I forrige artikkel i denne serien, viste jeg deg hvordan du konfigurerer et system helse validator slik at Windows vil sjekke om kunder som ber om tilgang til nettverket har Windows brannmur aktivert. Jeg viste deg hvordan du kan lage systemhelse validator maler som definerer hva det vil si å være i og ute av samsvar med nettverket helsepolitikk.
I denne artikkelen vil jeg diskusjonen ved å vise deg hvordan du oppretter helse autorisasjonsregler fortsette . Helse autorisasjonsregler er den politikken som styrer hva som skjer hvis en klient er kompatibel med nettverket helsepolitikken, eller hva som vil skje hvis systemet som ber om nettverkstilgang er funnet å være ikke-kompatibel. Det er denne politikken som bestemmer hvilket nivå av tilgang, om noen, mottar kunden til nettverket.
Begynn prosessen ved å åpne Network Policy Server konsollen hvis den ikke allerede er åpen og velge konsollens autorisasjonsregler container. Ved å gjøre det, ta en titt på Detaljer-ruten for å se om noen autorisasjonsregler for tiden eksisterer. På min test system, er det fire tidligere eksisterende autorisasjonsreglene, men hvem vet om ikke disse retningslinjene vil eksistere i den endelige versjonen av Longhorn Server. Dersom finnes noen retningslinjer, slette dem ved å høyreklikke på dem og velge Slett kommandoen fra den resulterende hurtigmenyen.
Nå som du har ryddet ut tidligere eksisterende retningslinjer, kan du lage en ny fullmakt politikk. For å gjøre dette, høyreklikk på Authorization Regler beholderen og velg Ny | Definerte kommandoer fra de resulterende hurtigmenyer. Windows vil nå vise den nye fullmakten Properties Politikk ark.
første du må gjøre er å tilordne et navn til politikken. La oss kalle denne politikken Compliant-Full-Access. Du kan gå inn i politikken navn i Regler feltet Navn funnet på egenskaper arket sin oversikt fane. Nå satt politikken type til å gi tilgang, som vist i figur A. Innstilling politikken typen til å gi tilgang gir ikke brukerne full tilgang til nettverket. Alt det betyr er at forespørsler som kommer inn i denne politikken er godkjent for videre behandling
Figur A:. Sett Regler Type til å gi tilgang
Nå velger egenskaper arket betingelser fane. Som navnet tilsier, gjør fanen Forhold deg å sette de forholdene som en klientdatamaskin må oppfylle for at politikken skal brukes. Bla gjennom listen over tilgjengelige forhold til Network Access Protection, og velg deretter SHV Maler alternativet ligger under den. Når du gjør det, detaljruten viser de eksisterende maler nedtrekkslisten. Velg Overensstemmelse fra rullegardinlisten, og klikk på Legg til. De betingelser som brukes i denne Policy vinduet vil nå vise at Computer Helse matcher "compliant", som vist i Figur B. Dette betyr at for å bli vurdert kompatibel, klientdatamaskiner må matche kriteriene som er definert i Overensstemmelse politikk som du har opprettet i en forrige del av denne artikkelserien. Mer spesifikt, betyr det at klientdatamaskiner må ha Windows brannmur aktivert
Figur B:. For å være kompatibel, må klientmaskiner oppfylle kravene som er definert i Overensstemmelse politikk som du opprettet i en tidligere del av denne artikkelserien
Nå kan du velge kategorien egenskaper arket Innstillinger. Kategorien Innstillinger inneholder en rekke innstillinger som kan brukes på datamaskiner som oppfyller vilkårene som du definerte tidligere. Siden dette er en politikk som vil bli brukt på datamaskiner som er kompatibel med nettverket sikkerhetspolitikk, må vi fjerne noen restriksjoner fra Innstillinger slik at kompatible datamaskiner kan få tilgang til nettverket.
Å gjøre dette, navigerer gjennom konsolltreet til Network Access Protection | NAP Enforcement. Nå velger ikke håndheve radio knappen, som vist i figur C. Dette hindrer kompatible datamaskiner fra å være begrenset fra å få tilgang til nettverksressurser
Figur C:. NAP håndhevelse bør ikke brukes på kompatible datamaskiner
Når du har valgt ikke håndheve alternativet, navigere gjennom konsolltreet til Begrensninger | Authentication Method. Detaljruten skal nå vise en serie med avmerkingsbokser, hver tilsvarer en annen autentiseringsmetode. Gå videre og fjern alle boksene, men sjekk EAP boksen. Klikk på EAP-metoder i boksen, og klikk deretter på Legg til. Velg Sikret passord (EAP-MSCHAP v2) og klikk OK to ganger for å lukke de ulike dialogboksene som har åpnet. Klikk OK igjen for å lagre malen som du har opprettet.
Så langt har vi laget en mal for kompatible datamaskiner, nå må vi lage en lignende mal for datamaskiner som ikke er kompatible. For å gjøre dette, høyreklikk på konsolltreet autorisasjon Politikk container og velg Ny | Definerte kommandoer fra de resulterende hurtigmenyer. Dette vil få Windows til å avsløre den nå velkjente New Authorization Regler Properties ark.
Som tilfellet var før, det første du må gjøre er å skrive inn et navn for den nye politikken som du oppretter. La oss kalle denne politikken noncompliant-Restricted. Selv om vi skaper et begrenset politikk, må du fremdeles sette politikken typen til å gi tilgang. Husk at dette ikke gir ikke tilgang til nettverket, men heller gjør videre behandling av politikken.
Nå, velg kategorien betingelser. Når vi skapte autorisasjonsregel for kompatible datamaskiner, opprettet vi en tilstand som krevde at datamaskinen skal være i samsvar med kompatibel mal som vi hadde laget i en tidligere del av denne artikkelserien. Siden denne politikken er for ikke-kompatible datamaskiner skjønt, må du sjekke for å se om klientdatamaskinens konfigurasjon kamper betingelsene definert i ikke-kompatibel mal. Konkret betyr dette å sjekke for å være sikker på at Windows-brannmuren ikke er aktivert.
Bla gjennom listen over tilgjengelige forhold til Network Access Protection og velg deretter SHV Maler container. Velg noncompliant alternativ fra listen av eksisterende maler, og klikk deretter på knappen Legg
Neste, velg kategorien Innstillinger og navigere gjennom konsolltreet til begrensninger. | Authentication Method. Detaljruten skal nå vise en serie med avmerkingsbokser, hver tilsvarer en annen autentiseringsmetode. Gå videre og fjern alle boksene, men sjekk EAP boksen. Klikk på EAP-metoder i boksen, og klikk deretter på Legg til. Velg Sikret passord (EAP-MSCHAP v2) og klikk OK to ganger for å lukke de ulike dialogboksene som har åpent.
Så langt alt som vi har gjort til politikk for ikke-kompatible datamaskiner har vært identisk med det vi gjorde til politikken for kompatible datamaskiner bortsett fra å angi en annen SHV mal. Hvis vi igjen denne politikken slik at det er, så ikke kompatible datamaskiner kan ende opp med å få tilgang til nettverket. Siden vi ikke ønsker at det skal skje, må vi bruke NAP håndheving å hindre nettverkstilgang.
For å gjøre dette, velg NAP Enforcement container funnet i listen over tilgjengelige innstillinger. Når du gjør det, detaljruten vil vise ulike håndhevings alternativer. Velg Håndheve alternativ, og velg deretter Oppdater for ikke kompatible datamaskiner automatisk sjekk boksen, som vist i Figur D. Klikk OK for å lagre den politikken som du har laget
Figur D:. Du må håndheve NAP beskyttelse for ikke-kompatible datamaskiner
Konklusjon
I denne artikkelen har jeg vist deg hvordan du oppretter autorisasjonsregler for både kompatibel og for ikke-kompatible datamaskiner. I neste artikkel i serien, vil vi konkludere med serverkonfigurasjonen. Anmeldelser