Download - Onderhoud en Beheer Informatiesystemen. 70 642 opdracht … · 2014. 2. 19. · Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 4 van 21 Om

------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 1 van 21

Onderhoud en Beheer Informatiesystemen.

70_642 opdracht Network Access protection. deze opdracht maakt gebruik van de VApp JVN_OBI_ALGEMEEN. De opdracht is werkend getest in de cloud.

Inhoud;

Inleiding. .................................................................................... 1

De DHCP server. ......................................................................... 3

De Windows 7 client. ................................................................... 3

De Network Policy Server ( NPS ). ................................................. 4

Health policies. ........................................................................... 7

Networkpolicies. ......................................................................... 10

Health Policies. .......................................................................... 12

DHCP en NAP. ............................................................................ 14

NAP Enforcement via een GPO. .................................................... 16

De NPS server en de NAP in werking. ............................................ 18

Deze opdracht maakt gebruik van de VAPP JVN_OBI_Algemeen. Haal de VAPP op en start de virtuele machines op.

Inleiding.

Network Access Protection is een nieuw fenomeen in Windows server 2008. Buiten de Microsoftwereld bestaat dit al langer, maar MS heeft

het nu voor het eerst geïmplementeerd in haar OS. NAP kan worden ingezet om de veiligheid van ons interne netwerk

zoveel mogelijk te kunnen garanderen.

NAP houdt in dat we een NPS ( network policy server ) gebruiken.

Deze NPS controleert elke client die contact zoekt met ons netwerk; nagegaan wordt of contact tussen ons netwerk en die client geen risico

inhoudt voor ons netwerk. Bijv; heeft die client wel een antivirusprogramma geïnstalleerd, of is

die client wel up to date met ziijn security patches, etc….

In deze opdracht gaan we kijken hoe Nap in zijn werk gaat. Daarbij maken we gebruik van de mogelijkheid om NAP te combineren met


Dhcp. Elke client die een Ip adres krijgt van onze Dhcp server, wordt

door de NPS meteen gescreend op zijn zogenaamde health status.

Afhankelijk van wat de NPS in dit onderzoekt ontdekt krijgt de client 1. Direct en volledig toegang tot ons interne netwerk

2. Pas toegang tot ons netwerk nadat de client een aantal security maatregelen heeft doorgevoerd.

3. Uitsluitend toegang tot een speciaal deel van ons netwerk, waar hij zichzelf kan healen. In dat netwerkdeel hebben wij dan bijv.

een zogenaamde remediation server draaien, waarbij de client bijv. de Wsus updates kan halen of zijn virusdefinities kan laten

updaten.

Deze vorm van Nap is de eenvoudigste om te bouwen, eigenlijk alleen maar geschikt om een idee te krijgen van de wijze waarop Nap in

elkaar zit. Het zwakke punt van deze constructie is namelijk dat je alle

Nap security settings kunt omzeilen met een client die een static ip adres heeft. Dus niet echt veilig……. Maar wel goed genoeg om een

idee te krijgen van NAP.

Richt nu eerst een windows server2008 machine in als Domain

controller van het domein Nap.com. Gebruik hiervoor de machine X86-1.

Gebruik hierbij de volgende gegevens; Computernaam;DC_Nap

Ipadres ; 192.168.2.10 /24 Geen Gateway

Disable ipv6 Forest functional level; windows2008

Richt nu in het domein een memberserver, Member_Nap, in. Ip adres 192.168.2.20 /24

Disable ook hier ipv6.


De DHCP server.

Installeer op Member_Nap de rol van DHCP server; Richt een scope als volgt in;

Parent domain; nap.com

Scopename; napscope Start ip 192.168.2.100

End ip 192.168.2.110 Gateway 192.168.2.1

Scopetype; wired

Laat de scope meteen activeren. Disable Dhcp IPv6 stateless mode.

De Windows 7 client.

Richt nu een Windows7 machine, Win7, in. Maak Win7 als dhcp client lid van het domein.

Ga eerst na dat Win7 een geldig

IP adres krijgt van

Member_Nap.

Let even op de Connection-

specific DNS Suffix.


Om straks Win7 aan de policies van onze NPS server te kunnen

onderwerpen, moeten we nu eerst in AD een Global securitygroep aanmaken, waar Win7 lid van is.

Maak daarom nu eerst in AD in de Users container een aparte Global

security groep, GG_Nap enforced computers, aan voor de computers die straks als Nap client gaan fungeren.

Maak Win7 lid van deze GG.

Controleer of je met Win7 kunt inloggen op het domein.

Test ook uit of

je met Run \\DC_NAP naar

de DC kunt.

De Network Policy Server ( NPS ).

Dan kunnen we nu de Network Policy Server gaan installeren. Dat

doen op Member_Nap. De NPS gaat straks onze NAP ( network access protection) policies uitvoeren.

Installeer nu op Member_NAP de rol van de NPS server.

We hebben alleen de NPS nodig, meer niet.

Als de NPS eenmaal is geïnstalleerd zullen we achtereenvolgens moeten aanmaken;

Health policies;


Connection request policies;

Network policies; Remediation server Grouppolicies.

Open nu op Member_Nap vanuit het startmenu de NPS server.

Constateer dat er ook scenarios

aanwezig zijn om de policies

op te leggen via Radius servers,

Dial up en VPN Connections,

zelfs voor

Wireless connections.

Wij kiezen nu voor Nap.

Klik op Configure Nap.

Kies nu DHCP als Nap enforcement method; Hiermee wordt bepaald dat de napsettings moeten gelden voor alle

clients die toegang zoeken tot ons netwerk via een ipadres dat zij van

onze DHCP server hebben ontvangen.

Omdat wij in ons kleine netwerk de DHCP server en de NPS server op

een zelfde machine hebben geïnstalleerd hoeven we geen gebruik te maken van radius clients. Dit is alleen maar nodig indien we meerdere

NPS servers in ons netwerk hebben die de Nap policies zelf niet bevatten; zij sturen de clients dan door naar de enige NPS server die

wel de policies bevat. Ga gewoon door.


Ook kun je Nap instellen per individuele Dhcp scope.

Dit gebruiken

wij ook niet. Wij willen dat

alle scopes onder de

werking van de NPS vallen.

Klik Next.

In het volgende scherm kun je instellen voor welke specifieke

usergroepen of machinegroepen de NAP policy settings moeten gelden. Wij willen alle users en machines bereiken, dus gaan we hier geen

aparte groepen ingeven. Ga gewoon door.

Vervolgens moeten we een remediation servergroep aanmaken. Onze DC_Nap wordt daar lid van. Met deze instelling zorgen we ervoor dat

de NAP beperkingen die straks binnen ons netwerk draaien, NIET gelden voor onze DC_Nap. Immers; alle clients ( compliant en non-

compliant) moeten straks in staat zijn om DC_Nap te bereiken. Compliant clients lijkt me duidelijk waarom, maar ook non-compliant

clients moeten de DC kunnen bereiken. Daar krijgen zij namelijk straks hun informatie over de wijze waarop zij zichzelf kunnen healen.

Klik op OK als je alles hebt ingevuld.

Een URL vullen

we niet in; dit gebruiken we als

we een Website zouden hebben

waar we de gebruiker naar

toe sturen als hij meer informatie

wil over de reden waarom zijn pc

non-compliant is en hoe dat opgelost kan worden.


Wij doen daar nu niets mee. Klik gewoon op Next.

Health policies.

Nu kunnen we onze NAP Health policy definieren. Windows 2008 maakt hierbij gebruik van de System Health Validator ( SHV).

Zorg dat deze

SHV wordt gebruikt en zorg

ervoor dat de clients zichzelf

mogen healen ( auto

remediation) Clients die niet

met NAP overweg kunnen

mogen alleen

een afgeschermd

deel van ons netwerk

bezoeken, bijvoorbeeld een

DMZ.

In het totaaloverzicht lezen we nu af dat de wizard diverse Health policies maakt;

1. Een health policy voor compliant clients 2. Een health policy voor non-compliant clients

Voor deze clients wordt tevens een networkpolicy aangemaakt.

Voor clients die niet met NAP

overweg kunnen ( Non

NAP Capable) wordt alleen

een networkpolicy

aangemaakt.


Vraag via de link Configuration details detailinformatie op.

Details over de

NAP configuratie

Klik op Finish.

Open nu in de NPS server het onderdeel met de Connection request Policies.

Ga na dat er een NAP DHCP

policy is, die 24/ 7 actief is en

dat de Local computer als

Authentication provider

optreedt.


Open de NAP DHCP policy door erop te dubbelklikken.

Ga na dat de

polcy enabled is en dat als

network connection

method is gekozen voor

DHCP.

Op de settings tab kun je nagaan dat Member_Nap de verzoeken tot netwerktoegang mag authenticaten.

Sluit het scherm van de NAP Dhcp properties.


Networkpolicies.

Dan gaan we nu kijken naar de networkpolicies.

Met de networkpolicies wordt bepaald wie met het netwerk mag connecten en onder welke voorwaarden/ omstandigheden.

Hier zie je weer

de drie eerder besproken

opties; compliant, non-

compliant of non capable.

Constateer dat de policies verschillen in de mate waarin de client network access krijgt. ( Full access of limited access)

De non

compliant client moet wel limited

hebben om zichzelf te

kunnen healen

bij de remediation

server.


In de properties

van DHCP non-compliant kun je

zien dat deze leidt tot

uitvoering van de Non-

compliant health policy.

Het tabblad Constraints laat zien dat de enige voorwaarde tot

beoordeling van de netwerktoegang is dat er gecheckt moet worden of de machine wel healthy is. Andere eisen worden nu niet gesteld.


Het tabblad Settings toont ons de Nap Enforcement;

Non compliant clients krijgen limited access en ze mogen zichzelf healen als ze dat kunnen.

Klik op Configure

om vast te stellen dat onze

remediation servergroep al

bekend is.

Health Policies.

Gaan we nu kijken naar de Health policies. Open de container met de Health policies;

De twee policies die genoemd worden beschrijven onder welke voorwaarde(n) een client kan worden bestempeld als Healthy (

compliant) of niet healthy ( non compliant) Open de properties van de Non compliant health policy.

Ga na dat de

client als non compliant wordt

gezien als hij aan een of meer

SHV checks niet voldoet.


De System Health Validator voert dus een aantal checks uit.

Maar welke?

Dat kun je zien in de SHV zelf.

In de properties van de SHV kun je deze instellingen wijzigen. Klik op

de knop Configure.

Kies het tabblad voor de Vista

clients. Wij gebruiken

immers geen XP.

Op dit tabblad

kun je instellen welke functies de

client eventueel moet

inschakelen of bijwerken

alvorens hij als healthy

aangemerkt zal worden.


Firewall You can force a firewall to be enabled on the Vista client in order to be

compliant with health policy

Virus Protection You can force that virus protection be enabled in order to be

complaint. In addition, you can require that the virus protection be up to date in

order to be compliant.

Spyware Protection You can force that an antispyware application be enabled to

be compliant. In addition, you can force that the antispyware application be up to

date in order to be compliant.

Automatic Updating When automatic updating is enabled, the NAP agent on the

client will try to fix the problem. For example, if the user disables the Windows

Firewall, the NAP agent on the client machine will try to turn the firewall back on

Security Update Protection When this option is enabled, you can choose to

restrict clients from accessing the network based on their current state of security

updates. You can use the drop down list seen in the figure below to set what type

of security updates are required. You also have the option to set the minimum

number of hours allowed since the client has checked for new security updates

and whether you want to allow the clients to use Windows Server Update Servers

or Windows Update (Microsoft Update is allowed by default).

Stel in dat alleen gekeken hoeft te worden of de client een firewall

heeft ingeschakeld.

DHCP en NAP.

Rest ons nu tot slot om DHCP te configureren voor Nap en de client te

testen. Open nu op Member_Nap de DHCP console. De DHCP server en de Network Policy Server zullen met elkaar

communiceren om samen na te gaan of een client volledige,

gedeeltelijke of geen netwerktoegang krijgt.

Kies de optie om de scope options te configureren.

Stel de juiste vendor class

en user class in. Geef het ip

adres van de DNS server

mee.


Deze opties zullen straks worden gebruikt voor de clients die als non

compliant beschouwd worden.

Stel een nieuwe DNS domain name in;

Deze DNS domain name

wordt straks gebruikt om

unhealthy clients te verwijzen

naar een ander deel van het

netwerk. Het deel waarin zich

de remediations

servers bevinden.

Ga na dat de scope options nu onderscheid maken in de zogenaamde None class en de Default Network Access Protection Class.

De Default NAP instellingen

worden straks gebruikt voor de

Non compliant

computers.

Enable nu NAP voor de scope. Rechtsklik op de scope node, kies properties en enable NAP.


NAP Enforcement via een GPO.

Om er nu voor te zorgen dat elke Dhcp client met de Nap settings wordt geconfronteerd, gaan we deze settings uitrollen m.b.v. een

grouppolicy. Dit omvat;

1. Enable de NAP agent op de client 2. Configureer de Nap enforcement Agent ( hier DHCP NAP

enforcement Agent) 3. Configureer de GPO zodanig dat hij alleen geldt voor de clients

die in de security groep zitten waarvoor NAP moet gelden.

Maak nu eerst in DC_Nap een nieuwe GPO, NAPpolicy, aan. Edit deze als volgt;

Comp config/

windows settings/

sec settings/system

services/ netw access protection

agent; define this policy setting.

Stel in op

Automatic.

Hiermee wordt door de GPO op de clients de Nap agent ingeschakeld. Nu moeten we nog de DHCP enforcement Client op de client laten

enabelen.


Rechtsklik daarna

expliciet op de NAP Client

configuration node en kies

APPLY.

Tot slot moeten we ervoor zorgen dat de GPO wordt toegepast op de computers uit onze GG_NAP enforced computers.

Verwijder in de security filter de authenticated users; het is immers een computerpolicy.

Voeg de GG_Nap enforced computers toe; Link de policy nu aan het domein.


De NPS server en de NAP in werking.

Start Win7 op.

Log met Win7 in op het domein. Schakel de firewall uit.

Draai nu Ipconfig

/release en renew meteen

weer.

(Start Win7 evt opnieuw op.)

Vraag met IPconfig /all de

ipconfiguratie

van Win7 weer op.

Let op; de

firewall wordt razendsnel weer

ingeschakeld, dus wellicht heb

je geen tijd om

dit te zien gebeuren.


In dat geval kun je op Member_Nap in de configuratie van de SHV

instellen dat ook gecheckt dient te worden of er op de client wel een antivirus programma draait.

Als Win7 nu zijn ip configuratie vernieuwt kun je zien dat de connection specific DNS Suffix nu vemeldt; Non compliant pc’s.

Dit is de DNS

verwijzing voor de non

compliant clients. De NPS

server en de Dhcp server

hebben dus al

ontdekt dat Win7 niet

compliant is. Ook is er geen

gateway adres ingevuld.

Vraag een Routeprint op; constateer dat de dhcpserver en de DC wel bereikbaar zijn, maar verder niets.

De default

gateway 0.0.0.0 is

verdwenen.

M.a.w. de client zit gevangen in

alleen de communicatie

met de DC en de Dhcp server.


Ping DC_Nap en Member_Nap om de communicatie te testen.

Ga na dat DC_Nap bereikbaar is. ( Run \\DC_Nap )

Op Member_Nap;

Zorg dat de SHV niet kijkt naar een geïnstalleerde AV.

Op Win7; Release en renew het ip adres.

Log weer in op het domein.

Constateer dat de connection

specific DNS suffix nu ineens

het domein

Nap.com vermeldt.

Ook de route print vermeldt

ineens de

default gateway van

0.0.0.0.


Vraag via de CMD met het commando Netsh nap client op welke Enforcement clients op Win7 actief zijn. (Netsh nap client show state)

Constateer dat de DHCP

Enforcement client inderdaad Initialized is.

Herhaal dit eens als de client

Non Compliant is. Dan zie onderin het netsh scherm

ook meteen waarom de toegang werd

geweigerd.....(Remediation results..)

Hiermee zijn we aan het eind gekomen van deze opdracht.

Andere scenarios zullen wij niet bekijken; deze gaan te ver. Het ging ons er hier alleen maar om dat je gezien hebt wat NAP inhoudt en hoe

je ermee kunt werken.

Download - Onderhoud en Beheer Informatiesystemen. 70 642 opdracht … · 2014. 2. 19. · Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 4 van 21 Om

Top Related