配置NAP健康策略服務(wù)器

在本例中，存在一臺(tái)名為Server1的DHCP服務(wù)器，一臺(tái)名為Server2的NAP健康策略服務(wù)器，處于域環(huán)境中。域控制器名為DC1，安裝有Active Directory數(shù)據(jù)庫(kù)和DNS服務(wù)器組件，域名為“xxx.com”。在Server2上使用域管理員身份登錄，安裝“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”角色。項(xiàng)，點(diǎn)擊“下一步”，選擇“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)，點(diǎn)擊“安裝”，安裝所需的角色。

在管理工具菜單中點(diǎn)擊“策略訪問(wèn)服務(wù)器”，在打開(kāi)窗口左側(cè)選擇“NPS（本地）”項(xiàng)，在右側(cè)點(diǎn)擊“配置NAP”鏈接，在向?qū)Ы缑嬷械摹熬W(wǎng)絡(luò)連接方法”列表中選擇“動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）”，在“策略名稱(chēng)”欄中可以更改名稱(chēng)，點(diǎn)擊“下一步”，在“Radius客戶端”欄中點(diǎn)擊“添加”按鈕，在彈出窗口中的輸入Radius客戶端的名稱(chēng)，在“地址”欄中輸入IP地址，即DHCP服務(wù)器的IP。

為了簡(jiǎn)單起見(jiàn)，DHCP服務(wù)器作為Radius客戶端使用。選擇“手動(dòng)”項(xiàng)輸入共享密碼，該密碼必須和DHCP服務(wù)器端相同。點(diǎn)擊“確定”，在下一步窗口中選擇DHCP作用域，直接點(diǎn)擊“下一步“按鈕，表示使用該DHCP服務(wù)器中的所有作用域，之后完成NAP增強(qiáng)策略和Radius客戶端配置。

在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“NPS（本 地）→Radius客戶端和服務(wù)器→Radius客戶端”，在右側(cè)雙擊DHCP服務(wù)器項(xiàng)目，在屬性窗口“高級(jí)”面板中的“供應(yīng)商名稱(chēng)”列表中選擇“Microsoft”，選擇“Radius客戶端支持”項(xiàng)，點(diǎn)擊”確定”保存設(shè)置。在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)點(diǎn)擊“NPS（本地）→網(wǎng)絡(luò)訪問(wèn)服務(wù)→系統(tǒng)健康驗(yàn)證程序→Windows安全健康驗(yàn)證程序→設(shè)置”項(xiàng)，在右側(cè)窗口雙擊ID為0的默認(rèn)項(xiàng)目，在彈出窗口左側(cè)選 擇“Windows 7/Windows Vista”項(xiàng)，在右側(cè)窗口中選擇對(duì)應(yīng)的安全策略，包括防火墻、防病毒、間諜軟件保護(hù)、自動(dòng)更新等。

為了簡(jiǎn)單起見(jiàn)，只選擇“已為所有網(wǎng)絡(luò)連接啟用防火墻”項(xiàng)，不選擇其余的項(xiàng)目。在左側(cè)點(diǎn)擊“NPS（本地）→策略→連接請(qǐng)求策略”項(xiàng)，在右側(cè)雙擊“NAP DHCP”項(xiàng)，在屬性窗口“設(shè)置”面板左側(cè)選擇“身份驗(yàn)證”項(xiàng)，如果選擇的是“在此服務(wù)器上對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證”，說(shuō)明該DHCP服務(wù)器同時(shí)扮演了Radius服務(wù)器的角色。在窗口左側(cè)點(diǎn)擊“NPS（本地）→策略→健康策略”項(xiàng)，在右側(cè)顯示執(zhí)行上述NAP配置向?qū)Ф鴦?chuàng)建的兩個(gè)健康策略（如圖1）。

配置DHCP服務(wù)屬性

使用域管理員賬戶登錄DHCP服務(wù)器，安裝 “網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)”角色中“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng)。假設(shè)在該DHCP服務(wù)器的父域?yàn)椤皒xx.com”，首選的 DNS 服務(wù)器為192.168.0.10，即DC域控制器的IP。為了簡(jiǎn)單起見(jiàn)，不啟用WINS功能。在DHCP服務(wù)器中添加一個(gè)名為“anquan”的作用域，IP范圍為192.168.1.20到192.168.0.100，子網(wǎng)掩碼為255.255.255.0，并且對(duì)此服務(wù)器禁用DHCP v6無(wú)狀態(tài)模式。

選擇當(dāng)前憑據(jù)項(xiàng)目，使用的用戶名為域管理員賬戶。在管理工具菜單中點(diǎn)擊“DHCP”項(xiàng)，在管理窗口左側(cè)選擇“DHCP→服務(wù)器名→IPv4→作用域”項(xiàng)，在右鍵菜單上點(diǎn)擊“屬性”，在屬性窗口中的“網(wǎng)絡(luò)保護(hù)訪問(wèn)”面板中選擇“對(duì)此作用域啟用”項(xiàng)，選擇“使用默認(rèn)網(wǎng)絡(luò)訪問(wèn)保護(hù)配置文件”項(xiàng)，點(diǎn)擊“確定”返回主窗口。

圖1 網(wǎng)絡(luò)策略服務(wù)管理窗口

圖2 DHCP配置選項(xiàng)窗口

圖3 添加Radius服務(wù)器窗口

在DHCP管理窗口左側(cè)選擇“DHCP→服務(wù)器名→IPv4→作用域→作用域選項(xiàng)”項(xiàng)，在右鍵菜單上點(diǎn)擊“配置選項(xiàng)”項(xiàng)，在彈出窗口（如圖2）的“高級(jí)”面板中選擇“006 DNS服務(wù)器”，在“IP地址”欄輸入DNS服務(wù)器地址，本例為192.168.0.10，點(diǎn)擊“添加”按鈕，完成DNS的設(shè)置操作。選擇“015 DNS 域名”項(xiàng)，在“字符串值”欄中輸入域名，例如“yyy.xxx.com”。

為DHCP配置網(wǎng)絡(luò)策略服務(wù)

在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“NPS（本地）→Radius客戶端和服務(wù)器→遠(yuǎn)程Radius服務(wù)器組”項(xiàng)，點(diǎn)擊菜單“操作→新建項(xiàng)”，在彈出窗口中的組名，點(diǎn)擊“添加”，在打開(kāi)窗口“地址”面板中的“服務(wù)器”欄中輸入NAP服務(wù)器的IP，本例為192.168.0.5。在“身份驗(yàn)證/記賬”面板（如圖3）“共享機(jī)密”欄中輸入密碼（該密碼必須和NAP服務(wù)器中設(shè)置的完全相同），點(diǎn)擊“確定”返回主界面。在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“NPS（本地）→策略→連接請(qǐng)求策略”項(xiàng)，在右側(cè)顯示所有可用的策略項(xiàng)目。

雙擊系統(tǒng)提供的“Use Windos authentication for all users”策略項(xiàng)，在屬性窗口中的“設(shè)置”面板左側(cè)選擇“身份驗(yàn)證”項(xiàng)，在右側(cè)選擇“將請(qǐng)求轉(zhuǎn)發(fā)到以下遠(yuǎn)程Radius服務(wù)器組進(jìn)行身份驗(yàn)證”項(xiàng)，并在列表中選擇上面創(chuàng)建的組名。這樣，該DHC服務(wù)器就可以將客戶端健康信息轉(zhuǎn)發(fā)給NAP服務(wù)器。

在域控制器上配置NAP更新服務(wù)

以管理員身份登錄域控制器，打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在窗口左側(cè)選擇“Active Directory 用戶和計(jì)算機(jī)→域名→Users”項(xiàng)，在右鍵菜單上點(diǎn)擊“新建→組”，在彈出窗口中輸入組名，例如“anquanzu”，其余配置保持默認(rèn)，點(diǎn)擊“確定”，完成該組的創(chuàng)建。打開(kāi)組策略管理窗口，在左側(cè)選擇“組策略管理→林→域名”項(xiàng)，在右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，在彈出窗口中輸入該GOP的名稱(chēng)（例如“NAPGPO”），點(diǎn)擊“確定”，在窗口左側(cè)選擇該GPO項(xiàng)，在右鍵菜單中點(diǎn)擊“編輯”，打開(kāi)組策略編輯器窗口。

圖4 開(kāi)啟NAP代理服務(wù)

在左側(cè)選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→系統(tǒng)服務(wù)”項(xiàng)，在右側(cè)窗口顯示所有的系統(tǒng)服務(wù)項(xiàng)目，雙擊“Network Access Protection Agent”項(xiàng)，在彈出窗口（如圖4）中選擇“定義此策略設(shè)置”，選擇“自動(dòng)”，激活NAP代理服務(wù)功能。在組策略編輯器左側(cè)選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→網(wǎng)絡(luò)訪問(wèn)保護(hù)→NAP客戶端配置→強(qiáng)制客戶端”項(xiàng)，在右側(cè)窗口中雙擊“DHCP隔離強(qiáng)制客戶端”項(xiàng)，在彈出窗口中選擇“啟用此強(qiáng)制客戶端”項(xiàng)，點(diǎn)擊“確定”保存設(shè)置信息。在組策略編輯器左側(cè)選擇“計(jì)算機(jī)配置→策略→管理模板→Windows組件→安全中心”項(xiàng)，在右側(cè)雙擊“啟用安全中心項(xiàng)”，在彈出窗口中選擇“已啟用”項(xiàng)。

在組策略管理器窗口左側(cè)選擇上述GPO項(xiàng)目，在右側(cè)的“安全篩選”欄中選擇“Authenticated Users”，點(diǎn)擊“刪除”，在彈出窗口中顯示“您想刪除此委派特權(quán)嗎”信息，點(diǎn)擊“確定”將其刪除。點(diǎn)擊“添加”，在彈出窗口中點(diǎn)擊“高級(jí)→立即查找”，在搜索列表中選擇上述創(chuàng)建的組（例如“anquanzu”），將其添加進(jìn)來(lái)。經(jīng)過(guò)以上設(shè)置，只要將客戶端加入活動(dòng)目錄，并將對(duì)應(yīng)的賬戶添加到上述組中，就可以自動(dòng)應(yīng)用上述GPO的組策略配置信息。

在域控制器上打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在窗口左側(cè)選擇“Active Directory 用戶和計(jì)算機(jī)→域名→Users”項(xiàng)，在右側(cè)雙擊“anquanzu”組，在屬性窗口中的“成員”面板中點(diǎn)擊“添加”按鈕，在彈出窗口中點(diǎn)擊“對(duì)象類(lèi)型”按鈕，選擇組，計(jì)算機(jī)，用戶，其他對(duì)象等項(xiàng)目，點(diǎn)擊“高級(jí)→立即查找”按鈕，將目標(biāo)客戶機(jī)添加進(jìn)來(lái)。

在客戶機(jī)上應(yīng)用NAP安全策略

因?yàn)樵贜AP服務(wù)器上已經(jīng)啟用了“啟用對(duì)客戶端計(jì)算機(jī)的自動(dòng)修復(fù)”功能，所以當(dāng)客戶端用戶手工關(guān)閉了防火墻等安全組件后，Network Access protection Agent服務(wù)會(huì)自動(dòng)重新激活，使客戶端主機(jī)處于健康運(yùn)行狀態(tài)。以域管理員身份登錄NAP服務(wù)器，打開(kāi)網(wǎng)絡(luò)策略服務(wù)器窗口，在左側(cè)選擇“NPS（本 地）→網(wǎng)絡(luò)訪問(wèn)保護(hù)→系統(tǒng)健康驗(yàn)證程序→Windows安全健康驗(yàn)證程序→設(shè)置”項(xiàng)，在右側(cè)雙擊“ID”為0的項(xiàng)目，可以根據(jù)需要增加所需的安全項(xiàng)目。例如，選擇“防病毒程序已啟用”，“防病毒程序?yàn)樽钚隆?，“已啟用自?dòng)更新”等。之后，當(dāng)客戶機(jī)申請(qǐng)DHCP地址租用時(shí)，如果沒(méi)有安裝或開(kāi)啟防病毒軟件等項(xiàng)目，系統(tǒng)就會(huì)自動(dòng)顯示網(wǎng)絡(luò)訪問(wèn)保護(hù)警告信息，提醒用戶該機(jī)處于非健康狀態(tài)。