Win2008 R2之DA實(shí)戰(zhàn)：DC FOR NAP準(zhǔn)備篇

2010-05-20 10:42:34

本篇為上篇Direct Access成功搭建之后(點(diǎn)擊)，添加IPsec NAP功能，為Direct Access客戶端提供安全加固方案，保證內(nèi)部網(wǎng)絡(luò)安全。

一、NAP(Network Access Protection)功能簡述

網(wǎng)絡(luò)訪問保護(hù) (NAP)。NAP 是一種創(chuàng)建、強(qiáng)制和修正客戶端健康策略的技術(shù)，包含在 Windows Vista? 客戶端操作系統(tǒng)和 Windows Server 2008 操作系統(tǒng)中。通過 NAP，系統(tǒng)管理員可以設(shè)置并自動強(qiáng)制運(yùn)行狀況策略，策略中可以包含軟件要求、安全更新要求、計(jì)算機(jī)配置要求以及其他設(shè)置。可以為不符合健康策略的客戶端計(jì)算機(jī)提供受限網(wǎng)絡(luò)訪問，直到更新其配置并且使其符合策略時(shí)為止。根據(jù)您選擇部署 NAP 的方式，可以自動更新不兼容的客戶端，使用戶可以快速重新獲得完全網(wǎng)絡(luò)訪問，而不必手動更新或重新配置其計(jì)算機(jī)。

更多詳情，請見http://www.ixpub.net/viewthread.php?tid=1038193&extra=

二、IPsec NAP網(wǎng)絡(luò)概念簡述

IPsec NAP網(wǎng)絡(luò)環(huán)境把網(wǎng)絡(luò)邏輯的分成3個(gè)網(wǎng)絡(luò)，分別是安全網(wǎng)絡(luò)、邊界網(wǎng)絡(luò)、受限網(wǎng)絡(luò)。

" 安全網(wǎng)絡(luò)：此網(wǎng)絡(luò)的計(jì)算機(jī)，符合含有一個(gè)系統(tǒng)健康證書并且可以使用IPsec進(jìn)行安全通信。通常Active Directory 域中的大多數(shù)服務(wù)器例如證書服務(wù)和郵件服務(wù)器處于安全網(wǎng)絡(luò)中。

" 邊界網(wǎng)絡(luò)：此網(wǎng)絡(luò)中的計(jì)算機(jī)含有系統(tǒng)健康證書，但是需要能訪問整個(gè)網(wǎng)絡(luò)資源，因此不需要進(jìn)行認(rèn)證和IPsec保護(hù)通信，通常這個(gè)網(wǎng)絡(luò)類型中的計(jì)算機(jī)需要評估和更新NAP客戶端計(jì)算機(jī)的系統(tǒng)健康狀態(tài)，所以NPS和HRA服務(wù)器處在這個(gè)網(wǎng)絡(luò)中，但是需要對他們進(jìn)行嚴(yán)格控制，以免對內(nèi)部網(wǎng)絡(luò)帶來安全威脅。

" 受限網(wǎng)絡(luò)：處于此網(wǎng)絡(luò)中的計(jì)算機(jī)沒有經(jīng)過安全健康檢查，并且沒有系統(tǒng)健康證書，在獲得補(bǔ)救服務(wù)器更新之前，網(wǎng)絡(luò)訪問受限制。

#p#

三、IPsec NAP工作過程簡述

1、 NAP客戶端發(fā)送當(dāng)前健康狀態(tài)至HRA(健康注冊頒發(fā)機(jī)構(gòu));

2、 HRA發(fā)送客戶端的健康狀態(tài)至健康策略服務(wù)器(NPS);

3、健康策略服務(wù)器評估客戶端的當(dāng)前健康狀態(tài)信息，以決定其是否符合健康策略，并把結(jié)果發(fā)回給SHA，如果不符合，在發(fā)回的消息中也包含健康補(bǔ)救(Remediation) 的指令;

4、如果符合健康策略，則HRA為NAP客戶端分發(fā)健康證書，則客戶端可以使用此證書與其他符合健康策略的計(jì)算機(jī)開始初始化IPSEC連接;

5、如果不符合健康策略，HRA通知NAP客戶端如何校正其健康狀態(tài)并不發(fā)給客戶端健康證書，因此客戶端不能初始化IPSEC連接，但是客戶端可以與補(bǔ)救服務(wù)器通信，以校正客戶端的健康狀態(tài);

6、 NAP 客戶端發(fā)送相關(guān)的更新請求至補(bǔ)救服務(wù)器;

7、補(bǔ)救服務(wù)器提供符合健康策略的更新給NAP 客戶端，NAP客戶端更新其健康狀態(tài);

8、 NAP客戶端發(fā)送其更新過的健康狀態(tài)信息至SHA，SHA發(fā)送客戶端的健康狀態(tài)信息至NAP健康策略服務(wù)器;

9、假設(shè)其符合健康狀態(tài)策略，則發(fā)送結(jié)果至SHA，并頒發(fā)健康證書給客戶端，客戶端可以使用此證書開始IPSEC通信。

四、環(huán)境描述

此次實(shí)驗(yàn)依托前次Direct Access 實(shí)驗(yàn)環(huán)境，只需要額外添加一臺NPS服務(wù)器，具體設(shè)置如下：

軟件配置：

" NPS1：安裝有Windows server 2008 R2的成員服務(wù)器，同時(shí)為NPS和HRA角色

小貼士：NPS為網(wǎng)絡(luò)策略服務(wù)器，可以為客戶端運(yùn)行狀況、連接請求身份驗(yàn)證和連接請求授權(quán)創(chuàng)建并強(qiáng)制使用組織范圍的網(wǎng)絡(luò)訪問策略。

HRA為健康注冊機(jī)構(gòu)，作為一個(gè)注冊機(jī)構(gòu)，HRA 負(fù)責(zé)驗(yàn)證客戶端憑據(jù)，然后將證書申請轉(zhuǎn)發(fā)到代表客戶端的證書機(jī)構(gòu) (CA)。通過檢查網(wǎng)絡(luò)策略服務(wù)器 (NPS)，HRA 可驗(yàn)證證書申請以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。

網(wǎng)絡(luò)配置：

" NPS1：10.0.0.4/24(CIDR表示法，同255.255.255.0)

NAP軟件需求：

" NAP服務(wù)器：Windows Server 2008或更高版本。

" NAP客戶端：Windows XP SP3或更高版本，Windows Vista Business或更高版本，Windows 7或更高版本。

" Active Directory：至少有基于Windows server 2003 的DC，并為GC角色.

注意：此環(huán)境中所有服務(wù)器均使用Windows server 2008 R2企業(yè)版，客戶端使用Windows 7旗艦版。

#p#

五、前期準(zhǔn)備：服務(wù)器配置

DC1配置

1. 在AD中創(chuàng)建一個(gè)全局安全組：IPsec NAP Examption,將NPS、HRA及DC服務(wù)器放入此組，以標(biāo)識不管他們的健康狀況如何，都可以獲得一個(gè)系統(tǒng)健康證書，與網(wǎng)絡(luò)內(nèi)的任何計(jì)算機(jī)通信，并處于邊界網(wǎng)絡(luò)中。此實(shí)驗(yàn)需要將NPS1;DA1;APP1;DC1放入該組。

2. 配置證書模板，在【證書模板】中，復(fù)制工作站證書，起名：系統(tǒng)健康證書。如圖1

3. 切換到【擴(kuò)展】選項(xiàng)卡中，編輯【應(yīng)用程序策略】，點(diǎn)擊【添加】，找到【系統(tǒng)健康身份驗(yàn)證】，點(diǎn)擊【確定】，如圖2.雙擊【系統(tǒng)健康身份驗(yàn)證】確認(rèn)其對象標(biāo)識符為：1.3.6.1.4.1.311.47.1.1.如圖3

4. 回到新模板屬性中，切換到【安全】選項(xiàng)卡，添加【IPsec NAP Examption】安全組，并賦予【讀取、注冊、自動注冊】權(quán)限，這樣改組成員就不需要檢查系統(tǒng)健康狀態(tài)而獲取到一個(gè)系統(tǒng)健康證書了。如圖4

5. 在證書模板中新建剛才創(chuàng)建的【系統(tǒng)健康證書】。如圖5

6. 配置組策略，新建一個(gè)【NAP Policy】GPO，啟用其證書自動注冊功能。依次展開【NAP Policy】-【計(jì)算機(jī)配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【公鑰策略】，在右側(cè)的明細(xì)中，雙擊【證書服務(wù)器客戶端-自動注冊】，將其啟用，并勾選下面兩個(gè)選項(xiàng)。如圖6