺提供的補丁服務，殺毒軟件升級服務等健康狀態修復。直到客戶端符合了安全健康策略，纔會被容許進入企業網絡。

限時的全網絡訪問：客戶端與策略驗證匹配，網絡訪問保護強制被延遲執行，客戶端被暫時准許進行徹底網絡訪問。

修補服務

不符合安全健康策略的客戶端將會被送到受限網絡中進行健康狀態修補。在受限網絡中，網絡訪問保護會提供一些資源來幫助客戶端進行健康狀態的修補，好比使用WSUS服務器來爲客戶端提供升級補丁，提供殺毒軟件升級程序給客戶端提供殺毒軟件升級服務等。

後續監控

當客戶端發起訪問網絡資源和他們的健康狀態發生改變的時候，網絡訪問保護依然處於監控狀態。本例中，當客戶端進行DHCP地址續約時，會同時發送一個健康狀態聲明，根據聲明決定客戶端該屬於哪一種網絡訪問狀態。

 

2、 網絡訪問保護測試環境描述

1. 網絡拓撲
 

2. 配置描述

DC1：這次實驗選擇了Windows Server 2003做爲域控制器，主要考慮如今大多數企業中，仍已Windows 2003爲主要應用操做系統系統，雖然網絡訪問保護屬於Windows 2008帶來的新功能，但也支持此種系統架構。

NPS1：此爲網絡策略服務器(Network Policy Server)，做爲網絡訪問保護的健康策略服務器和RADIUS服務器，能夠選用Windows Server 2008 或者Windows Server 2008 R2。同時也安裝DHCP角色並配置爲強制DHCP網絡訪問保護。

WSUS1：此爲網絡訪問保護修補服務器，提供安全軟件共享服務，爲未經過健康狀態檢測的客戶端提供健康狀態修補。

Client1：網絡訪問保護測試客戶端，Windows 7操做系統，初始安裝狀態，無任何安全應用程序，爲了達到實驗效果，須要關閉系統防火牆。

注意：此實驗環境使用Windows Server2008 R2均爲企業版，使用Windows 7均爲旗艦版。

 

3、 服務器環境準備

1. DC1準備

建立一個名爲【NAP Client】的安全組，用於存放NAP客戶端，並方便施加NAP相關組策略。此實驗須要將Client1放入此用戶組。

2. NPS1準備

安裝DHCP角色

打開NPS1的服務器管理器，右擊【角色】，選擇【添加角色】，在【添加角色嚮導】中，選擇【DHCP服務器】。如圖1
 

圖1

跳過DHCP服務器簡介，在【選擇網絡鏈接綁定】中，默認選擇當前網絡鏈接便可。如圖2
 

圖2

IPv4 DNS設置，這裏只要NPS1本機的網卡地址信息設置正常，系統能夠自動讀取出DNS地址信息，點擊【驗證】可驗證DNS地址的有效性。如圖3 
 

圖3

IPv4 WINS設置默認便可，由於在Windows Server 2008中，微軟在DNS中提供了新的區域類型：GlobalNames區域，來替代Windows 2003中的WINS，提供NETBIOS名稱解析功能。

在DHCP做用域中，添加咱們須要的做用域，範圍從192.168.1.20到192.168.1.100便可。如圖4
 

圖4

在DHCPv6 無狀態模式中，選擇【對此服務器禁用DHCPv6 無狀態模式】。如圖5 
 

圖5

在DHCP 服務器受權中，由於我當前登陸用戶就是域管理員，因此這裏就使用此用戶。若是當前用戶權限不足，好比普通域用戶，在備用憑據中指定具備域管理員權限的用戶便可。如圖6
 

圖6

以後，能夠看到安裝彙總信息，確認無誤後，點擊安裝。

安裝完成後，展開DHCP控制檯，能夠看到當前NPS1服務的DHCP已經啓用，而且已被受權。如圖7
 

圖7

3. Client1準備

此實驗中，Client1只要加入到Contoso域中便可。但爲了達到保護效果，咱們手動關閉Client1的防火牆。依次打開【控制面板-系統和安全-Windows 防火牆-自定義設置】，關閉3種網絡位置的防火牆便可。如圖8 
 

圖8

到目前爲止，咱們已經爲DHCP NAP須要的環境搭建好了域控制器，NPS服務器還有客戶端。下一篇，我將講解DHCP NAP的策略部署及測試，來體驗一把真正的網絡訪問保護。