Innledning
I forrige del av denne artikkelserien, viste jeg deg hvordan å etablere en sikkerhetsgruppe som kan brukes til å bestemme hvilke datamaskiner vil bli operert ved hjelp av Network Access Protection. I denne artikkelen vil jeg konkludere serien ved å vise deg hvordan du gjør en klientdatamaskin et medlem av gruppen som du opprettet tidligere, og vi vil utføre noen tester for å forsikre deg om at fjerntilgang karantene håndheving kommer til å bli aktivert. Til slutt vil jeg vise deg hvordan du kobler til din fjerntilgang VPN.
Legge Datamaskiner til konsernet
Vår neste oppgave som vi må gjøre er å legge til noen klientmaskiner til sikkerhetsgruppen som vi opprettet i forrige artikkel. Starte prosessen med å åpne Active Directory Users and Computers konsollen, og deretter velge beholderen som bærer navnet ditt domene. Grunnen til at vi velger denne beholderen er fordi vi skapte sikkerhetsgruppen på domenenivå, heller enn å plassere den i Brukere container.
Når du velger domenenivå beholderen, skal du se NAP Klienter gruppen vises i detaljruten. Dobbeltklikk på denne gruppen, og Windows vil åpne konsernets eiendommer ark. Gå til egenskapsarket medlemmer fanen og klikk på Legg til. Nå skriver du inn navnet på en klient-PC til riktig plass. Deretter klikker du på Locations knappen og velg Datamaskiner container, og klikk OK. Når Windows kommer du tilbake til Select brukere, kontakter datamaskiner eller grupper skjermen, klikker du på Kontroller navn for å bekrefte at Windows kan finne din klient datamaskin med hell. Klikk OK to ganger for å fullføre prosessen.
Teste gruppepolicyinnstillinger
Nå som du har lagt til en klientmaskin til sikkerhetsgruppen som du har opprettet, er det på tide å teste klientmaskinen for å være sikker på at NAP relatert gruppepolicyinnstillinger er i kraft. Før du gjør selv, gå videre og starte klientmaskinen, og deretter logge inn som en standardbruker
Når du logger inn, må du åpne et ledetekstvindu og skriv inn følgende kommando:.
netsh NAP CLIENT SHOW Grouppolicy
Når du gjør det, skal du se et sett med resultater som ligner på de som er vist i figur A.
Figur A:
Skriv inn netsh NAP CLIENT SHOW Grouppolicy kommando ved ledeteksten
Som du kan se i figuren, er det flere forskjellige typer håndhevings klienter er innebygd i Windows. Dette er fordi det er flere forskjellige måter som NAP kan distribueres. Er at vi bruker NAP å kontrollere tilgangen til en VPN-server, den eneste håndhevelse klient som vi er interessert i er Remote Access Karantene Enforcement Client. Se under Remote Access Karantene Enforcement Client, og sørge for at Admin linjen er satt til Aktivert, som vist i figuren ovenfor. De andre håndhevings kunder bør forbli deaktivert i denne konfigurasjonen
For neste test, skriver du inn følgende kommando:.
netsh
NAP KLIENT SHOW STATE


Som du kan se i figur B, er resultatet fra denne kommandoen ganske lang. Bla gjennom utgang til du finner Remote Access Karantene Enforcement Client delen. Kontroller at Remote Access Karantene Enforcement Client er initialisert
Figur B:.
Verifisere at Remote Access Karantene Enforcement Client er initialisert
Hvis begge disse testene er vellykket, så gruppen policyinnstillinger knyttet til NAP er vellykket blir brukt til klienten. Hvis det er tilfelle, så gå videre og lukke ledetekstvinduet. Ellers må du gå tilbake og dobbeltsjekke konfigurasjonen.
Opprette en VPN-tilkobling
siste trinnet i konfigureringen innebærer å sette opp vår VPN-tilkobling til Remote Access Server. Prosessen for å gjøre det er ganske enkel. I Windows Vista, åpne Kontrollpanel, og dobbeltklikk deretter på Nettverks- og delingssenter-ikonet. Når Nettverks- og delingssenter åpnes, klikker du på Setup en tilkobling eller et nettverk link, som ligger i Oppgaver-ruten. På dette punktet, vil du se et skjermbilde som ligner på det som er vist i figur C, spør du hva slags tilkobling du vil opprette
Figur C:.
Velg Koble til arbeidsplassen alternativ , og klikk Neste
Velg Koble til en arbeidsplass alternativet, og klikk Neste
. Hvis det allerede er nettverksforbindelser til stede, da Windows vil spørre deg om du ønsker å opprette en ny tilkobling, eller hvis du vil bruke en eksisterende tilkobling. Velg alternativet for å opprette en ny tilkobling, og klikk Neste
.
Følgende skjermbilde spør deg om du vil bruke din Internett-tilkobling, eller hvis du ønsker å opprette direkte forbindelse en. Velg Bruk My Internet Connection (VPN) alternativet. Du vil nå bli bedt om å angi Nettadresse og mottakernavnet. Skriv inn enten RRAS serverens IP-adresse eller URL til Internett adressefeltet, og skriv deretter inn en beskrivelse av tilkobling til Destination navnefeltet. Du kan se et eksempel på dette i Figur D. Du bør også velge Ikke Koble Nå boksen
Figur D:.
Skriv inn RRAS serverens IP-adresse og en beskrivelse av server som du kobler til
Klikk på Neste, og du vil bli tatt til en skjerm som gir deg muligheten til å angi ditt brukernavn og passord. Hvorvidt du lagre legitimasjonen som en del av tilkoblings attributter er opp til deg. Når du er ferdig, klikker du på knappen Opprett, og den nye forbindelsen vil bli opprettet. Klikk Lukk for å lukke rester dialogboksen.
Nå som du har opprettet en VPN-tilkobling, må vi konfigurere noen sikkerhetsinnstillinger. For å gjøre dette, høyreklikk på tilkoblingen du nettopp opprettet, og velg deretter Egenskaper kommandoen fra den resulterende hurtigmenyen.
Når Windows åpner forbindelsen eiendommer ark, gå til kategorien Sikkerhet, og velg Avansert alternativ. Deretter klikker du på knappen Innstillinger.
Windows vil nå vise Advanced Security Settings dialogboksen vist i figur E. Velg Krev Encryption (Disconnect hvis Server Reduksjoner) alternativ fra Datakryptering nedtrekkslisten. Deretter velger du Bruk Extensible Authentication Protocol (EAP) alternativ, og velg deretter Beskyttet EAP (PEAP) (kryptering aktivert) alternativ fra Logon Security delen.
Figur E:
Du må konfigurere forbindelse for å bruke PEAP
På dette punktet, må du klikke på knappen Egenskaper. Når du gjør det, vil Windows vise Protected EAP Properties dialogboksen vist i figur F. Kontroller at Valider serversertifikat og Koble til disse serverne er merket av. Du bør også sørge for at tekstboksen under Koble til disse serverne alternativet inneholder en oppføring for riktig server.
Figur F:
autentiseringsmetode må settes til EAP-MSCHAP V2)
midtre delen av dialogboksen inneholder en liste over ulike sertifiseringsinstanser. For enkelhets skyld, gå videre og merk av i boksene ved siden av hvert oppført sertifiseringsinstans. I den nedre delen av dialogboksen, bør du sørge for at Select Authentication Method er satt til Secure Password (EAP-MSCHAP v2) og at Aktiver Karantene Sjekker er merket.
neste steg i prosessen er å klikke på knappen Konfigurer, og velg deretter automatisk bruke Windows-påloggingsnavnet og passordet (og eventuelt domene) i boksen. Klikk OK fire ganger for å lukke de ulike dialogboksene
. Testing NAP
På dette punktet er vi endelig klar til å sette NAP på prøve. Som du kanskje husker, kan du kreve kunder å møte en rekke helsemessige kriterier, men for demonstrasjonsformål, er vi bare krever Windows-brannmuren til å være aktivert på klientmaskinen. Det å være tilfelle, åpne Windows Security Center på klientmaskinen, og slå av Windows-brannmuren av. Når du er ferdig, anbefaler jeg forlater hoved Windows Security Center skjermen, vist i figur G, åpen, slik at du kan kontrollere status for Windows-brannmuren
Figur G:.
Sikre at Windows-brannmuren er slått av
Nå, åpne Kontrollpanel og dobbeltklikk på Nettverks- og delingssenter-ikonet. Når Nettverks- og delingssenter åpnes, klikker du på Koble til et nettverk link. Deretter klikker du på VPN-tilkoblingen du opprettet tidligere, og klikk på Koble til. Når du blir bedt, skriv ditt brukernavn og passord, og klikk på Koble til. Som Windows registrerer din datamaskin på nettverket, bør Windows-brannmuren automatisk slått på, som vist i Figur H.
Figur H:
NAP skal automatisk aktivere Windows-brannmuren når VPN-tilkobling er etablert
Konklusjon
Som du kan se, konfigurerer Remote Access Server til å bruke Network Access Protection er en ganske langtekkelig prosess. Likevel er det vanligvis verdt innsatsen, fordi det hjelper deg til å bedre sikre nettverkets sikkerhet. Anmeldelser