您的位置: 首页 > 销售网络

任务1:安装网络策略服务器

2019-05-01 14:03:46 本站

  Windows 网络操作系统的配置与管理 单元一:安装windows操作系 统 单元二:安装与配置活动目录 域服务 单元九:配置与管理DHCP服务 器 单元十:配置与管理DNS服务器 单元十一:配置与管理Web服务 器 单元十二:配置与管理WSUS服 务器 单元十三:配置与管理ADCS 单元十四:配置路由与远程访问 单元十五:配置网络策略服务和 网络访问保护 单元十六:配置IPSec保护网络通 信 单元三:管理用户和组 单元四:配置和管理组策略 单元五:配置与管理分布式文 件系统 单元六:配置与管理存储系统 单元七:配置与管理打印服务 器 单元八:IP地址与配置方法 单元十五 配置网络策略服务和网络访问保护 工作背景 windows操作系统是一个不太稳定的系统,时常 要更新漏洞,打补丁,安装杀毒软件等等,否则, 计算机可能给公司网络带来安全威胁。作为时讯公 司的技术专员,你需要使客户计算机自动成为符合 安全要求的计算机,对于没有及时更新补丁、升级 病毒库,不符合安全需求的计算机使它成为安全的 ,或者隔离不安全的计算机。你作为公司的系统工 程师,需要在公司网络部署安全策略服务器,并部 署基本的NAP强制策略,以保护网络的安全。 工作任务 任务1 任务2 任务3 任务4 安装网络策略服务器 配置RADIUS客户端和服务器 为DHCP客户端配置NAP强制 为VPN客户端配置NAP强制 单元十五 配置网络策略服务和网络访问保护 任务1 任务2 任务3 任务4 安装网络策略服务器 配置RADIUS客户端和服务器 为DHCP客户端配置NAP强制 为VPN客户端配置NAP强制 任务1 安装网络策略服务器 一、课程导入 二、知识原理 2.1 网络策略服务器 2.2 网络策略服务器的三种功能 2.3 网络策略服务器使用场景 2.4 连接请求策略 2.5 网络策略 2.6 Windows 安全健康验证程序 2.7 健康策略 2.8 更新服务器组 2.9 NPS的身份验证方法 2.10 在 Active Directory 中注册 NPS 服务器 三、演示 安装网络策略服务器 四、小结 一、课程导入 在公司的网络中,可能存在很多需要进行身份验证和授权 访问的服务器,比如VPN服务器,终端服务器,需要身份验 证的交换机和路由器等等,如果在每台服务器上进行身份验 证和授权,不仅难以管理而且不安全,NPS给我们一个统一 的平台,使我们可以在NPS服务器集中对用户和设备进行身 份验证和授权;同时NPS服务器还跟踪评价客户端的安全状 况,并根据客户端的安全健康状况限制其访问网络。 二、知识原理 2.1 网络策略服务器 2.2 网络策略服务器的三种功能 2.3 网络策略服务器使用场景 2.4 连接请求策略 2.5 网络策略 2.6 Windows 安全健康验证程序 2.7 健康策略 2.8 更新服务器组 2.9 NPS的身份验证方法 2.10 在 Active Directory 中注册 NPS 服务器 2.1 网络策略服务器 网络策略服务器(Network Ploicy Server):使用网络策略服务器 (NPS), 可以为客户端运行状况(是否健康)、连接请求身份验证和连接请求授权创 建并强制使用组织范围的网络访问策略。 1. RADIUS客户端 和服务器 2. 策略 3. 网络访问保护 4. 记账 2.2 网络策略服务器的三种功能 ? RADIUS 服务器。NPS 为无线身份验证交换机和远程访问拨号与虚拟专用网 络 (VPN) 连接执行集中化的连接身份验证、授权和记帐。将 NPS 用作 RADIUS 服务器时,可以将无线访问点和 VPN 服务器等网络访问服务器配置 为 NPS 中的 RADIUS 客户端。还可以配置 NPS 用于对连接请求进行授权的 网络策略,并且可以配置 RADIUS 记帐,以便 NPS 将记帐信息记录到本地硬 盘上或 Microsoft SQL Server 数据库中的日志文件。 ? RADIUS 代理。将 NPS 用作 RADIUS 代理时,可以配置连接请求策略,以 告诉 NPS 服务器将哪些连接请求转发给其他 RADIUS 服务器,以及要将连接 请求转发给哪些 RADIUS 服务器。还可以配置 NPS,以转发将由远程 RADIUS 服务器组中的一台或多台计算机记录的记帐数据。 ? 网络访问保护 (NAP) 策略服务器。将 NPS 配置为 NAP 策略服务器时,NPS 将评估要连接到网络并可用 NAP 的客户端计算机发送的健康声明 (SoH)。已 配置有 NAP 的 NPS 还充当 RADIUS 服务器,从而对连接请求执行身份验证 和授权。可以在 NPS 中配置 NAP 策略和设置,包括系统健康验证程序 (SHV)、健康策略和允许客户端计算机将其配置更新为与组织的网络策略兼容 的更新服务器组。 2.3 网络策略服务器使用场景 NPS 用于以下场景: ? 网络访问保护 ? ? ? ? IPSec 通信强制 802.1x 有线和无线强制 DHCP 强制 VPN 强制 ? 保护有线访问和无线访问 ? RADIUS ? 终端服务器网关 2.4 连接请求策略 ? 连接请求策略是一组条件和设置,允许网络管理员指定是 在本地处理连接请求,还是将连接请求转发到远程的 RADIUS服务器处理身份验证和授权。可以将连接请求策略 配置为指定将用哪些 RADIUS 服务器用于 RADIUS 记帐。 ? 连接请求策略由三部分组成: 1. 概述:包括策略名称;策略是否启用;策略的类型。 2. 条件:位置组;用户名;连接属性;日期和时间限制;标 识类;RADIUS客户端属性;网关 3. 设置:身份验证方法;正在转发连接请求;指定一个领域 名称;RADIUS属性 1. 连接请求策略名称:(自定义名称) 2. 策略已启用:如果启用,NPS在处理连接请求是评估此策略。 如果不启用,NPS将不评估此策略 3. 网络访问服务器的类型: 未指定 终端服务器网关 远程访问服务器(VPN-Dial up) DHCP服务器 健康注册机构 HCAP服务器: 1. 2. 3. 4. 5. 6. 7. 组:windows组;计算机组,用户组。 HCAP:仅用于Cisco网络许可控制技术与NAP集成时使用。 日期和时间限制:指定在特定的时间内允许或拒绝连接 网络访问保护:控制NAP强制的条件 连接属性:对客户端IP地址,身份验证,EAP等限制 RADIUS 客户端属性:RADIUS客户端的条件 网关:网关的属性,如被叫ID,NAS IP地址,NAD端口等, 连接请求策略设置是应用于传入 RADIUS 消息的一组属性。这 些设置由下列属性组构成: 1. 身份验证:使用此设置,可以覆盖所有网络策略中配置的身 份验证设置,并可以指定连接到网络所需的身份验证方法和 类型。 2. 记帐:用此设置,可以配置连接请求策略,以将记帐信息转 发到远程 RADIUS 服务器组中运行 NPS 或其他 RADIUS 服务器的服务器,以便远程 RADIUS 服务器组执行记帐操 作 3. RADIUS属性操作:以配置一组查找和替换规则 连接请求策略的注意事项 ? 可以有多条连接请求策略,传入消息按策略优先级逐一匹配策略 ? 仅当传入消息的设置至少与 NPS 服务器上配置的连接请求策略之一 匹配时,才由 NPS 处理或转发 RADIUS 访问-请求消息。如果策略设 置匹配,并且该策略要求 NPS 服务器处理消息,则 NPS 充当 RADIUS 服务器,并对连接请求进行身份验证和授权。如果策略设置 匹配,并且该策略要求 NPS 服务器转发消息,则 NPS 充当 RADIUS 代理,并将连接请求转发到远程 RADIUS 服务器进行处理。 ? 如果传入 RADIUS 访问-请求消息的设置至少与连接请求策略之一不 匹配,则访问-拒绝消息会被发送到 RADIUS 客户端,并拒绝访问尝 试连接到网络的用户或计算机。 2.5 网络策略 网络策略:是一组规则,它允许您指定授权谁连接到网络以及其可以或 不可以连接的环境 概述:指定是否启用策略、策略是允许还是拒绝访问,以及连接 请求是否需要一个特定网络连接方法或者网络访问服务器类型 条件:指定连接请求必须匹配网络策略的条件;如果策略中配置 的条件与连接请求匹配,那么NPS将在网络策略中指定的设置应用 于连接。 约束:是匹配连接请求所需的网络策略的附加参数。 设置:如果策略的所有网络策略条件都匹配,那么这些属性可以 指定NPS应用于连接请求的设置。 网络策略 1. 连接请求策略名称:(自定义名称) 2. 策略已启用:如果启用,NPS在处理连接请求是评估此策略。 如果不启用,NPS将不评估此策略 3. 网络访问服务器的类型: 未指定 终端服务器网关 远程访问服务器(VPN-Dial up) DHCP服务器 健康注册机构 HCAP服务器: 1. 2. 3. 4. 5. 6. 7. 组:windows组;计算机组,用户组。 HCAP:仅用于Cisco网络许可控制技术与NAP集成时使用。 日期和时间限制:指定在特定的时间内允许或拒绝连接 网络访问保护:控制NAP强制的条件 连接属性:对客户端IP地址,身份验证,EAP等限制 RADIUS 客户端属性:RADIUS客户端的条件 网关:网关的属性,如被叫ID,NAS IP地址,NAD端口等, 约束与条件的实质不同之处在于:当条件与连接请求不匹配时, NPS 继续评估其他配置的网络策略,以寻找连接请求的匹配项, 但是当约束与连接请求不匹配时,NPS 并不评估其他网络策略; NPS 拒绝连接请求,用户或计算机的网络访问被拒绝。 1. 身份验证方法:可以指定连接请求与网络策略匹配所必需的 身份验证方法。 2. 空闲超时:可以指定网络访问服务器在断开连接之前可保持 空闲状态的最长时间(分钟)。 3. 会话超时:可以指定用户可连接到网络的最长时间(分钟)。 4. 被叫站 ID:可以指定允许客户端用以访问网络的拨号服务 器的电线. 日期和时间限制:可以指定允许用户连接到网络的时间。 6. NAS 端口类型:可以指定允许用户连接到网络的访问介质 类型。 网络策略约束属性 如果在网络策略中配置的所有条件和约束都与连接请求的属性 匹配,则 NPS 会将该策略中配置的设置应用于连接。 1. RADIUS 属性:配置RADIUS标准属性和供应商特定的属性 2. 网络访问保护: 指定如何强制NAP:(允许完全网络访问;允许在有限时 间内对网络执行完全访问;允许受限访问), 更新服务器组, URL疑难解答和自动更新。 3. 路由和远程访问: 多链路和带宽分配设置; IP 筛选器: 加密; IP 设置 网络策略的处理方法 开始 是 否 是否有策略需要 处理? 是 否 连接请求是否匹配策 略条件? 用户账户的远程访问权限是否设 置为“拒绝访问”? 转到下一策略 是 否 否 拒绝连接请求 用户账户的远程访 问权限是否设置为 “允许访问”? 是 拒绝连接 请求 是 否 策略上的远程访问权限是 否设置为“拒绝远程访问 权限”? 是 否 接受连接 请求 连接请求是否匹配用户 对象和配置文件设置? 2.6 Windows 安全健康验证程序 SHV_1:防火墙 SHV_2:病毒防护 SHV_3:自动更新 NAP服务器 健康申明(SoH) SHA_1:防火墙 健康申明(SoH) SHA_2:病毒防护 健康申明(SoH) SHV_3:自动更新 NAP客户端 SHA:系统健康验证代理 SHV:系统健康验证程序 2.7 健康策略 健康策略由一个或多个系统健康验证程序 (SHV) 和其他设置组成,允许您 为尝试连接到网络的支持 NAP 的计算机定义客户端计算机配置需求。 当支持 NAP 的客户端尝试连接到网络时,客户端计算机会将健康声明 (SoH) 发送到网络策略服务器 (NPS)。SoH 是客户端配置状态的报告, NPS 将 SoH 与健康策略中定义的要求进行比较。如果客户端配置状态与 健康策略中定义的要求不匹配,根据 NAP 的配置情况,NPS 将执行下列 操作之一: 1. 拒绝 NAP 客户端的连接请求。 2. NAP 客户端被置于受限网络上,在此它可以从更新服务器接收更新, 以使客户端符合健康策略。客户端符合健康策略后,才被允许连接。 3. 尽管 NAP 客户端不符合健康策略,也允许将其连接到特定网络上。 2.8 更新服务器组 更新服务器组是受限网络上的服务器列表,该网络提供的资源,可使 NAP 代理让不符合要求的客户端计算机符合健康策略,如在网络策略服 务器 (NPS) 中定义的那样。例如,更新服务器可以承载防病毒签名。如 果健康策略要求客户端计算机安装最新的防病毒定义,防病毒系统健康 代理 (SHA)、防病毒系统健康验证程序 (SHV)、防病毒策略服务器和用 于承载防病毒签名的更新服务器将协同工作,以更新不符合要求的计算 机。 2.9 NPS的身份验证方法 用户尝试通过网络访问服务器连接网络时,网络策略服务器 (NPS) 会首 先对连接请求进行身份验证和授权,然后再决定允许或者拒绝访问,有 两类身份验证: 1. 基于密码的凭据:例如,Microsoft 质询握手身份验证协议 (MSCHAP) 要求用户键入用户名和密码。然后由网络访问服务器将这些 凭据传递到 NPS 服务器,NPS 会根据用户帐户数据库验证这些凭据 。 2. 基于证书的凭据:用于用户、客户端计算机、NPS 服务器或者某些 组合。基于证书的身份验证方法提供了较强的安全性,因而优先于基 于密码的身份验证方法推荐采用。 (1) 基于密码的身份认证 1. PAP:密码身份验证协议 (PAP) 使用纯文本密码,是最不安全的身 份验证协议。 2. CHAP:质询握手身份验证协议 (CHAP) 是一种质询-响应身份验证 协议,该协议使用行业标准的 MD5)哈希方案来对响应加密。 3. MS-CHAP:Microsoft 质询握手身份验证协议 (MS-CHAP),也称 为 MS-CHAP 版本 1,是不可逆的加密密码身份验证协议 4. MS-CHAP 版本 2:Microsoft 质询握手身份验证协议版本 2 (MSCHAP v2) 为网络访问连接提供了比其前身 MS-CHAP 更强的安全 性。 (2) 基于证书的身份验证 1. EAP:扩展的身份验证协议 (EAP) 通过允许使用凭据的任意身份验证 方法和任意长度的信息交换扩展了点对点协议 (PPP)。使用 EAP,可 以支持其他身份验证方案(称为 EAP 类型)。这些方案包括令牌卡 、一次性密码、使用智能卡的公钥身份验证以及证书 2. EAP-TLS:EAP 传输层安全 (EAP-TLS) 是在基于证书的安全环境中 使用的 EAP 类型 3. EAP-MS-CHAPV2: EAP-MS-CHAPv2 的 PEAP (PEAP-MSCHAP v2) 比 EAP-TLS 容易部署,因为它使用基于密码的凭据(用 户名和密码)完成用户身份验证,而不是使用证书或智能卡。只要求 NPS 或其他 RADIUS 服务器具有证书。在身份验证的过程中,NPS 服务器使用 NPS 服务器证书向 PEAP 客户端证明其身份。 2.10 在 Active Directory 中注册 NPS 服务器 1. 当网络策略服务器 (NPS) 为 Active Directory(R) 域成员时,NPS 通 过比较从网络访问服务器接收的用户凭据和 Active Directory 域服 务 (AD DS) 中为用户帐户存储的凭据来执行身份验证。另外,NPS 使用网络策略检查 AD DS 中用户帐户拨入属性来授权连接请求。 2. 若要让 NPS 可以访问 AD DS 中的用户帐户凭据和拨入属性,NPS 服务器必须在 AD DS 中注册。 3. Domain Admins 中的成员身份或等效身份是完成此步骤所需的最低 要求 三、演示 安装网络策略服务器 工作场景: 你是时讯公司的网络管理员,时讯公司网络中部署了许多 服务器,其中VPN服务器,无线访问点,终端服务器等都需 要进行身份验证和授权,为了管理方便和安全考虑,公司决 定安装NPS服务器进行集中管理。你需要配置NPS服务器。 实验环境: SH-DC1 任务 1. 在DC上安装网络策略服务器 2. 在active directory中注册NPS服务器 演示 安装NPS服务器 目的: 1. 安装NPS服务器 2. 在active directory中注册NPS服 务器 四、小结 通过本节的学习,你能够: 1. 了解网络策略服务器 2. 了解网络策略服务器的三种功能 3. 熟悉网络策略服务器使用场景 4. 熟悉网络策略的基本组成 5. 了解网络策略的处理方法 6. 了解NPS的身份验证方法 7. 理解在 Active Directory 中注册 NPS 服务器 8. 掌握安装网络策略服务器

注意事项