Интеграция DHCP и NAP в Windows Server

Интеграция DHCP и NAP в Windows Server

Платформа NAP (Network Access Protection) призвана защитить сеть от клиентов, не имеющих достаточных собственных средств защиты. Простейший способ включить NAP на DHCP — настроить DHCP-сервер как сервер политики сети (Network Policy Server, NPS). Для этого нужно установить консоль Сервер политики сети (Network Policy Server), настроить политику объединения DHCP и NAP и включить NAP на DHCP. При этом на сетевых компьютерах осуществляется включение платформы NAP, но не ее настройка.

Чтобы создать политику интеграции NAP и DHCP, выполните следующие действия:

1. На сервере, который будет выполнять роль сервера политики сети запустите Мастер добавления компонентов (Add Features Wizard), чтобы установить консоль Сервер политики сети (Network Policy Server).

2. В дереве консоли Сервер политики сети (Network Policy Server) выделите узел NPS (Локально) (NPS (Local)) и щелкните ссылку Настройка NAP (Configure NAP) на главной панели. Запустится мастер Настройка NAP (Configure NAP Wizard).

3. В списке Способ сетевого подключения (Network Connection Method) выберите вариант Протокол DHCP (Dynamic Host Configuration Protocol (DHCP)). Этот способ подключения будет использован для NAP-совместимых клиентов. Заданное по умолчанию имя политики — NAP DHCP. Щелкните Далее (Next).

4. На странице Укажите серверы принудительной защиты доступа к сети под управлением DHCP-сервера (Specify NAP Enforcement Servers Running DHCP Server) укажите все удаленные DHCP-серверы вашей сети:

Щелкните Добавить (Add). В диалоговом окне Новый RADIUS-клиент (Add New RADIUS Client) введите понятное имя удаленного сервера в поле Понятное имя (Friendly Name). В поле Адрес (Address) введите DNS-имя или IP-адрес удаленного сервера DHCP. Для проверки адреса щелкните Проверить (Verify).

В разделе Общий секрет (Shared Secret) установите переключатель Создать (Generate). Затем щелкните кнопку Создать (Generate), чтобы создать длинный пароль с общим секретом. Вам нужно будет ввести эту фразу в политику NAP DHCP на всех удаленных DHCP-серверах. Поэтому обязательно запишите ее или сохраните в файле, в безопасном расположении. Щелкните ОК.

5. Щелкните Далее (Next). На странице Укажите DHCP-области (Specify DHCP Scopes) вы можете задать области DHCP, к которым будет применена политика. Если области не указаны, политика применяется ко всем областям на выбранных DHCP-серверах, в которых включена NAP. Два раза щелкните Далее (Next).

6. На странице Задайте группу сервера исправлений NAP и URL-адрес (Specify A NAP Remediation Server Group And URL) выберите группу серверов обновлений или щелкните Создать группу (New Group), чтобы задать группу серверов исправлений. На этих серверах хранятся обновления ПО для NAP-клиентов. В текстовое поле введите URL веб-страницы с инструкцией, как привести компьютер в соответствие с политикой NAP. Убедитесь, что клиенты DHCP могут открыть эту страницу. Щелкните Далее (Next).

7. На странице Определите политику работоспособности NAP (Define NAP Health Policy) задайте, как будет работать политика работоспособности NAP. В большинстве случаев можно оставить стандартные параметры, которые запрещают вход в сеть клиентам, не совместимым с NAP. Для NAP-совместимых клиентов проводится проверка работоспособности и автоматическое исправление. Это позволяет им получить необходимые обновления ПО. Щелкните Далее (Next) и Готово (Finish).

Вы можете настроить параметры NAP для всего DHCP-сервера или для отдельных областей. Чтобы просмотреть или изменить глобальные параметры NAP, выполните следующие действия:

1. В консоли DHCP разверните узел нужного сервера. Щелкните правой кнопкой узел IPv4 и выберите Свойства (Properties).

2. На вкладке Защита доступа к сети (Network Access Protection), щелкните кнопку Включить во всех областях (Enable On All Scopes) или Отключить во всех областях (Disable On All Scopes), чтобы включить или отключить NAP для всех областей сервера.

Выберите один из следующих переключателей, чтобы указать, как должен действовать DHCP-сервер, если NPS-сервер недоступен. Затем щелкните ОК.

• Полный доступ (Full Access) Предоставляет DHCP-клиентам полный доступ к сети. Клиентам позволено выполнять любые разрешенные действия.

• Ограниченный доступ (Restricted Access) Предоставляет DHCP-клиентам ограниченный доступ к сети. Клиенты могут работать только с тем сервером, к которому они подключены.

• Отбросить клиентский пакет (Drop Client Packet) Блокирует запросы клиентов и запрещает выход клиентов в сеть. У клиентов нет доступа к ресурсам сети.

Чтобы просмотреть и изменить параметры NAP для отдельных областей, выполниет следующие действия:

1. В консоли DHCP разверните узел нужного сервера. Затем разверните узел IPv4.

2. Щелкните правой кнопкой нужную область и выберите Свойства (Properties).

3. На вкладке Защита доступа к сети (Network Access Protection) установите переключатель Включить для этой области (Enable For This Scope) или Отключить для этой области (Disable For This Scope), чтобы включить или отключить NAP для данной области.

4. Если вы включили NAP и хотите использовать профиль NAP отличный от стандартного, установите переключатель Использовать особый профиль (Use Custom Profile) и введите имя профиля, например, Alternate NAP DHCP.

5. Щелкните OK, чтобы сохранить параметры.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: