使用NAP控制***客户端拨入公司网络

实战：使用NAP控制***客户端拨入公司网络

微软动手实战室发现经常有一些不满足公司安全策略（例如没有使用最新的病毒库）的计算机通过***拨号访问企业内部网络，这带来了巨大的风险。他们决定使用Windows Server 2008最新的网络访问保护(NAP)技术来控制这些***客户端，只允许满足安全策略的计算机访问企业网络，从而达到控制它们对公司内网访问的目标。

实战目标：

u 控制***客户端的接入

u 没有启用Windows 防火墙的计算机通过***拨入企业内网，只能访问“受限网络”

u 启用Windows防火墙的计算机通过***拨入企业内网，能够访问“公司网络”和“受限网络”

网络拓扑：

图 9-51实战场景

实战环境：

u RemotePC安装的是Vista企业版操作系统。

u DCServer安装Windows Server 2008企业版，是ess.com域中的域控制器和DNS服务器。

u RASServer安装Windows Server 2008企业版，连接Internet和内网，作为公司的远程访问服务器，是ess.com域中的成员。

u NPSServer安装Windows Server 2008企业版，是ess.com域中的成员，作为网络策略服务器。

9.3.1 在NPSServer上安装网络策略服务（NPS）

任务：

u 在NPSServer上安装网络策略服务

u 配置更新服务器组

u 设置Windows 安全健康验证程序

u 创建健康策略

步骤：

1. 如图9-52所示，在NPSServer上，打开服务器管理器，点击“添加角色”。

2. 如图9-53所示，在出现的开始之前对话框，点击“下一步”。

图 9-52 添加角色 图 9-53 向导

3. 如图9-54所示，在出现的选择服务器角色对话框，选择“网络策略和远程访问服”，点击“下一步”。

4. 如图9-55所示，在出现的网络策略和访问服务器简介对话框，点击“下一步”。

图 9-54 选择角色 图 9-55 网络策略和访问服务简介

5. 如图9-56所示，在出现的选择角色服务对话框，选中“网络策略服务器”，点击“下一步”。

6. 如图9-57所示，在出现的确认安装选择对话框，点击“安装”。

图 9-56 选择角色服务 图 9-57 确认安装选择

7. 如图9-58所示，在出现的安装结果对话框，点击“关闭”。

8. 点击“开始”à“程序”à“管理工具”à“网络策略服务器”，打开网络策略管理工具。

9. 如图9-59所示，右击“更新服务器”，点击“新建”。

图 9-58 安装结果 图 9-59 新建更新服务器组

10. 如图9-60所示，在出现的新建更新服务器组对话框，输入组名，点击“添加”。

11. 如图9-61所示，在出现的添加新服务器对话框，输入友好名称和DNS名称，点击“解析”。

图 9-60 输入更新服务器组名称 图 9-61 添加更新服务器

12. 如图9-62所示，点中“系统健康验证器”，右击“Windows安全健康验证程序”，点击“属性”。

13. 如图9-63所示，在出现的Windows安全健康验证程序属性对话框，点击“配置”。

图 9-62 打开Windows安全健康验证程序属性 图 9-63配置Windows 安全健康验证程序

14. 如图9-64所示，在出现的Windows 安全健康验证程序对话框，选中“已为所有网络连接启用防火墙”，点击“确定”。

15. 如图9-65所示，右击“健康策略”，点击“新建”。

图 9-64配置Windows 安全健康验证程序 图 9-65 新建健康策略

16. 如图9-66所示，在出现的新建健康策略对话框，策略名称输入“健康”，客户端SHV检查选择“客户端通过了所有SHV检查”，使用的SHV选中“Windows 安全健康验证程序”，点击“确定”。

17. 如图9-67所示，再新建健康策略，策略名称输入“不健康”，客户端SHV检查选择“客户端未能通过一个或多个SHV检查”，SHV选中“Windows安全健康验证程序”，点击“确定”。

图 9-66输入策略名称和配置客户端SHV检测 图 9-67 输入策略名称和配置客户端SHV检测

9.3.2 在NPSServer创建网络策略

任务：

u 为满足健康策略的计算机创建网络策略

u 为不满足健康策略的计算机创建网络策略

u 为不支持NAP的计算机创建网络策略

步骤：

18. 如图9-68所示，右击“网络策略”，点击“新建”。

19. 如图9-69所示，在出现的新建网络策略对话框，输入策略名称，网络访问服务器的类型选择“远程访问服务器（***-Dial up）”，点击“下一步”。

图 9-68 新建网络策略 图 9-69 输入策略名称和访问类型

20. 如图9-70所示，在出现的指定条件对话框，点击“添加”。

21. 如图9-71所示，在出现的选择条件对话框，点中“健康策略”，点击“添加”。

22. 如图9-71所示，在出现的健康策略对话框，健康策略选择“健康”，点击“确定”。

图 9-70 指定条件 图 9-71 添加健康策略的条件

23. 如图9-72所示，在指定条件对话框，点击“下一步”。

24. 如图9-73所示，在出现的指定访问权限对话框，选择“已授予访问权限”，点击“下一步”。

图 9-72 指定条件 图 9-73 指定访问权限

25. 如图9-74所示，在出现的配置身份验证方法对话框，选择“Microsoft加密身份验证版本2”，选择“Microsoft加密身份验证”，选择“用户可以在密码过期后更改密码”。点击“下一步”。

26. 如图9-75所示，在出现的配置约束对话框，点击“下一步”。

图 9-74 指定身份验证方法 图 9-75 配置约束

27. 如图9-76所示，在出现的配置设置对话框，点中“NAP强制”，选择“允许完全网络访问”，点击“下一步”。

28. 如图9-77所示，在出现的正在完成新建网络策略对话框，点击“完成”。

图 9-76 配置NAP强制 图 9-77 完成向导

29. 如图9-78所示，右击“网络策略”，点击“新建”。

30. 如图9-79所示，在出现的指定网络策略名称和连接类型对话框，输入策略名称，网络访问服务器的类型选择“远程访问服务器（***-Dial up）”，点击“下一步”。

图 9-78 新建网络策略 图 9-79 指定策略名称

31. 如图9-80所示，在出现的指定条件对话框，点击“添加”。

32. 如图9-80所示，在出现的选择条件对话框，点中“健康策略”，点击“添加”。

33. 如图9-80所示，在出现的健康策略对话框，健康策略选择“不健康”，点击“确定”。

34. 如图9-81所示，在指定条件对话框，点击“下一步”。

图 9-80 指定条件 图 9-81 指定条件

35. 如图9-82所示，在出现的指定访问权限对话框，选择“已授予访问权限”，点击“下一步”。

36. 如图9-83所示，在出现的配置身份验证方法对话框，如图所选，点击“下一步”。

图 9-82 指定访问权限 图 9-83 配置身份验证方法

37. 如图9-84所示，在出现的配置约束对话框，点击“下一步”。

38. 如图9-85所示，在出现的配置设置对话框，点中“NAP强制”，选择“允许受限访问”，却掉选中“启用客户端计算机自动更新功能”，点击“配置”。

图 9-84 配置约束 图 9-85 配置设置

39. 如图9-86所示，在出现的更新服务器和疑难解答URL对话框，选择UpdateServer1，点击“确定”，点击“下一步”。

40. 如图9-87所示，在出现的正在完成新建网络策略对话框，点击“完成”。

图 9-86 指定更新服务器组 图 9-87 完成向导

41. 右击“网络策略”，点击“新建”。

42. 在出现的制定网络策略名称和连接类型对话框，输入策略名称，选择网络访问服务器的类型“远程访问服务器（***-Dial up）”，点击“下一步”。

图 9-88 新建策略 图 9-89 输入策略名称

43. 如图9-90所示，在出现的指定条件对话框，点击“添加”。

44. 如图9-90所示，在出现的选择条件对话框，点中“支持NAP的计算机”，点击“添加”。

45. 如图9-91所示，在出现的支持NAP的计算机对话框，选择“仅限不支持NAP的计算机”，点击“确定”。

图 9-90 指定条件 图 9-91 指定条件

46. 如图9-92所示，在选择条件对话框，点中NAS接口类型，点击“添加”。

47. 如图9-93所示，在出现的NAS端口类型对话框，如图选择，点击“确定”。

图 9-92 指定条件 图 9-93 指定端口类型

48. 如图9-94所示，在指定条件对话框，点击“下一步”。

49. 如图9-95所示，在出现的指定访问权限对话框，选择“已授权访问权限”，点击“下一步”。

图 9-94 指定条件 图 9-95 指定访问权限

50. 如图9-96所示，在出现的身份验证方法对话框，如图选择身份验证仿佛那，点击“下一步”。

51. 如图9-97所示，在出现的配置约束对话框，点击“下一步”。

图 9-96 配置身份验证方法 图 9-97 配置约束

52. 如图9-98所示，在出现的配置设置对话框，点中“NAP强制”，点中“允许受限访问”。

53. 如图9-99所示，在出现的正在完成新建网络策略对话框，点击“完成”。

图 9-98 配置NAP强制 图 9-99 完成向导

9.3.3 在NPSServer上申请服务器证书

任务：

u 申请计算机证书

u 创建连接请求策略

u 配置连接请求策略身份验证方法

u 创建RADIUS客户端

步骤：

54. 如图9-100所示，打开微软管理控制台，添加/删除管理单元。

55. 如图9-101所示，在出现的添加删除管理单元对话框，点中“证书”，点击“添加”。

图 9-100 添加删除管理单元 图 9-101 选择证书

56. 如图9-102所示，在出现的证书管理单元对话框，选择“计算机帐户”，点击“下一步”。

57. 如图9-103所示，在出现的选择计算机对话框，选择“本地计算机”，点击“下一步”。

图 9-102 选择计算机帐户 图 9-103 选择本地计算机

58. 如图9-104所示，在添加或删除管理单元对话框，点击“确定”。

59. 如图9-105所示，右击“个人”，点击“所有任务”à“申请新证书”。

图 9-104 完成管理单元添加 图 9-105 申请证书

60. 如图9-106所示，在出现的证书注册对话框，点击“下一步”。

61. 如图9-107所示，在出现的证书申请对话框，选中“计算机”，点击“注册”

图 9-106 申请证书向导 图 9-107 选择计算机证书证书

62. 如图9-108所示，计算机证书申请成功，点击“完成”。

63. 如图9-109所示，右击“连接请求策略”，点击“新建”。

图 9-108 申请成功 图 9-109 新建请求策略

64. 如图9-110所示，在出现的指定连接请求策略名称和连接类型对话框，输入策略名称“***连接”，网络访问服务器的类型选择“远程访问服务器（***-Dial up）”，点击“下一步”。

65. 如图9-111所示，在出现的指定条件对话框，点击“添加”。

图 9-110 指定策略名称和访问类型 图 9-111 指定条件

66. 如图9-112所示，在出现的选择条件对话框，点中“NAS端口类型”，点击“添加”。

67. 如图9-113所示，在出现的NAS端口类型对话框，如图选择，点击“确定”。

图 9-112指定条件 图 9-113 指定端口类型

68. 如图9-114所示，在知道那个条件对话框，点击“下一步”。

69. 如图9-115所示，在指定连接请求转发功能对话框，点中“身份验证”，选择“在此服务器上对请求进行身份验证”，点击“下一步”。

图 9-114 指定条件 图 9-115 指定连接请求转发功能

70. 如图9-116所示，在出现的指定身份验证方法对话框，选中“改写网络策略身份验证设置”，点击“添加”。

71. 如图9-117所示，在出现的添加EAP对话框，选择“Microsoft：受保护的EAP（PEAP）”，点击“确定”。

图 9-116 指定身份验证方法 图 9-117 添加身份验证方法

72. 如图9-118所示，在指定身份验证方法对话框，点击“添加”，在出现的添加EAP对话框，选择“Microsoft 安全密码（EAP-MSCHAP）”，点击“确定”

73. 如图9-119所示，在指定身份验证方法对话框，点中“Microsoft：受保护的EAP（PEAP）”，点击“编辑”。

图 9-118 添加身份验证方法 图 9-119 添加身份验证方法

74. 如图9-120所示，在出现的配置受保护的EAP属性对话框，选择证书，选中“启用隔离检查”，点击“确定”，点击“下一步”。

75. 如图9-121所示，在出现的配置设置对话框，点击“下一步”。

图 9-120 编辑EAP属性 选择证书 图 9-121 配置设置

76. 如图9-122所示，在出现的正在完成连接请求策略向导对话框，点击“完成”。

77. 如图9-123所示，右击“RADIUS客户端”，点击“新建RADIUS客户端”。

图 9-122 完成向导 图 9-123 新建RADIUS客户端

78. 如图9-124所示，在出现的新建RADIUS客户端对话框，选中“启用此RADIUS客户端”，输入远程访问服务器的友好名称和DNS名称，指定共享机密，选择“RADIUS客户端支持NAP”，点击“确定”。

图 9-124 配置RADIUS客户端

9.3.2 RASServer上安装路由和访问服务

任务：

u 安装路由和远程访问服务

步骤：

79. 如图9-125所示，在RASServer上，打开服务器管理器，点击“添加角色”。

80. 如图9-126所示，在出现的开始之前对话框，点击“下一步”。

图 9-125 添加角色 图 9-126 添加角色向导

81. 如图9-127所示，在出现的选择角色对话框，选择“网络策略和访问服务”，点击“下一步”。

82. 如图9-128所示，在出现的网络策略和访问服务对话框，点击“下一步”。

图 9-127 选择角色 图 9-128 网络策略和访问服务简介

83. 如图9-129所示，在出现的选择角色服务对话框，选中“路由和远程访问服务”，点击“下一步”。

84. 如图9-130所示，在出现的确认安装选择对话框，点击“安装”。

图 9-129 选择角色服务 图 9-130 确认安装选择

85. 如图9-131所示，在出现的安装结果对话框，点击“关闭”。

86. 点击“开始”à“程序”à“管理工具”à“路由和远程访问”。打开管理工具。

87. 如图9-132所示，右击RASServer，点击“配置并启用路由和远程访问”。

图 9-131 安装结果 图 9-132 配置并启用路由和远程访问

88. 如图9-133所示，在出现的欢迎使用路由和远程访问服务器安装向导对话框，点击“下一步”。

89. 如图9-134所示，在出现的配置对话框，选择“远程访问（拨号或***）”，点击“下一步”。

图 9-133 配置远程访问向导 图 9-134 选择远程访问

90. 如图9-135所示，在出现的远程访问对话框，选中“***”，点击“下一步”。

91. 如图9-136所示，在出现的***连接对话框，选择Internet接口，点击“下一步”。

图 9-135 选择远程访问类型 图 9-136 配置***连接

92. 如图9-137所示，在出现的IP地址分配对话框，选择“来自一个指定的地址范围”。

93. 如图9-138所示，在出现的地址范围分配对话框，点击“添加”，在出现的信件IPv4地址范围对话框，输入起始地址和结束地址，点击“确定”。

图 9-137 指定分配客户端的地址范围 图 9-138 输入地址范围

94. 如图9-139所示，在出现的管理多个远程访问服务器对话框，选择“是，设置此服务器与RADIUS服务器一起工作”，点击“下一步”。

95. 如图9-140所示，在出现的RADIUS服务器选择对话框，指定主RADIUS服务器，和共享机密，点击“下一步”。

图 9-139 设置与RADIUS服务器一起工作 图 9-140 指定RADIUS服务器和共享机密

96. 如图9-141所示，在出现的正在完成路由和远程访问服务器安装向导对话框，点击“完成”，出现提示对话框点击“确定”。

97. 如图9-142所示，右击RASServer，点击“属性”。在出现的RASServer属性对话框，可以看到身份验证提供程序为“RADIUS身份验证”，记帐提供程序为“RADIUS记帐”，点击“确定”。

图 9-141 启用路由和远程访问 图 9-142 配置服务器属性

9.3.3在RemotePC上配置***客户端支持NAP

任务：

u 启用远程访问隔离强制客户端

u 启动NAP代理服务

u 建立***拨号连接

u 测试NAP设置

步骤：

98. 如图9-143所示，在RemotePC上，点击“开始”à“运行”，输入napclcfg.msc，打开NAP客户端配置。

99. 如图9-144所示，点中“强制客户端”，右击“远程访问隔离强制客户端”，点击“启用”。

图 9-143 打开NAP客户端 图 9-144启用远程访问隔离强制客户端

100. 如图9-145所示，点击“开始”à“运行”，输入Services.msc，点击“确定”，打开服务管理工具。

101. 如图9-146所示，右击“Network Access Protection Agent”，点击“属性”。

图 9-145打开服务管理工具 图 9-146 打开Network Access Protection Agent属性

102. 如图9-147所示，将该服务启动类型设置成“自动”，点击“启动”。

103. 如图9-148所示，点击开始菜单的网络连接图标，点击“网络和共享中心”。

图 9-147 启动服务且设置启动类型 图 9-148打开网络和共享中心

104. 如图9-149所示，在出现的网络和共享中心对话框，点击“设置连接或网络”。

105. 如图9-150所示，在出现的选择一个连接选项对话框，点中“连接到工作区”，点击“下一步”。

图 9-149 设置连接或网络 图 9-150 选择连接选项

106. 如图9-151所示，在出现的如何连接对话框，点击“使用我的Internet连接（***）”。

107. 如图9-152所示，在出现的你想在继续之前设置Internet连接吗对话框，点击“我将稍后设置Internet连接”。

图 9-151 选择如何连接 图 9-152 不设置Internet连接

108. 如图9-153所示，在出现的键入要连接的Internet地址对话框，输入RASServer公网IP地址，输入目标名称，点击“下一步”。

109. 如图9-154所示，在出现的键入您的用户名和密码对话框，输入拨号使用的帐户和密码以及域，点击“创建”。

图 9-153 输入远程访问服务器公网地址 图 9-154 输入***拨入帐号和密码

110. 如图9-155所示，出现连接已经可以使用对话框。

111. 如图9-156所示，在网络和共性中心对话框，点击“管理网络连接”。

图 9-155 完成***拨号 图 9-156 管理网连接

112. 如图9-157所示，在出现的网络连接对话框，右击“公司网络”，点击“属性”。

113. 如图9-157所示，在出现的公司网络属性对话框，点击“安全标签”，安全选项选择“高级（自定义设置）”，点击“设置”。

114. 如图9-158所示，在出现的高级安全设置对话框，选择“使用可扩展的身份验证协议（EAP）”，选择“受保护的EAP（PEAP）(启用加密)”，点击“属性”。

图 9-157 打开拨号属性 图 9-158 配置高级安全设置

115. 如图9-159所示，在出现的受保护的EAP对话框，去掉选中“验证服务器证书”，选中“启用快速重新连接”和“启用隔离设置”，点击“设置”。如图验证服务器证书，你需要配置该计算机信任企业CA。

116. 如图9-160所示，关闭RemotePC的Windows防火墙。点击“确定”，这样就不满足策略要求了。

图 9-159 不验证服务器证书且启用隔离 图 9-160 关闭Windows防火墙

117. 如图9-161所示，右击“公司网络”，点击“连接”。

118. 如图9-162所示，在出现的输入凭据对话框，输入域管理帐号和密码，点击“确定”。

图 9-161连接*** 图 9-162 输入帐号密码

119. 如图9-163所示，***拨号到企业内网，提示计算机不符合该网络要求，网络访问受限。

120. 如图9-164所示，启用Windows防火墙，点击“确定”。

图 9-163 访问受限 图 9-164 启用Windows防火墙

121. 如图9-165所示，可以看计算机符合该网络的要求，能够和内网计算机通信。

图 9-165 很快出现提示此计算机符合该网络要求