爲***客戶配置NAP

 

 

實施拓撲：

拓撲說明：

     出於安全考慮，公司爲***遠程連接的用戶計算機進行檢查，若遠程連接客戶端的計算機不符合健康要求，則不能通過***服務器連接進公司內網進行資源訪問，若符合NPS服務器設置的健康要求，通過了的客戶端，NPS服務器則會頒發一張健康證書給遠程的客戶端，遠程客戶端就可以用這張證書來證明自己是健康的，我們在公司的一臺裝了windows server 2008 的計算機上安裝***和NPS角色，在NYC-DC1上面安裝主域控制器進行身份驗證，同時安裝證書頒發機構爲客戶端頒發證書；然後安裝一臺測試客戶端NYC-CL1;

 

任務描述：

l  將NYC-DC1配置爲企業根CA

l  將 NYC-SVR1 配置成 NPS 健康策略服務器

l  配置 NYC-SVR1 路由和遠程訪問服務 （RRAS），配置成 *** 服務器

l  將 NYC-CL1 配置爲*** 和 NAP 客戶端

 

 

功能實施：

  將 NYC-DC1 配置爲 企業 根 CA

---

 

1.         安裝“Active Directory 證書服務” 角色服務。CA 類型。選擇“根CA”

2.         配置““證書模板””。添加“Authenticated Users”組的用戶有“註冊”的權限。

3.         刷新組策略，NYC-DC1也申請一張證書。

 

  將 NYC-SVR1 配置成 NPS 健康策略服務器

---

 

1.         首先刷新組策略

2.         獲得計算機證書，用於服務器端 PEAP 認證：

3.         安裝 NPS 服務器角色：安裝選擇“網絡策略服務器”和“遠程訪問服務”

4.         將 NPS 配置成 NAP 健康策略服務器：只是選擇在“Windows Vista”選項卡中“已爲所有網絡連接啓用防火牆”。

 

 

5.         配置健康策略。新建健康策略1，策略名稱“Compliant”，在“客戶端 SHV 檢查”，驗證已經選擇了“客戶端通過了所有SHV檢查”。在“此健康策略中使用的SHV”中選擇“Windows 安全健康驗證程序”複選框。

6.         配置健康策略。新建健康策略2，策略名稱“NonCompliant”，在“客戶端 SHV 檢查”，驗證已經選擇了“客戶端未能通過了一個或者多個SHV檢查”。在“此健康策略中使用的SHV”中選擇“Windows 安全健康驗證程序”複選框。

 

7.         爲符合計算機配置網絡策略：首先禁用兩個默認策略，新建“網絡策略”，策略名稱“Compliant-Full-Access”，指定條件爲Compliant，指定訪問權限是“已授予訪問權限”。NAP 強制是“允許完全網絡訪問”。

8.         爲不符合計算機配置網絡策略：新建網絡策略，策略名稱“Noncompliant-Restricted”，指定條件Noncompliant，“指定訪問權限”選擇“已授予訪問權限”，“NAP 強制”選擇“允許受限訪問”，“啓用客戶端計算機的自動更新功能”已選定。

9.         IP 篩選器。在 IPv4 下單擊“輸入篩選器”，新建“添加 IP 篩選器”，選擇“目標網絡”。IP 地址“10.10.0.10”，子網掩碼“255.255.255.255”。入站篩選器中選擇“僅允許下面列出的數據包”。單擊“輸出篩選器”，IP 地址“10.10.0.10”，子網掩碼“255.255.255.255”。然後在“出站篩選器”對話框選擇“僅允許下面列出的數據包”。

 

10.  配置連接請求策略：禁用默認策略，新建“連接請求策略”，策略名稱“*** connections”。在“網絡訪問服務器的類型”下選擇“遠程訪問服務器（***-Dial up）”，指定條件“隧道類型”，選擇 PPTP 和L2TP，指定連接請求轉發功能，選擇“在此服務器上對請求進行身份驗證”，

 

 

11.     指定身份驗證方法，選擇“改寫網絡策略身份驗證設置”。EAP 類型，添加“Microsoft：受保護的 EAP (PEAP)”，和“Microsoft：安全密碼 (EAP-MSCHAP v2)”，驗證“啓用隔離檢查”已經選擇。

 

  配置 NYC-SVR1 路由和遠程訪問服務 （RRAS），配置成 *** 服務器

---

1.         遠程訪問 (撥號或 ***)爲 IP地址爲 192.168.1.10 的網絡接口，IP 地址分配範圍10.10.0.100~10.10.0.110。

 

2.         禁用Microsoft 路由和遠程訪問服務策略。

 

 

  允許 NYC-SVR1 上的 ping

---

1.         在nyc-svr1上，在高級安全Windows 防火牆裏新建“入站規則”，規則是允許“特定 ICMP 類型”的 “回顯請求”，

 

 

  將 NYC-CL1 配置爲*** 和 NAP 客戶端

---

 

1.         配置 NYC-CL1 啓用安全中心：輸入“gpedit.msc”，在組策略裏啓用“啓用安全中心（僅限域 PC）”。

2.         啓用遠程訪問隔離強制客戶端：輸入“napclcfg.msc”，打開啓用“遠程訪問隔離強制客戶端”

3.         啓用並啓動 NAP 代理服務：

 

4.         配置 NYC-CL1 的Internet網段：ip 192.168.1.20  255.255.255.0  dns10.10.0.10，

5.         驗證 NYC-CL1的網絡連接性：ping 192.168.1.10

6.         配置 *** 連接：Internet地址“192.168.1.10”。目標名稱“Woodgrovebank”。用戶名“Administrator”，密碼“Pa$$w0rd” 域“Woodgrovebank”，

 

7.         右鍵單擊“WoodGroveBank”，選擇屬性“登錄安全”，選擇“使用可擴展的身份驗證協議 (EAP)”，然後選擇“ 受保護的EAP (PEAP) (啓用加密)”。選擇身份驗證方法“安全密碼 (EAP-MSCHAP v2)”。

 

 

 

 

1.         測試 *** 連接：

 

第一次使用 *** 連接時，會彈出“驗證服務器證書”窗口。

 

2.         等待建立 *** 連接。

 

3.         在命令行輸入“ipconfig /all” 查看 IP 配置，系統隔離狀態應該是“未限制”。

 

4.         “ping 10.10.0.10”。應該成功。

 

 

5.         “ping 10.10.0.24”。這也應該成功。

 

 

6.         先斷開ＶＰＮ連接，配置 Windows 安全健康驗證程序要求病毒防護：再進行連接．會在通知區域看到一條消息說此計算機不符合該網絡的要求。該消息因爲沒有開啓防火牆而顯示。

 

7.         在命令行輸入“ipconfig /all” 查看 IP 配置，系統隔離狀態應該是“受限的”。

 

8.         嘗試 ping 10.10.0.24。應該不成功。

 

 

9.   嘗試 ping 10.10.0.10。這是策略允許訪問的惟一服務器。