配置DHCP服務健康策略

配置NAP健康策略服務器

在本例中，存在一臺名為Server1的DHCP服務器，一臺名為Server2的NAP健康策略服務器，處于域環境中。域控制器名為DC1，安裝有Active Directory數據庫和DNS服務器組件，域名為“xxx.com”。在Server2上使用域管理員身份登錄，安裝“網絡策略和訪問服務”角色。項，點擊“下一步”，選擇“網絡策略服務器”項，點擊“安裝”，安裝所需的角色。

在管理工具菜單中點擊“策略訪問服務器”，在打開窗口左側選擇“NPS（本地）”項，在右側點擊“配置NAP”鏈接，在向導界面中的“網絡連接方法”列表中選擇“動態主機配置協議（DHCP）”，在“策略名稱”欄中可以更改名稱，點擊“下一步”，在“Radius客戶端”欄中點擊“添加”按鈕，在彈出窗口中的輸入Radius客戶端的名稱，在“地址”欄中輸入IP地址，即DHCP服務器的IP。

為了簡單起見，DHCP服務器作為Radius客戶端使用。選擇“手動”項輸入共享密碼，該密碼必須和DHCP服務器端相同。點擊“確定”，在下一步窗口中選擇DHCP作用域，直接點擊“下一步“按鈕，表示使用該DHCP服務器中的所有作用域，之后完成NAP增強策略和Radius客戶端配置。

在網絡策略服務器窗口左側選擇“NPS（本 地）→Radius客戶端和服務器→Radius客戶端”，在右側雙擊DHCP服務器項目，在屬性窗口“高級”面板中的“供應商名稱”列表中選擇“Microsoft”，選擇“Radius客戶端支持”項，點擊”確定”保存設置。在網絡策略服務器窗口左側點擊“NPS（本地）→網絡訪問服務→系統健康驗證程序→Windows安全健康驗證程序→設置”項，在右側窗口雙擊ID為0的默認項目，在彈出窗口左側選 擇“Windows 7/Windows Vista”項，在右側窗口中選擇對應的安全策略，包括防火墻、防病毒、間諜軟件保護、自動更新等。

為了簡單起見，只選擇“已為所有網絡連接啟用防火墻”項，不選擇其余的項目。在左側點擊“NPS（本地）→策略→連接請求策略”項，在右側雙擊“NAP DHCP”項，在屬性窗口“設置”面板左側選擇“身份驗證”項，如果選擇的是“在此服務器上對請求進行身份驗證”，說明該DHCP服務器同時扮演了Radius服務器的角色。在窗口左側點擊“NPS（本地）→策略→健康策略”項，在右側顯示執行上述NAP配置向導而創建的兩個健康策略（如圖1）。

配置DHCP服務屬性

使用域管理員賬戶登錄DHCP服務器，安裝 “網絡策略和訪問服務”角色中“網絡策略服務器”項。假設在該DHCP服務器的父域為“xxx.com”，首選的 DNS 服務器為192.168.0.10，即DC域控制器的IP。為了簡單起見，不啟用WINS功能。在DHCP服務器中添加一個名為“anquan”的作用域，IP范圍為192.168.1.20到192.168.0.100，子網掩碼為255.255.255.0，并且對此服務器禁用DHCP v6無狀態模式。

選擇當前憑據項目，使用的用戶名為域管理員賬戶。在管理工具菜單中點擊“DHCP”項，在管理窗口左側選擇“DHCP→服務器名→IPv4→作用域”項，在右鍵菜單上點擊“屬性”，在屬性窗口中的“網絡保護訪問”面板中選擇“對此作用域啟用”項，選擇“使用默認網絡訪問保護配置文件”項，點擊“確定”返回主窗口。

圖1 網絡策略服務管理窗口

圖2 DHCP配置選項窗口

圖3 添加Radius服務器窗口

在DHCP管理窗口左側選擇“DHCP→服務器名→IPv4→作用域→作用域選項”項，在右鍵菜單上點擊“配置選項”項，在彈出窗口（如圖2）的“高級”面板中選擇“006 DNS服務器”，在“IP地址”欄輸入DNS服務器地址，本例為192.168.0.10，點擊“添加”按鈕，完成DNS的設置操作。選擇“015 DNS 域名”項，在“字符串值”欄中輸入域名，例如“yyy.xxx.com”。

為DHCP配置網絡策略服務

在網絡策略服務器窗口左側選擇“NPS（本地）→Radius客戶端和服務器→遠程Radius服務器組”項，點擊菜單“操作→新建項”，在彈出窗口中的組名，點擊“添加”，在打開窗口“地址”面板中的“服務器”欄中輸入NAP服務器的IP，本例為192.168.0.5。在“身份驗證/記賬”面板（如圖3）“共享機密”欄中輸入密碼（該密碼必須和NAP服務器中設置的完全相同），點擊“確定”返回主界面。在網絡策略服務器窗口左側選擇“NPS（本地）→策略→連接請求策略”項，在右側顯示所有可用的策略項目。

雙擊系統提供的“Use Windos authentication for all users”策略項，在屬性窗口中的“設置”面板左側選擇“身份驗證”項，在右側選擇“將請求轉發到以下遠程Radius服務器組進行身份驗證”項，并在列表中選擇上面創建的組名。這樣，該DHC服務器就可以將客戶端健康信息轉發給NAP服務器。

在域控制器上配置NAP更新服務

以管理員身份登錄域控制器，打開Active Directory用戶和計算機窗口，在窗口左側選擇“Active Directory 用戶和計算機→域名→Users”項，在右鍵菜單上點擊“新建→組”，在彈出窗口中輸入組名，例如“anquanzu”，其余配置保持默認，點擊“確定”，完成該組的創建。打開組策略管理窗口，在左側選擇“組策略管理→林→域名”項，在右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”項，在彈出窗口中輸入該GOP的名稱（例如“NAPGPO”），點擊“確定”，在窗口左側選擇該GPO項，在右鍵菜單中點擊“編輯”，打開組策略編輯器窗口。

圖4 開啟NAP代理服務

在左側選擇“計算機配置→策略→Windows設置→安全設置→系統服務”項，在右側窗口顯示所有的系統服務項目，雙擊“Network Access Protection Agent”項，在彈出窗口（如圖4）中選擇“定義此策略設置”，選擇“自動”，激活NAP代理服務功能。在組策略編輯器左側選擇“計算機配置→策略→Windows設置→安全設置→網絡訪問保護→NAP客戶端配置→強制客戶端”項，在右側窗口中雙擊“DHCP隔離強制客戶端”項，在彈出窗口中選擇“啟用此強制客戶端”項，點擊“確定”保存設置信息。在組策略編輯器左側選擇“計算機配置→策略→管理模板→Windows組件→安全中心”項，在右側雙擊“啟用安全中心項”，在彈出窗口中選擇“已啟用”項。

在組策略管理器窗口左側選擇上述GPO項目，在右側的“安全篩選”欄中選擇“Authenticated Users”，點擊“刪除”，在彈出窗口中顯示“您想刪除此委派特權嗎”信息，點擊“確定”將其刪除。點擊“添加”，在彈出窗口中點擊“高級→立即查找”，在搜索列表中選擇上述創建的組（例如“anquanzu”），將其添加進來。經過以上設置，只要將客戶端加入活動目錄，并將對應的賬戶添加到上述組中，就可以自動應用上述GPO的組策略配置信息。

在域控制器上打開Active Directory用戶和計算機窗口，在窗口左側選擇“Active Directory 用戶和計算機→域名→Users”項，在右側雙擊“anquanzu”組，在屬性窗口中的“成員”面板中點擊“添加”按鈕，在彈出窗口中點擊“對象類型”按鈕，選擇組，計算機，用戶，其他對象等項目，點擊“高級→立即查找”按鈕，將目標客戶機添加進來。

在客戶機上應用NAP安全策略

因為在NAP服務器上已經啟用了“啟用對客戶端計算機的自動修復”功能，所以當客戶端用戶手工關閉了防火墻等安全組件后，Network Access protection Agent服務會自動重新激活，使客戶端主機處于健康運行狀態。以域管理員身份登錄NAP服務器，打開網絡策略服務器窗口，在左側選擇“NPS（本 地）→網絡訪問保護→系統健康驗證程序→Windows安全健康驗證程序→設置”項，在右側雙擊“ID”為0的項目，可以根據需要增加所需的安全項目。例如，選擇“防病毒程序已啟用”，“防病毒程序為最新”，“已啟用自動更新”等。之后，當客戶機申請DHCP地址租用時，如果沒有安裝或開啟防病毒軟件等項目，系統就會自動顯示網絡訪問保護警告信息，提醒用戶該機處于非健康狀態。