Hvis du ønsker å lese andre deler til artikkelserien kan du lese:
Nettverk Access Protection, Revisited (del 1)
)
)
)
)
I forrige artikkel viste jeg deg hvordan du kan be om en datamaskin sertifikat og hvordan å knytte dette sertifikatet med VPN-serveren. I denne artikkelen vil jeg vende min oppmerksomhet mot kunder som vil være med å koble til VPN-serveren. Klientmaskinene må kjøre Windows Vista eller Windows XP med SP3 eller høyere, og må være domenemedlemmer. Like viktig skjønt, må de bli konfigurert til å kjøre en håndhevings klient komponenten. Vi vil gjøre denne komponenten gjennom group policy. I denne artikkelen vil jeg vise deg hvordan.
Opprette en Security Group
tingen om å skape et Network Access Protection relatert group policy er at du sannsynligvis ikke vil at det skal gjelde for alle datamaskinene på nettverket . Nettverkstjenere for eksempel, vil trolig aldri bli tilkobling via VPN, og bør derfor ikke være konfigurert som Network Access Protection-klienter. Fordi vi trenger å diskriminere mellom datamaskiner som må fungere som Network Access Protection-klienter og de som ikke gjør det, vil vi starte prosessen ved å opprette en sikkerhetsgruppe som vi kan bruke de policyinnstillinger til.
Å skape den nødvendige sikkerhetsgruppen Åpne Active Directory Users and Computers konsollen. Når konsollen åpnes, høyreklikker du på domenet ditt og velg deretter Ny | Gruppe kommandoer fra de resulterende hurtigmenyer. Når du gjør det, vil Windows åpner New Object - Grupper dialogboksen. Gå videre og spesifisere NAP Klienter som navnet på gruppen. Sørg for at konsernets omfang er satt til Global, og sørge for at gruppen er satt til sikkerhet. Klikk OK for å opprette gruppen.
Installer Group Policy Management-funksjonen
neste du må gjøre er å installere Group Policy Management-funksjonen, slik at du kan endre de ulike gruppepolicyinnstillinger. For å gjøre dette, åpne Server Manager og gå til Features Summary delen. Klikk på koblingen legge til funksjoner, og du vil bli tatt til en skjerm som viser deg hvilke funksjoner som er installert. Hvis det ikke allerede er installert, velger du i boksen som tilsvarer Group Policy Management-funksjonen. Til slutt klikker Neste
, etterfulgt av Installer
. Når installasjonen er ferdig, gå videre og klikk Lukk for å lukke veiviseren. Du kan også lukke Server Manager på dette punktet.
Opprette gruppepolicyinnstillinger
Nå som den nødvendige sikkerhetsgruppen er på plass, og vi har installert Group Policy Management-funksjonen, er det på tide å gå videre og konfigurere de nødvendige gruppepolicyinnstillinger. Starte prosessen ved å angi GPME.MSC kommando ved Run teksten. Når du gjør det, vil Windows vise en dialogboks der du kan velge hvilke av de eksisterende gruppen politikk du vil redigere. Stedet for å redigere en av de eksisterende gruppen politikk, må vi opprette en ny gruppe policy objekt.
Du kan oppnå dette ved å klikke på Create New Group Policy Object knappen som er funnet like til høyre for oversikt for ditt domene. Ved å klikke på denne knappen, vil du bli bedt om å skrive inn navnet på den nye gruppepolicyobjektet du oppretter. For vårt formål, la oss kalle de nye group policy objekt NAP Client Settings.
Nå som den nye gruppepolicyobjektet er opprettet, velger du den og klikker OK. Dette vil føre til Windows for å åpne Group Policy Management Editor. Du må nå navigere gjennom konsolltreet til datamaskin | Konfigurasjon | Politikk | Windows Innstillinger | Sikkerhetsinnstillinger | System Services. Nå, dobbeltklikker du på oppføringen for Network Access Protection Agent, som finnes i detaljruten Windows
. Skal nå åpne Network Access Protection Agent dialogboksen Egenskaper. Velg Definer denne policyinnstillingen i boksen, og velg deretter automatisk oppstart. Klikk OK for å lukke dialogboksen
Nå navigere gjennom konsolltreet til Computer Configuration. | Politikk | Windows Innstillinger | Sikkerhetsinnstillinger | Network Access Protection | NAP Client Configuration | Håndheving klienter. Ved å gjøre det, vil detaljruten vise en liste over de ulike håndhevings klienter som er tilgjengelige. Høyreklikk på Remote Access Karantene Enforcement Client, og velg deretter Aktiver kommandoen fra hurtigmenyen. Nå, gå tilbake til NAP Client Configuration container, høyreklikker du på den, og velg deretter Apply
nå, gå tilbake gjennom konsolltreet til Computer Configuration. | Politikk | Administrative maler | Windows-komponenter | Sikkerhetssenter. Dobbeltklikk på Slå på Security Center (Domain PCer Only) container vist i detaljruten. Når du gjør det, vil Windows vise Slå på Security Center (Domain PCer Only) dialogboksen Egenskaper. Velg Aktivert alternativet, og klikk OK. Dette vil sikre at Security Center er tilgjengelig fra klient-PCer. Dette er viktig siden vi skal være testing Network Access Protection for evnen til å påvise hvorvidt Windows-brannmuren er aktivert.
Å fullføre prosessen, klikker OK og lukk Group Policy Management Editor. I noen tilfeller kan det hende du får en melding med spørsmål om du vil bruke endringene du har gjort i gruppepolicyobjektet. Hvis du mottar et slikt spørsmål, så sørg for å bruke endringene.
Konfigurere sikkerhets Filters
neste ting som vi må gjøre er å bruke noen sikkerhets filtre som hindrer Network Access Protection klienters innstillinger fra å bli brukt til nettverkstjenere. For å konfigurere de nødvendige filtre, oppgir gpmc.msc kommando ved Run teksten. Dette vil føre til Windows for å åpne Group Policy Management Console. Navigere gjennom konsolltreet til Domain | domenet | Group Policy Objects | NAP Client Settings.
Hvis du ser på detaljruten, vil du legge merke til den delen som er merket Security Filte mot bunnen av skjermen. Som standard gjelder politikken til godkjente brukere. Vi trenger å endre dette slik at politikken ikke er globalt brukes på alle som er logget inn. Klikk på Godkjente brukere notering, og klikk deretter på Fjern-knappen. Klikk OK når Windows spør om du er sikker.
Nå, klikk på Legg til. Windows skal be deg om å velge en bruker, datamaskin eller gruppen du ønsker å bruke som sikkerhetsfilter. Tast NAP Klienter inn i feltet, og klikk på Kontroller navn knappen. Forutsatt at navnet løser vellykket, klikker du OK.
Konklusjon
Nå er alle de nødvendige gruppepolicyinnstillinger er på plass. I neste artikkel i denne serien, vil jeg vise deg hvordan du legger til klientdatamaskinen til sikkerhetsgruppen som vi har skapt i denne artikkelen. Derfra vil jeg vise deg hvordan du gjør noen enkle tester for å være sikker på at policyinnstillinger gruppen som vi har definert blir brukt på riktig måte. Vi vil deretter gå videre til å teste Network Access Protection, og sørge for at den er i stand til å oppdage hvorvidt Windows-brannmuren er aktivert på klient-PC. Anmeldelser
Datamaskin læring 