Használata csoportházirend-szűrés létrehozni politika végrehajtása nap dhcp (4. rész)

• Használata csoportházirend-szűrés létrehozása a NAP DHCP Enforcement politika (1. rész)
• Használata csoportházirend-szűrés létrehozása a NAP DHCP Enforcement politika (2. rész)
• Használata csoportházirend-szűrés létrehozása a NAP DHCP Enforcement politika (3. rész)

Az első három rész a sorozat beállításáról NAP DHCP büntetési politika, mi vonatkozik az alapokat a NAP, majd állítsa be a DHCP végrehajtási politikát az NPS-kiszolgáló, amely tartalmazza a NAP politikát. Ebben az utolsó része a sorozatnak fogjuk befejezni a konfigurációs beállítás a DHCP szerver dolgozni az NPS NAP szerver és politikus, ami után fogunk beállítani csoportházirend, hogy a politikai és a NAP alkatrészeket automatikusan beállításra kerül az egyes gép tartozik, hogy az NKT biztonsági csoportok számítógépek Active Directory. Végül teszteljük a megoldást, hogy ha ez tényleg működik.

A DHCP szerver beállítása

Most, hogy a NAP politika konfigurálása a NAP varázsló tudunk összpontosítani a DHCP szerver konfigurációját. Ne felejtsük el, a DHCP szerver egy hálózati hozzáférési szervert a DHCP NAP forgatókönyv, így szükséges, hogy a DHCP szerver konfigurálásához, hogy befolyásolja a komponenseket egy NAP, hogy minden jól működjön.

Nyissa meg a DHCP-konzol a Felügyeleti eszközök menüben. A DHCP-konzol, bontsa ki a kiszolgáló nevét, majd az IPv4 lapra. majd kibővíteni a fül (határ láthatóság). Kattintson a Beállítások fülre a látható határvonal. Kattintson a jobb gombbal egy üres területre a jobb oldali panelen, az alábbi ábra szerint, majd a Beállítás gombra Options.

A lehetőségek jelennek meg szegélyek párbeszédpanelen kattintson a Speciális fülre. Győződjön meg arról, hogy az osztályban eladó (Vendor class) érdemes szabványos DHCP-beállítások. A listában a felhasználói osztály (felhasználói osztály) van szükség, hogy jelölje ki a bejegyzést Szabványos védelmi osztály hálózati hozzáférés (Default Network Access Protection Class). DHCP, hogy mi lesz itt felállított fogják alkalmazni az ügyfelek számára azonosítás NAP ügyfeleknek, amelyek nem felelnek meg a politika.

Keresse meg a 015 DNS Domain Name lehetőséget, és írja be a szövegmezőbe karakterlánc nevére, amelyeket használni fognak az ügyfelek számára, amelyek nem felelnek meg a NAP. Ez segít könnyebben lehet azonosítani a nem megfelelő számítógépek. Kattintson az OK gombra.

Most látni fogja bejegyzéseit az osztályok Semmi és az alapértelmezett Network Access Protection Class. az utolsó osztály az opció lesz rendelve megfelelő számítógépes politika, ha DHCP végrehajtást használható NAP.

Mielőtt NAP ezekkel a lehetőségekkel, meg kell állítani a határokat a láthatóság dolgozni NAP. Kattintson a lap szegélye betekintést IPv4 csomópont a bal oldali a konzolt, majd kattintson a jobb egérgombbal rajta. A Tulajdonságok párbeszédpanelen kattintson a határ Network Access Protection fülre. Válassza az Engedélyezés erre határon. majd válassza ki a Use normál profil Network Access Protection.

Opció A felhasználói profil elég érdekes, de az interneten, beleértve a honlap a Microsoft www.microsoft.com. nincs dokumentáció, hogyan kell használni ezt a lehetőséget. Én is hozzászólok ezt az információt a blogomban, ha megtudja, hogyan kell, hogy működjön.

Kattintson az OK gombra a Tulajdonságok párbeszédablak a határ.

Konfigurálása NAP beállítások csoportházirend

Bár nem tudjuk kézzel konfigurálni NAP minden gépen, amely részt vesz a NAP a biztonsági infrastruktúra, kézi beállítás nem a legjobb a skála a helyzet. A probléma megoldására a Microsoft a szükséges csoportházirend bővítmények, amelyek lehetővé teszik, hogy konfigurálja NAP Group Policy.

Három dolog, amit tennie kell a csoportházirend központosítása konfiguráció:

• Engedélyezze a NAP ügynök gép vesz részt a NAP
• Állítsa NAP Enforcement Agent (ebben az esetben ez lesz a DHCP NAP Enforcement Agent Agent)
• Állítsa be a GPO hogy csak azokra a gépeket, melyek egy biztonsági csoportot, amely a résztvevő gépek kezelésében a NAP hálózati hozzáférést.

Mielőtt elvégezné a következő lépéseket, akkor létre kell hozni egy GPO úgynevezett NAP Kliens beállítások. Ezt meg lehet tenni a kezelő konzol (Group Policy Management Console). Ha nem tudja, hogyan kell ezt csinálni, lásd a segítség a Group Policy Management Console, mert ez a folyamat meglehetősen egyszerű. Ügyeljen arra, hogy a GPO található ugyanabban a tartományban, ahol van az autó.

Inclusion NAP ügynök

A Rendszer fülre talál egy elemet a jobb oldali panelen a Network Access Protection Agent ügynök. Kattintson duplán az elem. A párbeszédablakban az NKT Agent Properties mezőben válassza házirend-beállítás megadása. majd válasszuk az Automatikus. Kattintson az OK gombra.

Ezek a lépések közé tartozik a NAP ügynök a számítógépek, amelyek használják GPO. NAP Agent engedélyezni kell a NAP-kezelés megfelelően működött.

Engedélyezése kliens DHCP Enforcement Client

bevezetése a különböző ügyfelek léteznek NAP jelenik meg a lapon ügyfelek a végrehajtása a jobb oldali a konzolt. Akkor egy vagy több végrehajtási módszereket; te nem korlátozódik egy kliens implementáció. Ebben a példában mi csak DHCP végrehajtás, így a jobb gombbal a DHCP karantén Enforcement Client bejegyzést, majd engedélyezése. az alábbiak szerint.

Kattintson a NAP-kliens beállítása a bal oldali a konzol, amint azt az alábbi ábra mutatja. Kattintson a jobb gombbal a NAP-kliens beállítása, majd az Alkalmaz gombra. Ez vonatkozik a végrehajtását kliens beállításait Group Policy.

Használata csoportházirend-szűrés alkalmazni biztonsági GPO a biztonsági csoport NAP számítógépek

Az utolsó lépés a csoportházirend fogja használni GPO beállítások az GPO beállítások az NKT kliens számítógépek tartoznak az NKT erőszakos számítógépek biztonsági csoport. hoztunk létre korábban. Nyissa meg a Group Policy Management Console. bővíteni az erdő nevére, majd bontsa ki a tartomány fülre. Ezután bontsa ki a domain nevet, és kattintson az objektumra NAP Kliens beállítások GPO.

A jobb oldali a konzol, akkor megjelenik egy része úgynevezett biztonsági szűrőben (Biztonsági szűrés). Akkor használja ezt a funkciót kell alkalmazni a csoportházirend-beállítások ebben GPO a biztonsági csoport az általunk létrehozott NAP kliens számítógépek.

A Biztonsági szűrés, kattintson a Hitelesített felhasználók. majd az Eltávolítás gombra.

Lesz Group Policy Management párbeszédablak. megkérdezi, hogy el akarja távolítani ezt a kiváltságot küldöttség? Kattintson az OK gombra.

Most kattintson a Hozzáadás gombra. Ez megnyitja a párbeszédablak Select felhasználó, számítógép vagy csoport. Írja be a NAP erőszakos Computers a szövegmezőbe írja be a kijelölendő objektum nevét, majd kattintson a Check Names. annak igazolására, hogy a csoport megtalálható. Ezután kattintson az OK gombra.

Most, a biztonsági szűrés, látni fogja a biztonsági csoportot, amelyekbe a számítógépek engedélyezve NAP.

Bekapcsolása Vista számítógépeken a NAP erőszakos számítógépek biztonsági csoport

Ha a csoportházirend-beállítások vannak megadva, akkor kapcsolja be a Vista kliens számítógép az NKT erőszakos számítógépek biztonsági csoport. Nyisd meg a konzolt Active Directory felhasználók és számítógépek, majd kattintson a Felhasználók fülre a bal oldali panelen a konzol.

Kattintson duplán az NKT kényszerítése Computers elemet. Ennek hatására a NAP erőszakos Computers Tulajdonságok párbeszédablak. Kattintson a lap a csoport tagjait, majd a Hozzáadás gombra.

A párbeszédablakban a Felhasználók, Kapcsolatok, számítógépek vagy csoportok, írja be a nevét a számítógép, amely részt vesz a NAP végrehajtást. Ebben a példában van egy számítógép, egy tartomány tagja, az úgynevezett VISTA2. és mi adja ezt a nevet a beviteli mezőbe adja meg a kijelölendő objektumok nevét.

Ha a kívánt készülék közé a NAP végrehajtási csoport még nem szerepel a domain, akkor ehelyett hozzon létre egy számítógépes fiók Active Directory, a lehetőséget, hogy hozzá egy számítógépet a konzol Active Directory felhasználók és számítógépek. Ezután Ön képes lesz arra, hogy később csatlakoztassa a készüléket a tartományhoz. A mi hálózat, amit használni ezt a cikket, VISTA2 számítógép már csatlakozott a tartományhoz.

Ebben a szakaszban, fel tudjuk használni a gpupdate / force parancsot a tartományvezérlő. Továbbá, ha a készülék kompatibilis NAP tartoznak már a domain, akkor újra kell indítani a számítógépet az új csoportházirend-beállítások lépnek érvénybe.

A legproblémásabb területe a NAP megoldás csoportházirend időket. A termelési hálózat csoportházirend terjedési meg kell várni sokáig, de a kísérleti laboratórium, hajlamosak vagyunk az intolerancia és akarom, hogy minden működik azonnal. Ha úgy találja, hogy a beállítások nem vonatkoznak az ügyfél, kérjük, legyen türelemmel. Indítsa újra az ügyfél egy-két alkalommal, vagy fuss gpupdate / force parancsot a kliens. Ha a NAP még mindig nem működik, akkor ellenőrizni kell minden NAP beállítások és csoportházirend. Van egy csomó „mozgó alkatrészek”, így nagyon könnyű észrevenni egy lépést.

Most nézzük meg NAP megoldás akcióban.

Ellenőrzés megoldások

Ezeket a helyzeteket fel abban az esetben, hogy az autó nem szerepel a domain, vagy ha a NAP paraméter nem vonatkozik az ügyfél.

Most lássuk, hogyan is néz ki, amikor a NAP beállítások kerültek alkalmazásra.

Futtassa a parancsot ipconfig újra látni korlátlan domain nevet, amit adott az ügyfélnek.

Végre a parancsot Route Print. Láthatjuk, hogy az alapértelmezett átjáró van konfigurálva. Ezen kívül van egy routing felület a hálózati azonosító az alhálózatban. Különleges routing interfésze a DHCP szerver és a tartományvezérlő el lett távolítva.

Próbáljuk az automatikus javítást. Emlékezzünk vissza, hogy már benne az automatikus javítást a Windows Security SHV. Ez lehetővé teszi, hogy az NKT ügynök megpróbálja kijavítani a biztonsági problémák merülhetnek fel a NAP kliens. Például, ha a tűzfal ki van kapcsolva a NAP kliens, NAP ágens lehet rá.

Az alábbi ábra azt mutatja, hogy ki van kapcsolva a Windows tűzfal az ügyfél Vista. Próbálja ki a Vista ügyfelek.

Várjon néhány másodpercet. Megtudja, hogy a Windows tűzfal állapota automatikusan a benne beavatkozás nélkül az Ön részéről.

Megjegyezzük, hogy a tálcán nem volt értesítés ezt az intézkedést. Ha azt szeretnénk, hogy egy értesítés a tálcán, akkor kell beállítani úgy, hogy a NAP ügynök nem tudja automatikusan megoldja a problémát. Ha visszatér a Windows SHV a NPS-kiszolgáló, akkor megváltoztathatja ezt a viselkedést, hogy a szükséges anti-vírus program. Ha az ügyfél nem rendelkezik víruskereső program, akkor veszi észre a tálcán, mondván, hogy a számítógép biztonsági beállításai nem felelnek meg a követelményeknek a hálózat biztonságát. Ha rákattint az üzenetet, akkor megnyílik egy párbeszédablak, amint azt az alábbi ábra mutatja.

Ebben az utolsó része a sorozat használatával DHCP NAP végrehajtására, láttuk, hogyan kell beállítani a DHCP szerver, majd konfigurálja a csoportházirend beállításait automatizálja a telepítési politika, a cikk arra a következtetésre jutott vizsgálati megoldásaink és megállapította, hogy a NAP DHCP Enforcement Policy tényleg működik. A jövőben tervezem, hogy írok egy másik cikket a NAP konfiguráció különböző végrehajtási módszereket. Figyelembe vesszük kifinomultabb lehetőségeket, mint például a többszöri NAP és a DHCP szerver (vagy kiszolgáló megoldás). Viszlát!