單位員工大部分是移動辦公一族由於病毒庫更新不及時系統補丁沒有安裝使移動辦公設備處於危險狀態訪問內部網絡時很可能威脅整個網絡該如何防守網絡訪問這扇門呢?
筆者所在的單位是一家傳媒公司有數百人的記者隊伍每位記者都配備了筆記本電腦以及上網設備記者經常攜帶筆記本電腦出差很長時間不登錄內部網絡網絡中統一部署了防病毒軟件以及系統補丁更新記者通過VPN或者其他方式連接公司網絡時連接時間非常短不能夠立即下載系統補丁和病毒庫由於病毒庫更新不及時以及系統補丁沒有安裝使其筆記本電腦處於危險狀態一旦感染病毒並將病毒或者木馬等其他惡意軟件帶到內部網絡中將對網絡造成極大影響
有什麼樣的方法可以在剛登錄網絡時自動檢測客戶端計算機的安全性符合安全標准後才允許登錄到網絡中呢?那就是NAP網絡保護策略
NAP嚴把關
Windows Server 提供了NAP(Network Access Protection)功能網絡保護策略是任何客戶端計算機(客戶端以及VPN客戶)必須通過網絡健康檢查如是否安裝最新的安全補丁防病毒軟件的特征庫是否更新是否啟用防火牆等符合安全條件後才允許進入內部網絡未通過系統健康檢查的計算機會被隔離到一個受限制訪問網絡在受限制訪問網絡中修復計算機的狀態(如從補丁服務器下載專門的系統補丁強制開啟防火牆策略等)在達到網絡健康標准後才允許接入公司內部網絡
Windows Server 提供了多種網絡訪問保護的方法最簡捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服務完成網絡訪問保護部署該策略需要對客戶端計算機進行配置在組策略中啟用啟用安全中心(僅限域PC)策略;啟用DHCP隔離強制客戶端策略啟用NAP代理服務建議設置為自動啟動模式
安裝NPS服務
默認安裝完成Windows Server 後沒有安裝NPS(網絡訪問策略)服務需要網絡管理員手動安裝該服務
啟動服務器管理器運行角色添加向導在選擇服務器角色對話框的角色列表中選擇需要安裝的網絡策略和訪問服務選項其他按默認安裝即可
安裝完成NPS服務後成員服務器中的DHCP服務將被新的包含NPS功能的組件所取代網絡管理員需要對NPS涉及的DHCP選項進行配置在默認狀態下NPS關聯的組件網絡訪問保護沒有被啟用該策略在DHCP作用域屬性中啟用該策略
NAP通過添加的用戶類作用域類別使計算機在同一作用域內的受限網絡和不受限網絡訪問之間切換在向狀態不良的客戶端計算機提供租約時會使用這組特殊的作用域選項(DNS服務器DNS域名路由器等)例如提供給狀態良好的客戶端的默認 DNS 後綴為而提供給狀態不良的客戶端的DNS後綴為
配置NPS策略
NPS策略包含四部分的內容分別為網絡健康驗證器更新服務器組健康策略和網絡策略將對加入到公司網絡的計算機進行驗證隔離補救以及健康策略審核
網絡健康驗證器評估計算機運行狀態需要執行哪些檢查以及設置檢查列表根據設置的策略檢測連接到網絡中的計算機哪些是安全的哪些是不安全的例如防火牆關閉就認為不安全沒安裝殺毒軟件就是不安全的計算機等啟動網絡策略服務器組件打開NPS(本地)→網絡訪問保護→系統健康驗證器在屬性列表中配置需要檢測的狀態如圖所示
更新服務器組允許網絡管理員設置狀態不良的計算機可以訪問的系統通過訪問定義的系統狀態不良的計算機將恢復到正常狀態在設置的過程中注意目標服務器的IP地址和DNS域名解析要一致啟動網絡策略服務器組件打開NPS→網絡訪問保護→系統健康驗證器新建一個更新服務器組設置病毒庫更新服務器或者補丁更新服務器的IP地址以及名稱
健康策略用於創建客戶端計算機是否健康的標准建議創建兩個策略一個是安全計算機策略另一個是不安全計算機的策略網絡健康驗證器驗證出來的計算機如果是安全的就歸類到安全計算機策略中如果網絡健康驗證器驗證計算機是不安全的將歸類到不安全計算機的策略啟動網絡策略服務器組件打開NPS→策略→健康策略新建兩個健康策略一個是通過所有安全驗證策略如圖所示;另一個是沒有通過安全健康檢查策略
網絡策略定義處理邏輯規則根據計算機運行狀況確定如何對其進行處理網絡健康驗證器更新服務器組以及健康處理通過網絡策略組合在一起網絡策略由管理員定義用於指導NPS如何根據計算機的運行狀態處理計算機NPS會從上到下評估這些策略一旦計算機與策略規則相符處理將立即停止
已經創建的兩條策略分別為通過所有安全驗證策略和沒有通過網絡安全檢查策略
通過所有安全驗證
策略
規定通過所有
安全中心
檢查的計算機可以獲得不受限制的網絡訪問權限
沒有通過網絡安全檢查
策略
對應任何未通過一項或多項 SHV(System Health Validators)檢查的計算機
如果有計算機與此策略相符
則NPS會指示DHCP 服務器為該客戶端提供一個具有特殊NAP受限作用域選項的IP租約
該地址僅允許違規計算機訪問更新服務器組中定義的資源
啟動
網絡策略服務器
組件
打開
NPS(本地)
→
策略
→
網絡策略
為
通過所有安全健康檢查
新建策略
同時設置訪問權限
NAP部署後當外出記者回到公司登錄到公司的網絡時首先進行客戶端檢測沒有安裝最新病毒庫的計算機自動連接到病毒庫更新服務器升級病毒庫;沒有安裝系統補丁的計算機自動連接到WSUS服務器升級補丁;沒有啟用防火牆的計算機提示客戶端啟用防火牆當以上條件滿足後允許客戶端連接到內部網絡中最大限度地保證網絡安全
網絡訪問保護四步曲
網絡訪問保護主要分為四部分策略驗證隔離補救和持續監控
策略驗證
策略驗證是指NAP根據網絡管理員定義的一組規則對客戶端計算機系統狀態進行評估NAP在計算機嘗試連接到網絡時會使用安全健康程序和定義的策略相比較符合這些策略的計算機被視為狀態良好的計算機而不符合其中一項或多項檢查標准的計算機則被認為是狀態不良的計算機
隔離
隔離可以理解為網絡連接限制根據網絡管理員定義的策略NAP可以將計算機的網絡連接設置為各種狀態例如如果一台計算機因缺少關鍵的安全更新而被視為狀態不良則NAP可以將該計算機置於隔離網絡中使其與網絡中其他計算機隔絕直至恢復健康(安裝補丁)為止
補救
對於已經限制連接的那些狀態不良的計算機NAP 提供了補救策略被隔離的計算機無需網絡管理員干預即可糾正運行狀態受限的網絡允許狀態不良的計算機訪問安裝必要的更新程序
持續監控
持續監控即強制計算機在與網絡保持連接期間而不僅僅在初始連接時始終監控這些可保持狀態良好的策略該計算機狀態如果與策略不相符合例如禁用了Windows防火牆則NAP將自動開啟防火牆直至恢復正常狀態後才可訪問網絡
From:http://tw.wingwit.com/Article/os/xtgl/201311/8961.html