onderhoud en beheer informatiesystemen. 70 642 opdracht 2014. 2. 19.¢  onderhoud en beheer...

Download Onderhoud en Beheer Informatiesystemen. 70 642 opdracht 2014. 2. 19.¢  Onderhoud en Beheer Informatiesystemen

Post on 14-Sep-2020

0 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 1 van 21

    Onderhoud en Beheer Informatiesystemen.

    70_642 opdracht Network Access protection. deze opdracht maakt gebruik van de VApp JVN_OBI_ALGEMEEN. De opdracht is werkend getest in de cloud.

    Inhoud;

    Inleiding. .................................................................................... 1

    De DHCP server. ......................................................................... 3

    De Windows 7 client. ................................................................... 3

    De Network Policy Server ( NPS ). ................................................. 4

    Health policies. ........................................................................... 7

    Networkpolicies. ......................................................................... 10

    Health Policies. .......................................................................... 12

    DHCP en NAP. ............................................................................ 14

    NAP Enforcement via een GPO. .................................................... 16

    De NPS server en de NAP in werking. ............................................ 18

    Deze opdracht maakt gebruik van de VAPP JVN_OBI_Algemeen. Haal de VAPP op en start de virtuele machines op.

    Inleiding.

    Network Access Protection is een nieuw fenomeen in Windows server 2008. Buiten de Microsoftwereld bestaat dit al langer, maar MS heeft

    het nu voor het eerst geïmplementeerd in haar OS. NAP kan worden ingezet om de veiligheid van ons interne netwerk

    zoveel mogelijk te kunnen garanderen.

    NAP houdt in dat we een NPS ( network policy server ) gebruiken.

    Deze NPS controleert elke client die contact zoekt met ons netwerk; nagegaan wordt of contact tussen ons netwerk en die client geen risico

    inhoudt voor ons netwerk. Bijv; heeft die client wel een antivirusprogramma geïnstalleerd, of is

    die client wel up to date met ziijn security patches, etc….

    In deze opdracht gaan we kijken hoe Nap in zijn werk gaat. Daarbij maken we gebruik van de mogelijkheid om NAP te combineren met

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 2 van 21

    Dhcp. Elke client die een Ip adres krijgt van onze Dhcp server, wordt

    door de NPS meteen gescreend op zijn zogenaamde health status.

    Afhankelijk van wat de NPS in dit onderzoekt ontdekt krijgt de client 1. Direct en volledig toegang tot ons interne netwerk

    2. Pas toegang tot ons netwerk nadat de client een aantal security maatregelen heeft doorgevoerd.

    3. Uitsluitend toegang tot een speciaal deel van ons netwerk, waar hij zichzelf kan healen. In dat netwerkdeel hebben wij dan bijv.

    een zogenaamde remediation server draaien, waarbij de client bijv. de Wsus updates kan halen of zijn virusdefinities kan laten

    updaten.

    Deze vorm van Nap is de eenvoudigste om te bouwen, eigenlijk alleen maar geschikt om een idee te krijgen van de wijze waarop Nap in

    elkaar zit. Het zwakke punt van deze constructie is namelijk dat je alle

    Nap security settings kunt omzeilen met een client die een static ip adres heeft. Dus niet echt veilig……. Maar wel goed genoeg om een

    idee te krijgen van NAP.

    Richt nu eerst een windows server2008 machine in als Domain

    controller van het domein Nap.com. Gebruik hiervoor de machine X86- 1.

    Gebruik hierbij de volgende gegevens;  Computernaam;DC_Nap

     Ipadres ; 192.168.2.10 /24  Geen Gateway

     Disable ipv6  Forest functional level; windows2008

    Richt nu in het domein een memberserver, Member_Nap, in.  Ip adres 192.168.2.20 /24

     Disable ook hier ipv6.

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 3 van 21

    De DHCP server.

    Installeer op Member_Nap de rol van DHCP server; Richt een scope als volgt in;

     Parent domain; nap.com

     Scopename; napscope  Start ip 192.168.2.100

     End ip 192.168.2.110  Gateway 192.168.2.1

     Scopetype; wired

    Laat de scope meteen activeren. Disable Dhcp IPv6 stateless mode.

    De Windows 7 client.

    Richt nu een Windows7 machine, Win7, in. Maak Win7 als dhcp client lid van het domein.

    Ga eerst na dat Win7 een geldig

    IP adres krijgt van

    Member_Nap.

    Let even op de Connection-

    specific DNS Suffix.

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 4 van 21

    Om straks Win7 aan de policies van onze NPS server te kunnen

    onderwerpen, moeten we nu eerst in AD een Global securitygroep aanmaken, waar Win7 lid van is.

    Maak daarom nu eerst in AD in de Users container een aparte Global

    security groep, GG_Nap enforced computers, aan voor de computers die straks als Nap client gaan fungeren.

    Maak Win7 lid van deze GG.

    Controleer of je met Win7 kunt inloggen op het domein.

    Test ook uit of

    je met Run \\DC_NAP naar

    de DC kunt.

    De Network Policy Server ( NPS ).

    Dan kunnen we nu de Network Policy Server gaan installeren. Dat

    doen op Member_Nap. De NPS gaat straks onze NAP ( network access protection) policies uitvoeren.

    Installeer nu op Member_NAP de rol van de NPS server.

    We hebben alleen de NPS nodig, meer niet.

    Als de NPS eenmaal is geïnstalleerd zullen we achtereenvolgens moeten aanmaken;

     Health policies;

    file://DC_NAP

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 5 van 21

     Connection request policies;

     Network policies;  Remediation server Grouppolicies.

    Open nu op Member_Nap vanuit het startmenu de NPS server.

    Constateer dat er ook scenarios

    aanwezig zijn om de policies

    op te leggen via Radius servers,

    Dial up en VPN Connections,

    zelfs voor

    Wireless connections.

    Wij kiezen nu voor Nap.

    Klik op Configure Nap.

    Kies nu DHCP als Nap enforcement method; Hiermee wordt bepaald dat de napsettings moeten gelden voor alle

    clients die toegang zoeken tot ons netwerk via een ipadres dat zij van

    onze DHCP server hebben ontvangen.

    Omdat wij in ons kleine netwerk de DHCP server en de NPS server op

    een zelfde machine hebben geïnstalleerd hoeven we geen gebruik te maken van radius clients. Dit is alleen maar nodig indien we meerdere

    NPS servers in ons netwerk hebben die de Nap policies zelf niet bevatten; zij sturen de clients dan door naar de enige NPS server die

    wel de policies bevat. Ga gewoon door.

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 6 van 21

    Ook kun je Nap instellen per individuele Dhcp scope.

    Dit gebruiken

    wij ook niet. Wij willen dat

    alle scopes onder de

    werking van de NPS vallen.

    Klik Next.

    In het volgende scherm kun je instellen voor welke specifieke

    usergroepen of machinegroepen de NAP policy settings moeten gelden. Wij willen alle users en machines bereiken, dus gaan we hier geen

    aparte groepen ingeven. Ga gewoon door.

    Vervolgens moeten we een remediation servergroep aanmaken. Onze DC_Nap wordt daar lid van. Met deze instelling zorgen we ervoor dat

    de NAP beperkingen die straks binnen ons netwerk draaien, NIET gelden voor onze DC_Nap. Immers; alle clients ( compliant en non-

    compliant) moeten straks in staat zijn om DC_Nap te bereiken. Compliant clients lijkt me duidelijk waarom, maar ook non-compliant

    clients moeten de DC kunnen bereiken. Daar krijgen zij namelijk straks hun informatie over de wijze waarop zij zichzelf kunnen healen.

    Klik op OK als je alles hebt ingevuld.

    Een URL vullen

    we niet in; dit gebruiken we als

    we een Website zouden hebben

    waar we de gebruiker naar

    toe sturen als hij meer informatie

    wil over de reden waarom zijn pc

    non-compliant is en hoe dat opgelost kan worden.

  • ------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 7 van 21

    Wij doen daar nu niets mee. Klik gewoon op Next.

    Health policies.

    Nu kunnen we onze NAP Health policy definieren. Windows 2008 maakt hierbij gebruik van de System Health Validator ( SHV).

    Zorg dat deze

    SHV wordt gebruikt en zorg

    ervoor dat de clients zichzelf

    mogen healen ( auto

    remediation) Clients die niet

    met NAP overweg kunnen

    mogen alleen

    een afgesc

Recommended

View more >