實施拓撲:
拓撲說明:
出於安全考慮,公司爲***遠程連接的用戶計算機進行檢查,若遠程連接客戶端的計算機不符合健康要求,則不能通過***服務器連接進公司內網進行資源訪問,若符合NPS服務器設置的健康要求,通過了的客戶端,NPS服務器則會頒發一張健康證書給遠程的客戶端,遠程客戶端就可以用這張證書來證明自己是健康的,我們在公司的一臺裝了windows server 2008 的計算機上安裝***和NPS角色,在NYC-DC1上面安裝主域控制器進行身份驗證,同時安裝證書頒發機構爲客戶端頒發證書;然後安裝一臺測試客戶端NYC-CL1;
任務描述:
l 將NYC-DC1配置爲企業根CA
l 將 NYC-SVR1 配置成 NPS 健康策略服務器
l 配置 NYC-SVR1 路由和遠程訪問服務 (RRAS),配置成 *** 服務器
l 將 NYC-CL1 配置爲*** 和 NAP 客戶端
功能實施:
1. 安裝“Active Directory 證書服務” 角色服務。CA 類型。選擇“根CA”
2. 配置““證書模板””。添加“Authenticated Users”組的用戶有“註冊”的權限。
3. 刷新組策略,NYC-DC1也申請一張證書。
1. 首先刷新組策略
2. 獲得計算機證書,用於服務器端 PEAP 認證:
3. 安裝 NPS 服務器角色:安裝選擇“網絡策略服務器”和“遠程訪問服務”
4. 將 NPS 配置成 NAP 健康策略服務器:只是選擇在“Windows Vista”選項卡中“已爲所有網絡連接啓用防火牆”。
5. 配置健康策略。新建健康策略1,策略名稱“Compliant”,在“客戶端 SHV 檢查”,驗證已經選擇了“客戶端通過了所有SHV檢查”。在“此健康策略中使用的SHV”中選擇“Windows 安全健康驗證程序”複選框。
6. 配置健康策略。新建健康策略2,策略名稱“NonCompliant”,在“客戶端 SHV 檢查”,驗證已經選擇了“客戶端未能通過了一個或者多個SHV檢查”。在“此健康策略中使用的SHV”中選擇“Windows 安全健康驗證程序”複選框。
7. 爲符合計算機配置網絡策略:首先禁用兩個默認策略,新建“網絡策略”,策略名稱“Compliant-Full-Access”,指定條件爲Compliant,指定訪問權限是“已授予訪問權限”。NAP 強制是“允許完全網絡訪問”。
8. 爲不符合計算機配置網絡策略:新建網絡策略,策略名稱“Noncompliant-Restricted”,指定條件Noncompliant,“指定訪問權限”選擇“已授予訪問權限”,“NAP 強制”選擇“允許受限訪問”,“啓用客戶端計算機的自動更新功能”已選定。
9. IP 篩選器。在 IPv4 下單擊“輸入篩選器”,新建“添加 IP 篩選器”,選擇“目標網絡”。IP 地址“10.10.0.10”,子網掩碼“255.255.255.255”。入站篩選器中選擇“僅允許下面列出的數據包”。單擊“輸出篩選器”,IP 地址“10.10.0.10”,子網掩碼“255.255.255.255”。然後在“出站篩選器”對話框選擇“僅允許下面列出的數據包”。
10. 配置連接請求策略:禁用默認策略,新建“連接請求策略”,策略名稱“*** connections”。在“網絡訪問服務器的類型”下選擇“遠程訪問服務器(***-Dial up)”,指定條件“隧道類型”,選擇 PPTP 和L2TP,指定連接請求轉發功能,選擇“在此服務器上對請求進行身份驗證”,
11. 指定身份驗證方法,選擇“改寫網絡策略身份驗證設置”。EAP 類型,添加“Microsoft:受保護的 EAP (PEAP)”,和“Microsoft:安全密碼 (EAP-MSCHAP v2)”,驗證“啓用隔離檢查”已經選擇。
配置 NYC-SVR1 路由和遠程訪問服務 (RRAS),配置成 *** 服務器
1. 遠程訪問 (撥號或 ***)爲 IP地址爲 192.168.1.10 的網絡接口,IP 地址分配範圍10.10.0.100~10.10.0.110。
2. 禁用Microsoft 路由和遠程訪問服務策略。
1. 在nyc-svr1上,在高級安全Windows 防火牆裏新建“入站規則”,規則是允許“特定 ICMP 類型”的 “回顯請求”,
1. 配置 NYC-CL1 啓用安全中心:輸入“gpedit.msc”,在組策略裏啓用“啓用安全中心(僅限域 PC)”。
2. 啓用遠程訪問隔離強制客戶端:輸入“napclcfg.msc”,打開啓用“遠程訪問隔離強制客戶端”
3. 啓用並啓動 NAP 代理服務:
4. 配置 NYC-CL1 的Internet網段:ip 192.168.1.20 255.255.255.0 dns10.10.0.10,
5. 驗證 NYC-CL1的網絡連接性:ping 192.168.1.10
6. 配置 *** 連接:Internet地址“192.168.1.10”。目標名稱“Woodgrovebank”。用戶名“Administrator”,密碼“Pa$$w0rd” 域“Woodgrovebank”,
7. 右鍵單擊“WoodGroveBank”,選擇屬性“登錄安全”,選擇“使用可擴展的身份驗證協議 (EAP)”,然後選擇“ 受保護的EAP (PEAP) (啓用加密)”。選擇身份驗證方法“安全密碼 (EAP-MSCHAP v2)”。
1. 測試 *** 連接:
第一次使用 *** 連接時,會彈出“驗證服務器證書”窗口。
2. 等待建立 *** 連接。
3. 在命令行輸入“ipconfig /all” 查看 IP 配置,系統隔離狀態應該是“未限制”。
4. “ping 10.10.0.10”。應該成功。
5. “ping 10.10.0.24”。這也應該成功。
6. 先斷開VPN連接,配置 Windows 安全健康驗證程序要求病毒防護:再進行連接.會在通知區域看到一條消息說此計算機不符合該網絡的要求。該消息因爲沒有開啓防火牆而顯示。
7. 在命令行輸入“ipconfig /all” 查看 IP 配置,系統隔離狀態應該是“受限的”。
8. 嘗試 ping 10.10.0.24。應該不成功。
9. 嘗試 ping 10.10.0.10。這是策略允許訪問的惟一服務器。