лабораторные
.pdf
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
Терминология Windows Server 2008 R2 NAP
Для понимания концепций NAP в Windows Server 2008 R2 важно разобраться в описанных ниже терминах.
Клиент внедрения (Enforcement Client – ЕС). Клиент, присутствующий в инфраструктуре NAP Windows 7, Windows Vista и Windows XP SP3, поддерживает NAP и может иметь топологию ЕС в NAP, так как во всех этих системах имеется компонент System Health Agent (Агент работоспособности системы).
Сервер внедрения (Enforcement Server – ES). Веб-сервер в составе инфраструктуры NAP, обеспечивающий выполнение политик. В Windows Server 2008 R2 это роль сервера сетевых политик
NPS (Network Policy Server).
Агент работоспособности системы (System Health Agent – SHA). Непосредственно агент, отсылающий информацию о работоспособности ES-серверам NAP. В Windows 7, Windows Vista и Windows ХР SP3 это верификатор работоспособности системы
Windows (System Health Validator – SHV) – служба,
выполняющаяся на каждом клиенте и следящая за локальным центром безопасности Windows (Windows Security Center) на компьютерах.
Верификатор работоспособности системы (System Health Validator – SHV). Это компонент NAP, работающий на стороне сервера, который выполняет обработку информации, получаемой от агентов SHA, и внедрение политик. SHV из Windows Server 2008 R2 допускает полную интеграцию с продуктами NAP других поставщиков, поскольку основан на открытых стандартах.
Сервер исправления (Remediation Server). Сервер, который становится доступным клиентам, не прошедшим тесты политики NAP. Эти серверы обычно выполняют службы, с помощью которых клиенты могут быть приведены в соответствие с политиками: серверы WSUS, DNS-серверы и серверы центра управления конфигурацией системы (System Center Configuration Manager).
Работа для выполнения на виртуальной машине Упражнение 1. Установка ролей Network Access Services Методические указания:
Откройте окно «Диспетчер сервера»/Роли/Добавить роли
(рис. 6.1)
61
Управление дистанционного обучения и повышения квалификации Вычислительные системы, сети и телекоммуникации
Рис. 6.1
В появившемся окне выполните следующие действия
Раздел |
Действия |
Перед началом работы |
Далее |
Выбор роли сервера |
Поставьте флаг возле |
|
«Службы политики сети и доступа» |
|
Далее |
Службы политики сети и доступа |
Далее |
(рис. 6.2) |
|
Службы ролей (рис. 6.3) |
Сервер политики сетей |
|
Далее |
Подтверждение |
Установить |
Результаты установки (рис. 6.4) |
Закрыть |
62
Управление дистанционного обучения и повышения квалификации Вычислительные системы, сети и телекоммуникации
Рис. 6.2
Рис. 6.3
63
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
Рис. 6.4
Упражнение 2. Настройка политик состояния Проверки допустимости системы (System Health Validator)
Примечание:
Перед выполнением упражнения перезагрузите виртуальную машину.
Методические указания:
В дереве Диспетчер сервера раскройте пункт Роли, подпункт Службы политики сети и доступа и нажмите Перейти в консоль NPS (рис. 6.5).
Рис. 6.5
64
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
Воткрывшейся консоли NPS необходимо настроить параметры. Нажмите «Дополнительная настройка».
Средства проверки работоспособности и Политики работоспособности, чтобы подготовить подходящую сетевую политику:
Компонент Средства проверки работоспособности задает требования к настройкам безопасности клиентов, которые обращаются к сети.
Политики работоспособности определяет различные конфигурации для NAP-совместимых клиентов.
Влевой части окна, в разделе дерева разверните NPS (локально). Далее разверните Защита доступа к сети. Выберите Средство проверки работоспособности системы безопасности Windows. Следует дважды щелкнуть на этом элементе в разделе центрального окна, чтобы открыть окно настройки (рис.6.6).
Рис. 6.6
Вокне свойства/параметры нужно щелкнуть на кнопке Настроить…, чтобы увидеть требования к безопасности. Можно просто установить соответствующие флажки, назначив требования к клиентам.
Вцелях тестирования установим только флажок брандмауэра как для Vista, так и для ХР.
Все остальные флажки необходимо снять. Два раза нажмите ОК, чтобы завершить настройку.
Упражнение 3. Шаблоны проверки исправности системы
(System Health Validator Template)
Шаблоны проверки исправности системы используются для
определения |
того, |
что понимается под исправным |
|
|
65 |
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
состоянием компьютера. Шаблоны проверки получают результаты проверок SHV и, основываясь на числе успешных и не успешных из пройденных проверок, сообщают, является компьютер допустимым или недопустимым.
В левой части экрана раскройте раздел Политики.
Правой кнопкой щелкните в левом окне на Политики работоспособности, и выберите Новый документ.
Для начала подготовим политику для соответствующих клиентов.
Имя политики |
Compliant |
Клиенты, проверяемые SHV |
Клиент проходит все проверки |
|
SHV |
Выбор параметра Клиент проходит все проверки SHV означает, что корректным считается клиент, который соответствует всем требованиям, заданным в SHV (в данном примере — только требование к брандмауэру).
SHV, используемые в политике |
Поставьте |
флажок |
в |
работоспособности |
Средство |
работоспособности |
|
|
системы безопасности Windows |
||
|
Ок |
|
|
Первая политика настроена. Следующий этап — создать политику для компьютеров, не соответствующих требованиям безопасности.
Задание: Повторите шаги, чтобы создать новую политику состояния, которую можно назвать noncompliant. В раскрывающемся меню нужно выбрать пункт Клиент проходит одну или несколько проверок SHV; в результате клиент, у которого выявлен хотя бы один некорректный компонент, считается несоответствующим. Наконец, следует установить флажок Средство работоспособности системы безопасности Windows и нажать ОК (рис. 6.7).
66
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
Рис. 6.7
Упражнение 4. Создание сетевых политик для NAP. Создание политики для несоответствующих их клиентов.
Методические указания:
После того как будет завершена настройка параметров SHV и Политики работоспособности, можно настроить сетевые политики.
В дереве консоли выберите пункт Сетевые политики. Проверьте, чтобы две политики были отключены.
По умолчанию в окне Имя политики две стандартные политики:
Подключения к серверу маршрутизации и удаленного доступа (Microsoft).
Подключения к другим серверам доступа
Создайте новую политику (щелкните правой кнопкой мыши по Сетевые политики и выберите Новый документ).
Имя политики |
NonCompIiant-Restricted |
|
(для политики, применяемой к несоот- |
|
ветствующим клиентам) |
67
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
Способ |
сетевого |
Поставьте маркер в Тип сервера доступа |
|||
подключения |
к сети |
|
|
||
|
|
В |
раскрывающемся |
списке |
выберите |
|
|
DHCP-сервер |
|
|
|
|
|
Далее |
|
|
|
Укажите условия |
Нажмите Добавить.. |
|
|
||
|
|
Промотайте до Защита доступа к и выбе- |
|||
|
|
рите |
|
|
|
|
|
Политика работоспособности |
|
||
|
|
Добавить |
|
|
|
|
|
Из |
предложенных политик |
выберите |
|
|
|
noncompliant |
|
|
|
|
|
Ок |
|
|
|
|
|
Нажмите добавить |
|
|
|
|
|
Промотайте до Защита доступа к и вы- |
|||
|
|
берите |
|
|
|
|
|
Компьютеры с поддержкой NAP |
|
||
|
|
Добавить |
|
|
|
|
|
Только компьютеры, |
поддерживающие |
||
|
|
NAP |
|
|
|
|
|
Ок |
|
|
|
|
|
|
|
|
|
|
|
Далее |
|
|
|
|
|
|
|||
Укажите |
разрешение |
Убедитесь, что выбрано Доступ разре- |
|||
доступа |
|
шен |
|
|
|
|
|
Далее |
|
|
|
На первый взгляд логично отказать в доступе некорректным клиентам, но в действительности полностью лишать их доступа неправильно. Предпочтительно предоставить им ограниченный доступ лишь к тем компьютерам, которые помогут повысить их безопасность (то есть серверам с программами коррекции).
Настройка |
методов |
Поставьте флаг возле Выполнять только |
проверки подлинности |
проверку работоспособности компьюте- |
|
|
|
ра. |
|
|
Снимите все остальные флажки |
|
|
Далее |
Поскольку выполняется настройка политики для проверки состояния безопасности клиентов через DHCP, и так как клиенты DHCP не проходят проверку подлинности на сервере DHCP,
68
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
настраивать методы проверки подлинности не нужно.
Настройка |
Далее |
ограничений |
|
Настройка параметров |
Принудительное использование NAP |
|
Разрешить ограниченный доступ |
|
Установите флажок возле Автообновле- |
|
ние |
|
Включить автообновление клиентских |
|
компьютеров |
|
Далее |
В режиме ограниченного доступа клиенты помещаются в карантин и получают доступ только к серверам коррекции. Из этого окна можно настроить серверы коррекции: достаточно щелкнуть на кнопке Настроить.., чтобы создать группу Remediation Server, и ввести IP-адреса для компьютеров.
Благодаря Разрешенному ограниченному доступу и Автообновлению клиентских компьютеров, клиентский компонент может подключаться автоматически и обновлять состояние системы безопасности компьютера. Например, отключенный брандмауэр будет включаться автоматически.
На странице Completing New Network Policy щелкните Finish
для завершения настройки сетевой политики для компьютеров, соответствующих требованиям вашей сети.
Завершение создания политики сети Готово
Упражнение 5. Создание политики для корректных клиентов После того, как будет готова политика для несоответствующих клиентов, необходимо составить политику для корректных
клиентов.
Задание:
Выполните те же шаги, чтобы создать новую сетевую политику, дав ей имя compliant full.
На странице «Укажите условия» выберите политику состояния compliant.
Настройка параметров Принудительное использование NAP Разрешить полный доступ к сети
69
Управление дистанционного обучения и повышения квалификации
Вычислительные системы, сети и телекоммуникации
Все другие параметры такие же, как в политике для некорректных клиентов.
Затем требуется настроить DHCP
Упражнение 6. Настройка группы серверов исправления
(Remediation Server Groups)
Группы серверов исправления (Remediation Server Groups) используются для указания ресурсов, доступ к которым разрешен недопустимому компьютеру. В эти группы часто включаются та-
кие ресурсы, как WSUS или серверы SMS (Systems Management Server – сервер управления системами), а также серверы для обновления антивируса. Крайне важно включить не только сами серверы, но также используемые клиентами для их поиска серверы разрешения имен.
Чтобы для автоматических обновлений использовать сервер wsus.class.ru, клиенты CLASS настраиваются с помощью групповой политики. В группу серверов исправления необходимо включить не только IP-адрес сервера WSUS, но также адрес сервера DNS, используемого клиентами для преобразования полного доменного имени (FQDN) в числовой IP-адрес. Не имея доступа к ресурсам разрешения этих имен, которые могут быть как DNS, так и WINS, в зависимости от настройки клиентов, клиенты не смогут разрешить адрес ресурсов исправления и, следовательно, не смогут получить к ним доступ.
Методические указания:
Ниже приведены параметры DNS и IP для рассматриваемого примера:
В дереве консоли Роли / Службы политики сети и доступа / NPS (Локально) / Защита доступа к сети, правой кнопкой щелкните Группы серверов обновлений, и выберите Новый документ.
Создайте новую группу и назовите ее Class Remediation Servers, и добавьте следующие IP адреса:
192.168.1.10 Class WSUS 192.168.1.11 Class Antivirus 192.168.1.1 Class DNS
70