《国贸本一班111105020130马壮第7次作业》由会员分享,可在线阅读,更多相关《国贸本一班111105020130马壮第7次作业(12页珍藏版)》请在金锄头文库上搜索。
1、限制非法访问客户端的方法与措施班级 11国贸统本 1 班 姓名 孟繁东 学号 3 实训题目限制非法访问客户端的方法与措施实训时间.2013.*11.05具体内容:限制非法访问客户端的方法与措施备注实训步骤1、NAP服务器端配置(1).配置健康策略服务器以管理员administrator身份登录Ctocio,依次点击“开始”“管理工具”,打开“网络策略服务器”窗口。依次展开“NPS(本地)”“网络访问保护”“系统健康验证器”,在内容面板双击“Windows安全健康验证程序”,在“Windows安全健康验证程序 属性”对话框,点击“配置”只勾选“防火墙”下的“已为所有网络连接启用防火墙”,取消所有
2、其它选择(注意不需要取消对”Windows Update“的选择),点击“确定“关闭“Windows安全健康验证程序 属性”对话框。(图1) 图1 Windows安全健康验证程序需要注意的是,“Windows安全健康验证程序“这一SHV是由微软提供的,主要用于监控客户端计算机安全中心的状态。当然如果你还想监控第三方厂家产品的安全配置,还需要安装由其他厂家开发的SHV的。(2).配置更新服务器组在“网络策略服务器”窗口的右窗格的“网络访问保护”下,右击“更新服务器组”,点击“新建”弹出对话框,在“组名“中输入“Windows设置更新服务器组1”,然后点击“添加”,在“IP地址或DNS名称”下输入
3、192.168.1.1,然后点击”确定“两次。说明一下,此组中所包含的服务器实际上应放在受限网络中用于对客户端进行修补的服务器,例如WSUS服务器,病毒库升级服务器等。(图2) 图2 新建WSUS服务器 (3).配置健康策略在“网络策略服务器”窗口中点击“策略”项选择“健康策略”,右击选择“新建”,在“新建健康策略属性”对话框中,“策略名称”输入“健康”,在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”,点击“确定”。接下来,继续点击“策略”,选择“健康策略”,右击选择“新建”在“新建健康策略属性”对话框中,“策略名称”输入“不健康”,在“客户端SHV检查”选择“客户端未能
4、通过一个或多个SHV检查”,在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”,点击“确定”即可。(图3) 图3 Windows安全健康验证程序(4).配置网络策略在“网络策略服务器”窗口中点击“策略”,选择“网络策略”,禁用三条默认的策略(选中策略名称,右击选择“禁用”)。右击“网络策略”,选择“新建”,在 “新建网络策略向导”的“指定网络策略名称和连接类型”页面,在“策略名称”中输入“健康网络策略完全访问”,在“网络访问服务器类型”选择“DHCP Server”。点击“下一步”,在“指定条件”页面,点击“添加”。在“选择条件”对话框,选择“健康策略”。在“健康策略”对话框
5、选择“健康”,然后点击“确定”,再点击“下一步”。在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。在“配置身份验证方法”页面,勾选“仅执行计算机健康检查”,取消所有其它选择,点击“下一步”。在“连接请求策略”对话框,点击“否”。在“配置约束”页面,点击“下一步”。在“配置设置”页面,“网络访问保护”“NAP强制”,选择“允许完全网络访问”,点击“下一步”。最后点击“完成”关闭“新建网络向导”。(图4) 图4 健康策略通过上面的设置,我们已经创建应用于健康客户端的网络策略,下面将创建用于不健康客户端的网络策略。在“网络策略服务器”窗口中点击“策略”,选择“网络策略”,右击选择“新
6、建”。在 “新建网络策略向导”,“指定网络策略名称和连接类型”页面,在“策略名称”中输入“不健康网络策略-受限访问”,在“网络访问服务器类型”选择“DHCP Server”,点击“下一步”。在“指定条件”页面,点击“添加”。在“选择条件”对话框,选择“健康策略”。在“健康策略”对话框选择“不健康”,然后点击“确定”,再点击“下一步”。 在“指定访问权限”页面,选择“已授予访问权限”,点击“下一步”。(说明一下,如果希望直接拒绝客户端从公司的DHCP服务器获得TCP/IP配置,可以选择“拒绝访问”,因为本例中将设置受限访问,所以依然选择了“已授予访问权限”。)(图5) 图5 新建网络策略我们继续
7、配置,在“配置身份验证方法”页面,取消所有选择,勾选“仅执行计算机健康检查”,取消所有其它选择,点击“下一步”。在“连接请求策略”对话框,点击“否”。在“配置约束”页面,点击“下一步”。在“配置设置”页面,“网络访问保护”,“NAP强制”,选择“允许受限访问”,点击“配置”。在“更新服务器和疑难解答URL”对话框,“更新服务器组”下选择“Windows设置更新服务器组1”,然后点击“确定”。在“自动更新”下,确定未选择“启用客户端计算机的自动更新功能”,然后点击“下一步”。最后,点击“完成”关闭“新建网络策略向导”。做了以上设置后,一旦客户端不满足健康策略,将被放置在受限网络,也就是客户端只能
8、访问到更新服务器组中的服务器(不能访问企业内网的其它服务器),然后进行自动修补的操作。本文中为了测试实验的结果,所以将“启用客户端计算机的自动更新功能“取消了,所以修补的操作将手动完成。(图6) 图6 设置更新服务器(5).配置DHCP服务器应用网络访问保护依次点击“开始”“管理工具”,打开“DHCP”设置窗口。展开“IPv4”,选择“作用域192.168.1.0 ”,右击选择“属性”。在“作用域192.168.1.0 属性”对话框“网络访问保护”选项卡下,选择“对此作用域启用”,勾选“使用默认网络访问保护配置文件”,点击”确定“。展开“作用域192.168.1.0 ”,选择“作用域选项”,
9、右击选择“配置选项”。点击“高级”选项卡,在“用户类别”下选择“Default Network Access Protaction Class”(默认的网络访问保护类别)。选择“006 DNS 服务器”,输入“192.168.1.1”,点击”添加“,选择“015 DNS域名”,输入域名,本例为“”,最后点击”确定“。(说明一下,域是不健康的客户端所在的受限访问网络。)(图7) 图7 作用域 2、DHCP客户端配置首先以管理员身份administrator身份登录Test客户端,在进行配置之前,先在“命令提示符”下使用“ping Ctocio”命令测试网络连接性。接下来将客户端设置为“自动获得I
10、P地址”和“自动获得DNS服务器地址”。(图8) 3、强制NAP客户端在Ctocio服务器上,依次点击”开始“”运行“,输入”napclcfg.msc”。然后展开“NAP客户端设置(本地计算机)”“强制客户端”,在内容面板选择“DHCP隔离强制客户端”,在“操作”面板,点击“启用”。接下来,依次点击“开始”“管理工具”,打开“服务”。在内容面板,双击“Network Access Protection Agent”,将“启动类型”更改为“自动”,然后“启动”该服务,最后“确定”退出。(图9) 图9 强制DHCP客户端设置 3、NAP控制DHCP验证通过上面对NAP服务器端和客户端的设置,我们就
11、部署好了NAP对DHCP客户端的接入控制,下面我们进行测试验证。首先我们关闭客户端的系统防火墙进行测试,依次点击“开始”“控制面板”,打开“Windows防火墙”,选择“更改设置”。在“Windows防火墙 设置”对话框,点击“关闭”,然后点击“确定”即可。接下来运行“命令提示符”工具,执行命令“ipconfig /release”释放当前IP配置,再输入“ipconfig /renew”重新获得IP配置 ,然后输入“ipconfig /all”查看当前IP配置。可以看到客户端能获得IP地址,但是获得的域名后缀是“”,系统隔离状态为“受限制”。同时还可以看到在屏幕右下角有一个提示,提示为“此计
12、算机不符合该网络的要求,网络访问权限将受限制”。(图10) 图10 管理命令行接下来我们开启系统防火墙,然后分别在“命令提示符”下依次执行命令“ipconfig /release”、“ipconfig /renew”、“ipconfig /all”,可以看到客户端能获得IP地址,域名后缀为“”,系统隔离状态为“未限制”。同时在屏幕右下角看到一个提示,提示为“此计算机满足该网络要求,您具有完全的网络访问权限”。(图11) 图11 完全访问权限总结上面的演示主要为大家提供一个思路,可使用NAP控制DHCP客户端接入网络,在实战中大家可根据需要灵活应用。另外,NAP for DHCP只是NAP的一个应用场景,其实它还适于诸如VPN、TS Gateway、IPSEC,802.1X交换机等很多场景。其他说明村民建房委员会应建立村级农房建设质量安全监督制度和巡查制度,选聘有责任心和具有一定施工技术常识的村民作为义务巡查监督员,开展经常性的巡查和督查。
