2023年11月27日发(作者:)
项目一 基于Windows Server 2008 R2域的
安全管理
Windows Server 2008 R2是微软最新的服务器操作系统,该操作系统秉承“按需定制”
的原则,可以根据需要选择安装组件。网络中常用的基础服务以“角色”的方式体现,更多
的管理任务以“功能”的方式体现。由于系统安装的服务少,因而能够减少网络攻击面,提
升网络安全。其中的AD DS域服务是Windows网络的基础网络服务,是Windows系列应用
型产品的核心平台,是用户管理、计算机管理的基础。
一、项目简介
本项目实现计算机系OU中若干计算机账号和用户账号(见表1-1)的统一的管理。
表1-1 网络环境描述
名称 类型 作用 备注
Server1 DC
Server2、Server3… 服务器 文件服务器等 域的成员服务器
PC1
PC2
服务器 域控制器
客户端计算机1 用户登录的计算机 OU内
客户端计算机2 用户登录的计算机 OU内
普通账号 域内用户 User1、user2、user3 用户账号
DC
文件服务器
……
PC机
图1-1 基于域的网络拓扑图
图1-1是网络拓扑图。
二、实训环境
1、软件环境
Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机
软件。
2、学院域,计算机系是域中的一个OU。
三、项目学时
本项目预计学时24学时,包含评讲。
任务1 应用组策略管理用户工作环境(6学时)
组策略是一个能够让系统管理员充分管理用户工作环境的技术,通过它来确保用户拥有
与权限相符的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可
以减轻系统管理员的管理负担。
[安全管理需求]
用户使用统一的方式上网,在登录、注销时使用统一脚本,普通用户在离开时可以关闭
本地服务器。为便于备份和管理,要实现文件夹的重定向,将文件目录统一放至文件服务器
上。用户登录后环境要求统一,如桌面、磁盘配额等。为了安全起见,不允许用户私自使用
移动存储介质,如USB、光盘设备。
[任务描述]
1、设置用户使用代理服务器上网
设置域内的计算机系内的用户必须使用企业内部的代理服务器(Proxy
Server)上网,代理服务器的网址为,端口号为8080,同时要将用户浏览器
IE的连接标签内更改代理服务器设置的功能禁用,以免用户私自通过此处更改这些设置值。
2、设置计算机配置中的安全设置
为计算机系中的用户user1分配可以关闭计算机(文件服务器)Server2的权限。
3、设置首选设置
要让位于计算机系OU内的所有用户登录时,其驱动器号Z:都会自动链接到dctools
共享文件夹;另外还要使用过滤功能让计算机系内的用户user2登录时,其磁盘驱动器Y:
会自动链接到dcdatabase共享文件夹,但是同样是计算机系的其他用户登录时不会有Y:
磁盘。(其中dc表示域控制器)
4、设置用户登录/注销脚本
实现客户计算机PC1启动脚本,显示类似于如图所示的对话框。
图1-2 登录脚本示意图
当用户注销时显示注销脚本,如图1-3所示。
图1-3 用户注销脚本示意图
5、设置用户配置中的文件夹重定向
为计算机系中的所有用户实现文件的集中管理,把My Documents文件夹指向网络中的
文件服务器server2下的ShareFile共享文件夹。
6、设置用户配置中的管理模板
使用组策略来限制访问可移动存储设备。
[步骤提示]
1、设置用户使用代理服务器上网
(1)将Windows Server 2008 R2升级为域控制器,域名为,客户机Windows7
加入域中。
(2)在域控制器上创建组织单元(OU)—计算机系,并将Windows7移到OU计算机
系中。完成后如图1-4所示。
图1-4 客户机加入OU中示意图
(3)在计算机系OU上设置组策略对象(GPO)并编辑,在“用户配置”-》“策略”-》
“Windows设置”-》“Internet Explorer”-》“连接”下设置代理。如图1-5所示。
图1-5设置代理服务限制
(4)为了限制用户更改代理服务器设置,要启用“禁用更改代理服务器设置”(在“策
略”-》“管理模板”中)。如图1-6所示。
图1-6 启用“禁用更改代理服务器设置”示意图
(5)在客户机上测试。效果如图1-7所示。
图1-7 客户机使用预设的代理方式上网且用户不能更改
2、设置计算机配置中的安全设置
(1)默认情况下域内用户可以在本地登录域中的成员服务器,但不能关闭成员服务器。
如图1-8所示。
图1-8 域中用户登录成员服务器但没有关机的权限示意图
(2)在成员服务器上设置权限,允许域用户可以关闭文件服务器。如图1-9所示。
图1-9 添加域用户可以关闭系统示意图
(3)组策略生效后,域内用户可以关闭文件服务器,如图1-10所示。
图1-10 域用户user1具备关闭服务器的权限示意图
3、设置首选设置
首选设置并非强制性,客户端可自行更改设置值,因此它适合用来当作默认值。
(1)需要在dc上创建共享文件夹tools和database,并设置合适的权限。
(2)在计算机系的“用户配置”-》“首选项”-》“Windows设置”-》“驱动器映射”下,
实现OU内的用户其驱动器号Z:都会自动链接到dctools共享文件夹。设置细节如图1-11、
1-12所示。
图1-11 映射驱动器“常规”标签设置
图1-12映射驱动器“常用”标签设置
(3)同样方法设置dcdatabase,使计算机系内的用户user2登录时,其磁盘驱动器Y:
会自动链接到dcdatabase共享文件夹,但是同样是计算机系的其他用户登录时不会有Y:
磁盘。细节如图1-13、1-14所示。
图1-13 设置过滤示意图
图1-14设置过滤示意图
(4)测试效果,如图1-15和1-16所示。
图1-15 user1登录后效果图
图1-16 user2登录后效果图
注:如果使用首选设置的客户端,必须安装支持首选设置的Client-side extension(CSE)
和XMLLite。Windows 7、Windows Server 2008和Windows Server 2008 R2均包含了上述组件。
但其它系统需要到微软官方网站去下载。
4、设置用户登录/注销脚本
只需将脚本文件放置在系统指定的目录中,并添加脚本名。如图1-17所示。
图1-17 添加脚本示意图
5、设置用户配置中的文件夹重定向
(1)默认时,用户登录系统后,会在当前系统的C:Users用户名下存储该用户的资料,
包括“我的文档”、“我的图片”、“我的音乐”…。如图1-18所示。
图1-18 用户的个人文件夹示意图
(2)现在需要将用户文档重定向到文件服务器的共享目录中。如图1-19所示。
图1-19 文件重定向设置
(3)在客户机上登录,将用户文档夹重定向到服务器上。如图1-20所示。
图1-20 客户文件夹重定向
6、设置用户配置中的管理模板
(1)使用组策略来限制访问可移动存储设备。
如图1-21所示,限制USB设备的读取和写入设置后的效果。
图1-21 限制USB设备的读取和写入
任务2 应用组策略部署软件(6学时)
通过组策略,可以将软件部署给域内的计算机。软件部署分为分配和发布。分配可以给
用户,也可以给计算机。
如果分配给用户,则用户在域内的任何一台计算机登录时,这个软件都会被通告给该用
户,但是此软件并没有完全安装,而只是安装了与这个软件有关的部分信息。当用户运行此
软件时,将会安装此软件。
如果分配给计算机,则当计算机启动时就会自动安装这个软件,而且任何用户登录都可
以使用此软件。
软件发布只能给用户,当将软件发布给域用户后,此软件并不会自动被安装到用户的计
算机内,用户可以通过控制面板来安装该软件。
[安全管理需求]
将软件部署给域内的计算机,当用户登录或计算机启动时会自动安装软件或者很容易安
装所部署的软件。
[任务描述]
1、利用组策略实现软件发布
制作一个QQ的msi文件,将此软件发布到计算机系内用户。
2、利用组策略实现软件的分配
(1)为计算机系中的用户设置组策略以实现程序的分配。
(2)为计算机系中的计算机设置组策略以实现程序的分配。
[步骤提示]
1、利用组策略实现软件发布
(1)msi软件的制作
方法一,利用工具软件WinINSTALL LE可以比较简单的制作出.msi文件。步骤为:
第一步,在Windows Server 2008 R2上安装WinINSTALL LE。默认该软件会安装在系统盘
C:Program Files (x86)ScalableWinINSTALL,共享名为WinINSTALL。
第二步,在Windows 7上通过网络访问Windows Server 2008 R2,运行共享文件夹
程序,此时它会创建Before快照,其内包含在安装非MSI应用
程序之前的环境,包含当前磁盘内有哪一些文件、登录设置值与其他设置值等。
第三步,根据提示指定封装后的MSI应用程序的文件名和存储路径,选择存储磁盘,
要扫描的磁盘,要排除的文件和文件夹,要排除的登录路径等,这里可以使用默认值。然后
程序会引导你安装这个非MSI程序。
第四步,完成非MSI应用程序的安装后,再次运行程序,此时将创建After
快照,然后将创建一个MSI应用程序。这个应用程序默认会放在服务器的
WinINSTALLBinPackages之内。
经过上述步骤,完成了一个MSI程序的制作。
方法二,利用Advanced Installer制作.msi文件。步骤为:
第一步,在Windows 7上安装Advanced Installer。可以选择默认安装选项,其安装路径
为“C:Program FilesCaphyonAdanced Installer”。
第二步,Advanced Installer使用的原理跟WinINSTALL LE一样。就是执行两次系统的快
照扫描,将两次快照扫描之间的系统和注册表的变化对比后,将差异记录并保存,再结合程
序打包成为相应的.msi包。通过“开始”-》Advanced Repackager,进入“重新封装器向导”,
如图1-22所示。根据向导的提示进行操作。
图1-22 重新封装向导示意图
第三步,填写需要打包的应用程序的路径,产品名称、版本、公司名称等信息,如图
1-23所示。然后选择“开始一个新的系统捕获”(这是第一次捕获)。其它设置都使用默认
值。捕获这个过程需要较长的时间,请耐心等候。
图1-23 重新封装软件示意图
第四步,进行完第一次系统扫描后,会自动弹出软件的安装界面,这时按照正常的步骤
安装软件。
第五步,软件安装完成后,会继续进行第二次的系统扫描,完成之后,即完成了重新封
装器向导,点击“完成”,会将捕获结果导入到新的Advanced Installer工程。如图1-24所示。
图1-24 Advanced Installer工程示意图
第六步,进入工程设置组的编辑页面,此处可以对产品细节、安装参数、升级、搜索、
运行环境、数字签名进行编辑,这里跳过。也可以进入工程定义组的编辑页面对文件和文件
夹、Java产品、注册表、媒介、组织进行编辑。还可以进入工程细节组的编辑页面,对环境、
文件关联、自定义操作、服务、合并模块、ODBC、SQL脚本、程序集、COM、驱动程序、
用户和组、任务计划进行编辑。在用户界面组的编辑页面中可以对全局属性、对话框、翻译
进行编辑,这里特别要注意的是,如果此工程是英语,则应该在构建语言中选择“简体中文”,
并选择“只创建一个多语言程序包”,这样使打包后的软件可以支持中文。最后,在工具组
的编辑页面中可以对IIS、更新器、序列号验证、CD/DVD自动运行、控制面板、Windows
防火墙、游戏浏览器进行编辑。此处全部使用默认值。
第七步,点击菜单项“工程”后选择“运行”或按“F5”键,将此工程保存,然后就开
始构建工程生成MSI文件的过程。如图1-25所示。
图1-25 构建msi工程示意图
构建完工程后会弹出应用程序的安装界面,进行安装。完成之后。到工程文件所在的文
件夹,打包后的msi文件就保存在此文件夹中。至此,软件的重新打包就算完成。
注:完成软件的打包之后,还可以对软件包进行测试,通过进一步的安装使用以确定软
件是否可以正常可用。可以使用命令行进入到msi所在的文件夹,运行“msiexec /i “”
/qb”进行验证。
(2)创建软件发布点
在域中的任一台服务器上创建一个文件夹作为软件发布点,设置必要的访问权限。将需
要发布的msi文件放入该文件夹中。
(3)在域控制器上设置软件默认的存储位置。
在组织单元计算机系上设置组策略,在用户配置-〉策略-〉软件安装-〉属性,设置默认
程序数据包位置,注意这里必须是UNC网络路径。如图1-26所示。
图1-26 设置默认程序数据包位置示意图
(4)布置软件
在“软件安装”-〉“新建”-〉“数据包”,选中需要发布的软件,单击“确定”,然后选
择“已发布”,单击“确定”。完成后如图1-27所示。
图1-27 部署软件示意图
(5)客户端安装被发布的软件
在域的任何一台计算机上,用计算机系上,用域账户user1登录,通过 控制面板-〉程
序-〉获得程序,单击上方的安装按钮,即可完成软件的安装。如图1-28所示。
图1-28 客户端安装已发布的软件
(6)取消已发布的软件
若要取消已经发布的软件,可以在已经发布的软件上单击鼠标右键,选择所有任务-〉
删除。将有两种选择,立即删除和允许用户继续但阻止新用户的安装。如图1-29所示。
图1-29 取消已经发布的软件示意图
2、将软件分配给用户或计算机
(1)分配给用户
将软件分配给用户的设置如图1-30所示。
图1-30 分配软件给用户示意图
思考:软件分配给用户和发布之间的区别。
(2)分配给计算机
软件分配给计算机,设置如图1-31所示。
图1-31 软件分配给计算机
注意:软件分配给计算机,则这些计算机启动的时候,将自动安装好该软件,域内用户
都可以通过计算机使用该软件。
任务3 限制软件的运行(4学时)
通过软件限制策略所提供的多种规则,可以限制或允许用户运行相应的程序。
[安全管理需求]
利用软件限制策略中的各种规则,拒绝用户运行指定的程序。
[任务描述]
设置软件限制策略,完成:
1、通过配置路径规则,使%windir%(计算机器)程序不能在计算机
系中的机器上运行。
2、通过为用户设置哈希规则,使用户无法运行某软件。比如QQ软件的安装。
3、通过为用户设置证书规则,使用户可以运行某个软件,比如QQ软件的安装。
[步骤提示]
1、设置路径规则
如图1-32所示,可以设置计算机器程序的运行,当用户登录计算机后,将出现图1-33
所示的效果。
图1-32 设置软件路径规则
图1-33 软件路径规则效果图
2、设置哈希规则
哈希规则的设置如图1-34所示。效果如图1-35所示。
图1-34 设置哈希规则示意图
图1-35 哈希规则设置效果图
3、设置证书规则
(1)为客户端启用证书规则
在DC上通过“计算机配置”-〉“策略”-〉“Windows设置”-“安全设置”-〉“本地策
略”-〉“安全选项”,在右边启用“将Windows可执行文件中的证书规则用于软件限制策略”。
如图1-36所示。
图1-36 启用客户端的证书规则示意图
(2)架设CA
如图1-37所示。架设企业CA并选择web注册功能,同时创建独立CA,如图1-38所示。
图1-37 架设企业CA示意图
图1-38 创建独立CA
(3)向CA申请程序代码签署证书
在DC上,将IE浏览器中的“对未标记为可安全执行脚本的ActiveX控件初始化并执行
脚本”启用,如图1-39所示。通过192.168.10.2/certsrv/向证书服务器申请证书。
图1-39 启用ActiveX
第一步,下载CA证书链。如图1-40所示。
图1-40 下载CA证书链
第二步,安装证书。如图1-41所示。
图1-41 安装CA证书
第三步,申请证书,如图1-42所示。
图1-42 申请证书
第四步,填写申请表。如图1-43所示。
图1-43 申请代码签名证书示意图
第五步,安装证书。
第六步,导出证书。通过浏览器下载证书。如图1-44所示。
图1-44 下载证书示意图
(4)设置组策略,新建证书规则(将计算机系单元内的默认的安全级别设置为不允许)。
然后设置证书规则。
图1-45 设置证书规则
(5)验证测试。
任务4利用WSUS(Windows Software Updates Service)服
务器实现软件升级(2学时)
[安全管理需求]
为了在企业中使用统一的更新源,从WSUS获取更新,以避免所有客户端都从网络更新
所带来的下载流量对公司带宽的占用。有了WSUS,所有客户端从WSUS获取系统补丁,获
取系统补丁是降低系统受攻击和毒害的有效办法。
[任务描述]
下载并安装WSUS3.0 sp2,完成WSUS服务器的配置安装。
[步骤提示]
1、添加WSUS角色,如图1-46所示。
图1-46 添加服务器角色
2、下载并安装WSUS软件包。
可以直接通过Internet下载并安装,如图1-47所示。安装时全部使用默认选项。
图1-47 WSUS安装
3、配置WSUS服务器
图1-48 配置WSUS选择更新产品
4、设置组策略,实现客户端的WSUS访问。
在DC上,通过“计算机配置”-〉“策略”-〉“管理模板”-〉“Windows组件”-〉“Windows
Update”设置。如图1-49所示,配置自动更新示意图。图1-50,配置更新服务器地址。
图1-49 设置自动更新
图1-50 设置更新站点
5、客户机测试
如果组策略中设置了更新设置,则在客户端将不能进行修改。如图1-51所示。
图1-51 客户端用户不能修改设置选项
任务5 使用网络访问保护(NAP)实现网络访问安全(6学
时)
[安全管理需求]
网络访问保护(NAP)可以强制客户端的计算机环境必须符合健康策略的要求,也就是
客户端计算机必须是健康的,否则客户端只能够访问受限制的网络资源,以免不健康的客户
端危害到内部网络安全。反过来说,健康的客户端可以访问完整网络资源。
[任务描述]
NAP客户端
DC&DNS服务器
DHCP服务器&
RADIUS代理服务器
NAP健康策略服务器&
RADIUS服务器
图1-52 DHCP NAP拓扑图
1、如图1-52所示。域的计算机系OU内客户机(同时也是NAP客户端)需
要配置NAP健康策略来强制NAP客户端必须打开Windows防火墙。当NAP客户端向DHCP
服务器租用IP地址时,会将客户端的健康情况发送给NAP强制执行点DHCP服务器,DHCP
服务器再通过向NAP健康策略服务器查询客户端是否符合健康策略的要求。包括:
(1)若NAP客户端已打开Windows防火墙,则根据策略给予客户端具备完整网络访
问权限的IP配置与路由设置策略。
(2)若NAP客户端未打开Windows防火墙,则根据策略给予客户端不同的IP配置与
路由设置,让该客户端仅能访问受限制的网络资源。
DC & DNS
& DHCP
& 企业根CA
VPN服务器 外网客户端
RADIUS客户端
DHCP中继代理
NAP健康策略服务器
RADIUS服务器
图1-53 VPN NAP拓扑结构图
2、如图1-53所示。配置NAP健康策略来强制计算机系内NAP客户端必须打开Windows
防火墙。包括:
(1)若NAP客户端已打开Windows防火墙,则VPN服务器会给予客户端完整的网络
访问权限。
(2)若NAP客户端未打开Windows防火墙,则VPN服务器将根据策略给予客户端受
限制的网络访问权限,比如只能访问DC。
[步骤提示]
1、DHCP NAP配置
(1)配置环境
如图1-52所示,3台服务器全部是Windows Server 2008 R2 Enterprise系统,NAP客户
端为Windows 7系统。将4台计算机连接在同一个网段内(比如192.168.10.0/24网段),并
设置好IP地址,测试网络的连通性。
如果是在VMware中独自完成,可以将这4台计算机放到一个team中(需要创建),这
里创建的Team组的名称为DHCP NAP,如图1-54所示。
提示,如果是通过Clone出来的机器,还需要进行重新封装(运行sysprep命令)。
图1-54 VMware中创建team示意图
(2)架设NAP健康策略服务器
第一步,将NAP服务器加入域中。
第二步,在NAP服务器上安装“网络策略服务器”角色。通过“添加角色”-〉选择“网
络策略和访问服务”-〉“网络策略服务器”。
第三步,设置NAP为健康策略服务器。这里的设置,牵扯到相当多的内容,包含系统
健康验证代理程序(SHA,System Health Agent)设置、健康策略设置、网络策略设置、连
接请求策略设置、更新服务器组设置与RADIUS客户端的设置等。这里可以借助NAP配置向
导来快速设置。
首先,通过“管理工具”-〉“网络策略服务器”-〉选中“NPS(本地)”-〉单击“配置
NAP”,如图1-55所示。
图1-55 配置NAP示意图
其次,设置“网络连接方法”,选择“动态主机配置协议(DHCP)”,如图1-56所示。
图1-56 选择动态主机配置协议示意图
第三,添加DHCP服务器的IP作为RADIUS客户端,并手动设置密码。如图1-56所示。
图1-56 RADIUS客户端添加设置
第四,接下来的设置使用默认值,直至最后完成。
第五,展开“RADIUS客户端”-〉双击DHCP服务器-〉在“高级”标签下,选择供应商
名称为“Microsoft”,其它为默认值。如图1-57所示。
图1-57 RADIUS客户端中的DHCP属性设置
第六,配置系统健康程序(SHV)。通过打开“网络访问保护”-〉“系统健康验证程序”
-〉“Windows安全健康验证程序”-〉“设置”-〉“默认配置”,只选择“已为所有网络连接启
用防火墙”,取消其他选项框,如图1-58所示。
图1-58 系统健康验证程序的设置
第七,在左边的树中,展开可以在“策略”下查看产生的策略。必要时可以修改这些策
略,如图1-59所示。
图1-59 策略示意图
(3)设置DHCP服务器
第一步,将DHCP服务器加入域。
第二步,安装DHCP服务器及网络策略服务器。安装时,DHCP选项使用默认值,作用
域的名称及范围自己设定。禁用DHCPv6无状态模式。
第三步,设置DHCP作用域的NAP设置。
首先,通过DHCP作用域的“属性”对话框,选择“网络访问保护”标签-〉“对此作用
域启用”-〉“使用默认网络访问保护配置文件”。如图1-60所示。
图1-60 DHCP作用域的NAP设置
其次,设置不健康客户端的选项(健康客户端的作用域选项在安装DHCP服务器时已经
设置了)。在“作用域选项”上单击右键-〉“配置选项”-〉“高级”标签下,选择“默认的
网络访问保护级别”-〉选择“006 DNS服务器”-〉在“IP地址”处设置IP地址。如图1-61
所示。继续选择“015 DNS域名,输入,如图1-62所示。最后完成后,
可以看到针对健康与不健康NAP客户端分别有两个不同的选项设置。如图1-63所示。
图1-61 作用域选项设置(1)
图1-62 作用域选项设置(2)
图1-63 作用域选项设置完成后的效果图
第四步,RADIUS代理服务器设置。将DHCP服务器设置为RADIUS代理服务器的步骤为:
首先,创建远程RADIUS服务器组。在网络策略服务器中右击“远程RADIUS服务器”-〉
“新建”-〉设置组名,添加NAP服务器的IP地址。如图1-64所示。
图1-64 添加RADIUS服务器地址示意图
其次,在“身份验证/记账”标签,输入与“NAP健康策略服务器”端相同的密码。如
图1-65所示。
图1-65 设置NAP健康策略服务器验证密钥
第三,在左边的“连接请求策略”文件夹,在右边的“Use Windows authentication for all
users”的属性中,单击标签“设置”,在“身份验证”-〉“将请求转发到以下远程RADIUS
服务器组进行身份验证”-〉使用刚才创建的远程RADIUS服务器组“NAP健康策略服务器”。
如图1-66所示。
图1-66 设置RADIUS代理服务器的身份验证
(4)NAP客户端的DHCP测试
由于客户端Win7未启用与NAP有关的功能,属于不支持NAP的客户端,故当它向DHCP
申请IP时,尽管可以成功,但所获得的DHCP选项是受限制的那组选项。如图1-67所示,
DNS后缀是,子网掩码为255.255.255.255。同时客户端不能和DC和NAP
健康策略服务器通信。
图1-67 客户端申请IP示意图
(5)将域控制器指定为NAP更新服务器
通过将DC作为NAP更新服务器,让不健康的客户端与不支持NAP的客户端都可以连
接域控制器,以便之后可以加入域,然后通过域的组策略自动设置客户端的NAP设置值,
让这些客户端变成健康的客户端。步骤为:
首先,在NAP健康策略服务器上的“策略”-〉“网络策略”-〉“NAP DHCP不符合”,在
其属性对话框中,单击“设置”标签,选中“NAP强制”-〉“配置”-〉“新建组”,输入组
名,然后“添加”,将入的域控制器取一个友好的名字,输入IP地址,单击解析。如图1-68
所示。
图1-68 设置NAP更新服务器
其次,设置“NAP DHCP不支持NAP”属性。在“设置”标签下,单击“NAP强制”-〉
“配置”下,在“更新服务器组”中选择刚才新建的服务器组名。完成后如图1-69所示。
图1-69 设置NAP DHCP不支持NAP的属性
第三,通过上述设置后,可以测试DHCP NAP客户端可以和域控制器进行通信。(需要
重新申请IP地址,然后通过ping命令测试)
(6)将NAP客户端加入域后的DHCP测试
首先,需要在DC上新建安全组。这里在计算机系OU中创建安全组,组名为NAP客户
端。如图1-70所示。
图1-70 创建域的组
其次,在计算机系OU上创建组策略对象(名称自定),然后进行编辑。这里有3处需
要设置,一是“计算机配置”-〉“策略”-〉“Windows设置”-〉“系统服务”中的“Network
Access Protection Agent”的启动类型改为自动;二是在“安全设置”-〉“网络访问保护”-〉
“NAP客户端设置”-〉“强制客户端”中的“DHCP隔离强制客户端”的状态设置为启用;
三是将“计算机配置”-〉“策略”-〉“管理模板”-〉“Windows组件”-〉“安全中心”中的
“启用安全中心(仅限域PC)”的状态设置为启用。
第三,将此组策略设置到组“NAP客户端”,同时删除“Authenticated Users”,如图1-71
所示。
图1-71 将组策略应用于安全组
(7)将NAP客户端加入域
将Win7客户机加入域域的计算机系OU中,然后再加入NAP客户端组内。
如图1-72所示,是NAP客户端计算机自动“Network Access Protection Agent”服务。通过命
令“netsh nap client show grouppolicy”可以查看DHCP隔离强制客户端的策略已经启
用,如图1-73所示。也可以使用命令“netsh nap client show state”来检查客户端DHCP
隔离强制客户端的状态,如图1-74所示。
图1-72 客户端自动启动网络访问保护服务
图1-73 查看DHCP隔离强制客户端策略启用
图1-74 查看DHCP隔离强制客户端的状态
(8)验证NAT DHCP客户端自动更新是否正常
将客户端的Windows防火墙关闭,验证NAP自动重新打开客户端的Windows防火墙。
由于Windows Security Health Agent(WSHA)会自动打开Windows防火墙,所以当防火墙关
闭时,系统会立刻自动变回启用状态。
也可以设置策略要求客户端计算机必须启用防病毒软件,否则即视为不健康客户端。如
图1-75所示,在NAP健康策略服务器上通过“网络访问保护”-〉“系统健康验证程序”-〉
“Windows安全健康验证程序”-〉“设置”-〉“默认设置”中,添加“防病毒应用程序已启
用”。
图1-75 设置客户端必须启用杀毒软件示意图
如果设置了客户端必须安装杀毒软件,则客户端如果没有安装,将不能达到安全要求,
将会显示网络受限的提示。如图1-76所示。
图1-76 网络访问保护警告信息示意图
如果安装了杀毒软件(必须和Windows安全中心兼容),则WSHA将对系统进行检查,
发现系统满足安全要求,从而网络将不会限制。如图1-77所示。
图1-77 修复客户端示意图
2、VPN NAP配置
(1)环境设置
如图1-53,域内的DC同时是DNS服务器和DHCP服务器,由于VPN NAP需
要使用PEAP协议(Protected Extensible Authentication Protocol,允许用户自定义的一种身份
验证协议,Windows Server 2008 R2支持这种协议,客户端连接802.1x无线基地台、802.1x
交换机、VPN服务器与远程桌面网关等访问服务器时,常使用该协议)中的PEAP-MS-CHAPv2
(PEAP挑战-应答方式)验证方法,所以它也是一台企业根证书服务器。NAP健康策略服务
器同时也是RADIUS服务器,用来接收VPN服务器所发来的NAP客户端健康状况。NAP强制
执行点是VPN服务器,同时也是RADIUS客户端,它会通过RADIUS协议将VPN NAP客户端
的健康情况发给NAP健康策略服务器,同时它也是DHCP中继代理,因此需要配置双网卡。
客户端Win7暂时放置在内部网络,然后再移到外部网络作为VPN客户端。
同1,如果在VMware中完成实验,可以将4台计算机放置在一个组中,给各个计算机
设置合适的IP地址。然后测试计算机之间的连通性。
(2)配置DC,同时安装DHCP服务器和企业根CA。
在“添加角色”中,同时选择“Active Directory证书服务”和“DHCP服务器”。DHCP
作用域名称自定,范围与DC在同一范围(取值自定),禁用DHCPv6,其它使用默认选项。
企业根CA的设置全部使用默认选项,完成后点击“安装”。如图1-78所示。
图1-78 安装DHCP和证书服务
(3)架设NAP健康策略服务器
第一步,将NAP服务器加入域。
第二步,安装“网络策略服务器”。
第三步,为NAP健康策略服务器申请计算机证书。
首先,通过MMC控制台,从“文件”-〉“添加/删除管理单元”-〉将“证书”下的“计
算机账户”添加进控制台。
图1-79 添加证书管理单元
其次,在“证书”-〉“个人”-〉“所有任务”-〉“申请新证书”。如图1-80所示。
图1-80 申请新证书示意图
第三,使用默认选项,单击“下一步”,选中“计算机”-〉“注册”-〉“完成”。完成后,
可以看见NAP健康策略服务器的证书。如图1-81所示。
图1-81 申请的证书示意图
第四步,设置NAP健康策略服务器
首先,在“管理工具”-〉“网络策略服务器”-〉“网络访问保护(NAP)”-〉“配置NAP”
-〉“虚拟专用网络(VPN)”。
其次,在“选择RADIUS客户端”中设置扮演NAP强制执行点角色的VPN服务器,这
里需为RADIUS客户端命名,输入其IP地址(VPN服务器内网卡的IP地址)、设置密码(在
RADIUS客户端也必须设置相同的密码)。如图1-82所示。
图1-82 设置RADIUS客户端示意图
第三,其余使用默认值,然后“完成”配置。
第四,在“RADIUS客户端”的属性对话框的“高级”标签下,设置供应商名称为
“Microsoft”。如图1-83所示。
图1-83 VPN服务器属性设置
第五,在左边的“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证
程序”-〉“设置”-〉“默认配置”,只选择“已为所有网络连接启用防火墙”,将其余选项取
消。
第六,设置IP筛选器。如果需要限制不健康客户端仅能访问域控制器,不可以访问其
它内部网络的计算机,可以设置NAP VPN不符合与NAP VPN不支持NAP两个网络策略内的
IP筛选器。如图1-84所示,在IPV4中设置“输入筛选器”,填写DC的IP地址,并选择“仅
允许下面列出的数据包”选项。在图1-85中设置“输出筛选器”,同样设置仅允许DC所在
的网络通行。对于NAP VPN不支持NAP网络策略也采用相同的设置。
图1-84 设置输入筛选器
图1-85 设置输出筛选器
(4)设置VPN服务器
第一步,将VPN服务器加入域。
第二步,安装VPN服务器。在“角色”-〉“网络策略和访问服务”-〉“路由和远程访问
服务”。
第三步,配置并启用路由和远程访问。这里需要设置VPN连接,若该VPN服务器需要
扮演其他角色,则取消下面的“静态数据包筛选器”。如图1-86所示。其它选项,如“IP地
址分配”选择“自动”,“设置此服务器与RADIUS服务器一起工作”,并填写RADIUS服务器
的地址及相同的密码。如图1-87所示。
图1-86 设置路由与远程访问
图1-87 设置RADIUS服务器地址和共享密码
第四步,安装程序会顺带设置DHCP中继代理。这里需要在DHCP中继代理程序的“属
性”中填写DHCP服务器的IP地址,如图1-88所示。其余使用默认选项即可以。
图1-88 设置DHCP中继代理
(5)组策略设置
在服务器DC上设置以下内容:
首先,创建全局的安全组,组名自定(比如为:VPN客户端)。
其次,设置DC的Administrator账户允许VPN拨号的权限(测试用)。
第三,在计算机系OU上创建组策略,同前面DHCP NAP设置类似,这里同样有3处需
要设置,一是“计算机配置”-〉“策略”-〉“Windows设置”-〉“系统服务”中的“Network
Access Protection Agent”的启动类型改为自动;二是在“安全设置”-〉“网络访问保护”-〉
“NAP客户端设置”-〉“强制客户端”中的“EAP隔离强制客户端”的状态设置为启用;三
是将“计算机配置”-〉“策略”-〉“管理模板”-〉“Windows组件”-〉“安全中心”中的“启
用安全中心(仅限域PC)”的状态设置为启用。
第四,将此组策略设置到组“VPN客户端”,同时删除“Authenticated Users”。
(6)测试
首先,将Win7加入域并放入计算机系OU中,再加入VPN客户端组中。
其次,验证“Network Access Protection Agent”服务已自动启动。
第三,将客户机移到外部网络作为VPN客户端(只需设置IP地址为外网地址)。配置验
证方式(注意选择身份验证协议-)“Microsoft:受保护的EAP(PEAP)(启用加密)”),并选
择证书。如图1-89和1-90所示。
第四,连接成功后,同1一样,验证“Windows防火墙”的关闭与开启。
图1-89 VPN连接设置
图1-90 客户端VPN验证方式设置
发布评论