Развертывание сервера IPsec и изоляции домена с помощью групповой политики Windows Server 2008 (часть 4)

В части 3 нашей серии из четырех частей, посвященной настройке NAP с применением политики IPsec, мы настроили политику NAP IPsec, а затем настроили клиентов для тестирования. В этой заключительной части серии мы протестируем клиентов и посмотрим, как автоматически назначаются и удаляются сертификаты безопасности, а также как клиенты подключаются и отключаются от сети.

В этой статье мы сосредоточимся на двух основных задачах:

• Протестируйте сертификат работоспособности и конфигурацию автоматического исправления.
• Проверка применения политики NAP на VISTASP1

Проверка сертификата работоспособности и конфигурации автоматического исправления

В этом разделе мы выполним следующие задачи:

• Убедитесь, что и VISTASP1, и VISTASP1-2 имеют сертификаты работоспособности.
• Присоедините VISTASP1-2 к домену
• Проверьте автоматическое исправление на VISTASP1

Убедитесь, что и VISTASP1, и VISTASP1-2 имеют сертификаты работоспособности.

Используйте следующую процедуру для проверки регистрации сертификата работоспособности VISTASP1 в среде с проверкой подлинности домена и VISTASP1-2 в среде рабочей группы.

Выполните следующие шаги на VISTASP1 и VISTASP1-2:

1. Откройте диалоговое окно «Выполнить» и введите mmc, затем нажмите ENTER.

2. В меню «Файл» нажмите «Добавить/удалить оснастку».

3. Нажмите «Сертификаты», нажмите «Добавить », выберите «Учетная запись компьютера » и нажмите « Далее».

4. Убедитесь, что выбран Локальный компьютер: (компьютер, на котором запущена эта консоль), нажмите «Готово», а затем нажмите «ОК».

5. На левой панели консоли дважды щелкните Сертификаты (локальный компьютер), дважды щелкните Личные, а затем щелкните Сертификаты.

6. В области сведений в разделе Выпущено убедитесь, что подчиненный ЦС msfirewall-WIN2008SRV1-CA отображается. Убедитесь, что в поле «Предполагаемые цели» отображается «Проверка работоспособности системы». Поскольку VISTASP1-2 еще не прошел проверку подлинности в домене msfirewall.org, имя клиента не отображается в разделе «Кому выдано» и цель сертификата проверки подлинности клиента не отображается. Убедитесь, что сертификат на VISTASP1-2 имеет Цели проверки подлинности системы. Это действительный сертификат работоспособности NAP для клиентских компьютеров в среде рабочей группы. Сертификат работоспособности с проверкой подлинности домена, аналогичный сертификату, полученному на VISTASP1.

фигура 1

фигура 2

7. Закройте консоль сертификатов.

Присоедините VISTASP1-2 к домену

Используйте ту же процедуру, которую вы использовали ранее для присоединения VISTASP1 к домену msfirewall.org, чтобы присоединить VISTASP1-2 к домену msfirewall.org. Войдите в систему как администратор домена после перезагрузки компьютера.

Проверка автоматического исправления на VISTASP1

Политика сети NAP IPsec с несоответствием HRA указывает, что несоответствующие компьютеры должны быть автоматически исправлены. Следующая процедура позволяет убедиться, что VISTASP1 автоматически исправляется при отключении брандмауэра Windows.

1. В VISTASP1 откройте диалоговое окно «Выполнить» и введите firewall.cpl, затем нажмите ENTER.

2. В панели управления брандмауэра Windows нажмите «Изменить параметры», выберите «Выкл. (не рекомендуется)» и нажмите «ОК».

3. В области уведомлений может появиться сообщение о том, что компьютер не соответствует требованиям к работоспособности. Это сообщение отображается, поскольку брандмауэр Windows отключен. Щелкните это сообщение для получения более подробной информации о состоянии работоспособности VISTASP1. См. следующий пример.

Рисунок 3

4. Клиент NAP автоматически включит брандмауэр Windows, чтобы обеспечить соответствие требованиям работоспособности сети. В области уведомлений появится следующее сообщение: Этот компьютер соответствует требованиям этой сети.

Рисунок 4

5. Поскольку автоматическое исправление происходит быстро, вы можете не увидеть эти сообщения. Чтобы обновить значок уведомления NAP, введите в командной строке napstat и нажмите клавишу ВВОД.

Проверка применения политики NAP на VISTASP1

Теперь давайте посмотрим, как мы можем проверить, применяется ли принудительное применение политики NAP в клиентских системах. Начнем с тестирования с VISTASP1. Чтобы проверить это, мы выполним следующие процедуры:

• Настройте Windows SHV, чтобы он был более строгим, потребовав, чтобы на компьютерах были установлены антивирусные приложения. Поскольку ни на одном из клиентов не установлено антивирусное программное обеспечение, клиенты не смогут соответствовать требованиям, изложенным в SHV.

• Обновите SoH на VISTAP1. Это приведет к тому, что клиент отправит новое Заявление о состоянии здоровья в орган регистрации здоровья и сообщит, что клиент не соответствует требованиям.

• Убедитесь, что сертификат работоспособности клиента удален. Сертификат работоспособности удален, поскольку клиент не соответствует требованиям.

• Восстановите политику работоспособности до состояния с меньшими ограничениями, чтобы клиент мог соответствовать требованиям. Мы удалим требование AV, чтобы клиент снова стал совместимым.

• Обновите SoH на VISTASP1, чтобы показать, что машина теперь соответствует новой политике.

• Убедитесь, что сертификат работоспособности клиента восстановлен.

Настройте WSHV, чтобы он требовал антивирусного приложения.

Во-первых, настройте политику NAP, чтобы она требовала антивирусного приложения, в результате чего CLIENT1 не соответствует требованиям.

Выполните следующие шаги на WIN2008SRV1:

1. В WIN2008SRV1 нажмите «Пуск», выберите «Выполнить », введите nps.msc и нажмите клавишу ВВОД.

2. В левой панели консоли откройте Network Access Protection и щелкните System Health Validators.

Рисунок 5

3. В области сведений дважды щелкните Средство проверки работоспособности безопасности Windows и нажмите кнопку Настроить.

Рисунок 6

4. В диалоговом окне Windows Security Health Validator в разделе «Защита от вирусов » установите флажок «Антивирусное приложение включено».

Рисунок 7

5. Нажмите OK, а затем еще раз нажмите OK, чтобы закрыть окно свойств средства проверки работоспособности Windows.

6. Оставьте консоль NPS открытой для выполнения следующих процедур.

Обновите SoH на VISTASP1

Поскольку политики работоспособности были изменены после того, как VISTASP1 получил сертификат работоспособности, нам необходимо инициировать отправку нового состояния работоспособности из VISTASP1, которое будет оцениваться в сравнении с более строгими политиками работоспособности. Это произойдет по истечении срока действия сертификата работоспособности на VISTASP1 или при обнаружении изменения состояния работоспособности клиента. Мы можем произвести изменение состояния работоспособности, отключив брандмауэр Windows.

Выполните следующие шаги на VISTASP1:

1. В VISTASP1 щелкните Пуск, а затем щелкните Панель управления.

2. Щелкните Безопасность, щелкните Брандмауэр Windows, а затем щелкните Изменить параметры.

3. В диалоговом окне «Параметры брандмауэра Windows» выберите «Выкл. (не рекомендуется)» и нажмите «ОК».

Рисунок 8

4. Брандмауэр Windows снова включается автоматически, поскольку включено автоматическое исправление. Однако, поскольку для политик NAP теперь требуется антивирусное приложение, VISTASP1 останется в несоответствующем состоянии и не сможет получить сертификат работоспособности.

Подтвердить удаление сертификата здоровья

Затем просмотрите сертификаты компьютеров на CLIENT1, чтобы убедиться, что сертификат работоспособности был удален.

1. В VISTASP1 откройте диалоговое окно «Выполнить» и введите mmc, а затем нажмите клавишу ВВОД.

2. В меню «Файл» выберите «Добавить/удалить оснастку».

3. Нажмите «Сертификаты», нажмите «Добавить », выберите «Учетная запись компьютера » и нажмите « Далее».

4. Убедитесь, что выбран Локальный компьютер: (компьютер, на котором запущена эта консоль), нажмите «Готово», а затем нажмите «ОК».

5. В дереве консоли откройте Certificates (Local Computer)Personal.

6. Убедитесь, что сертификат о состоянии здоровья отсутствует.

Рисунок 9

7. Оставьте консоль сертификатов открытой для следующих процедур.

Удалите требование о работоспособности антивируса, чтобы VISTASP1 стал совместимым

Измените политики NAP, чтобы VISTASP1 стал совместимым.

1. В WIN2008SRV1 на левой панели консоли NPS откройте Защита доступа к сети и щелкните Средства проверки работоспособности системы.

2. Дважды щелкните Средство проверки работоспособности безопасности Windows и нажмите кнопку Настроить.

3. В диалоговом окне Windows Security Health Validator в разделе «Защита от вирусов » снимите флажок «Антивирусное приложение включено».

Рисунок 10

4. Нажмите OK, а затем еще раз нажмите OK, чтобы закрыть окно свойств средства проверки работоспособности Windows.

5. Закройте консоль NPS.

Обновите SoH на VISTASP1

Выполните предыдущую процедуру, чтобы обновить SoH на VISTASP1, отключив брандмауэр Windows. Будет запущен новый SoH, и брандмауэр Windows будет включен. Поскольку VISTASP1 теперь совместим с политиками NAP, ему будет предоставлен сертификат работоспособности.

Просмотрите сертификаты компьютеров на VISTASP1, чтобы убедиться, что сертификат работоспособности восстановлен.

1. В VISTASP1 в консоли Certificates в дереве консоли щелкните Personal.

2. Щелкните правой кнопкой мыши в области сведений и выберите Обновить. Убедитесь, что сертификат здоровья присутствует.

Рисунок 11

Рисунок 12

Резюме

В этой серии статей о применении NAP IPsec я стремился предоставить вам наглядный обзор многих частей движения, связанных с решением для обеспечения защиты NAP IPsec. Как вы видели, решение состоит из многих компонентов, и каждый компонент должен быть правильно сконфигурирован, чтобы получить работающее решение. Многие администраторы Windows выразили озабоченность по поводу сложности NAP с применением политики IPsec и из-за этой озабоченности не воспользовались этой исключительно мощной и эффективной технологией безопасности. Убедитесь, что вы воспроизвели эту демонстрацию в своей собственной лаборатории, прежде чем развертывать ее в рабочей сети, а также регулярно посещайте блог NAP для получения дополнительной информации. Загляните в блог NAP! Спасибо! -Том.