onderhoud en beheer informatiesystemen. 70 642 opdracht … · 2014. 2. 19. · onderhoud en beheer...
TRANSCRIPT
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 1 van 21
Onderhoud en Beheer Informatiesystemen.
70_642 opdracht Network Access protection. deze opdracht maakt gebruik van de VApp JVN_OBI_ALGEMEEN. De opdracht is werkend getest in de cloud.
Inhoud;
Inleiding. .................................................................................... 1
De DHCP server. ......................................................................... 3
De Windows 7 client. ................................................................... 3
De Network Policy Server ( NPS ). ................................................. 4
Health policies. ........................................................................... 7
Networkpolicies. ......................................................................... 10
Health Policies. .......................................................................... 12
DHCP en NAP. ............................................................................ 14
NAP Enforcement via een GPO. .................................................... 16
De NPS server en de NAP in werking. ............................................ 18
Deze opdracht maakt gebruik van de VAPP JVN_OBI_Algemeen. Haal de VAPP op en start de virtuele machines op.
Inleiding.
Network Access Protection is een nieuw fenomeen in Windows server 2008. Buiten de Microsoftwereld bestaat dit al langer, maar MS heeft
het nu voor het eerst geïmplementeerd in haar OS. NAP kan worden ingezet om de veiligheid van ons interne netwerk
zoveel mogelijk te kunnen garanderen.
NAP houdt in dat we een NPS ( network policy server ) gebruiken.
Deze NPS controleert elke client die contact zoekt met ons netwerk; nagegaan wordt of contact tussen ons netwerk en die client geen risico
inhoudt voor ons netwerk. Bijv; heeft die client wel een antivirusprogramma geïnstalleerd, of is
die client wel up to date met ziijn security patches, etc….
In deze opdracht gaan we kijken hoe Nap in zijn werk gaat. Daarbij maken we gebruik van de mogelijkheid om NAP te combineren met
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 2 van 21
Dhcp. Elke client die een Ip adres krijgt van onze Dhcp server, wordt
door de NPS meteen gescreend op zijn zogenaamde health status.
Afhankelijk van wat de NPS in dit onderzoekt ontdekt krijgt de client 1. Direct en volledig toegang tot ons interne netwerk
2. Pas toegang tot ons netwerk nadat de client een aantal security maatregelen heeft doorgevoerd.
3. Uitsluitend toegang tot een speciaal deel van ons netwerk, waar hij zichzelf kan healen. In dat netwerkdeel hebben wij dan bijv.
een zogenaamde remediation server draaien, waarbij de client bijv. de Wsus updates kan halen of zijn virusdefinities kan laten
updaten.
Deze vorm van Nap is de eenvoudigste om te bouwen, eigenlijk alleen maar geschikt om een idee te krijgen van de wijze waarop Nap in
elkaar zit. Het zwakke punt van deze constructie is namelijk dat je alle
Nap security settings kunt omzeilen met een client die een static ip adres heeft. Dus niet echt veilig……. Maar wel goed genoeg om een
idee te krijgen van NAP.
Richt nu eerst een windows server2008 machine in als Domain
controller van het domein Nap.com. Gebruik hiervoor de machine X86-1.
Gebruik hierbij de volgende gegevens; Computernaam;DC_Nap
Ipadres ; 192.168.2.10 /24 Geen Gateway
Disable ipv6 Forest functional level; windows2008
Richt nu in het domein een memberserver, Member_Nap, in. Ip adres 192.168.2.20 /24
Disable ook hier ipv6.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 3 van 21
De DHCP server.
Installeer op Member_Nap de rol van DHCP server; Richt een scope als volgt in;
Parent domain; nap.com
Scopename; napscope Start ip 192.168.2.100
End ip 192.168.2.110 Gateway 192.168.2.1
Scopetype; wired
Laat de scope meteen activeren. Disable Dhcp IPv6 stateless mode.
De Windows 7 client.
Richt nu een Windows7 machine, Win7, in. Maak Win7 als dhcp client lid van het domein.
Ga eerst na dat Win7 een geldig
IP adres krijgt van
Member_Nap.
Let even op de Connection-
specific DNS Suffix.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 4 van 21
Om straks Win7 aan de policies van onze NPS server te kunnen
onderwerpen, moeten we nu eerst in AD een Global securitygroep aanmaken, waar Win7 lid van is.
Maak daarom nu eerst in AD in de Users container een aparte Global
security groep, GG_Nap enforced computers, aan voor de computers die straks als Nap client gaan fungeren.
Maak Win7 lid van deze GG.
Controleer of je met Win7 kunt inloggen op het domein.
Test ook uit of
je met Run \\DC_NAP naar
de DC kunt.
De Network Policy Server ( NPS ).
Dan kunnen we nu de Network Policy Server gaan installeren. Dat
doen op Member_Nap. De NPS gaat straks onze NAP ( network access protection) policies uitvoeren.
Installeer nu op Member_NAP de rol van de NPS server.
We hebben alleen de NPS nodig, meer niet.
Als de NPS eenmaal is geïnstalleerd zullen we achtereenvolgens moeten aanmaken;
Health policies;
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 5 van 21
Connection request policies;
Network policies; Remediation server Grouppolicies.
Open nu op Member_Nap vanuit het startmenu de NPS server.
Constateer dat er ook scenarios
aanwezig zijn om de policies
op te leggen via Radius servers,
Dial up en VPN Connections,
zelfs voor
Wireless connections.
Wij kiezen nu voor Nap.
Klik op Configure Nap.
Kies nu DHCP als Nap enforcement method; Hiermee wordt bepaald dat de napsettings moeten gelden voor alle
clients die toegang zoeken tot ons netwerk via een ipadres dat zij van
onze DHCP server hebben ontvangen.
Omdat wij in ons kleine netwerk de DHCP server en de NPS server op
een zelfde machine hebben geïnstalleerd hoeven we geen gebruik te maken van radius clients. Dit is alleen maar nodig indien we meerdere
NPS servers in ons netwerk hebben die de Nap policies zelf niet bevatten; zij sturen de clients dan door naar de enige NPS server die
wel de policies bevat. Ga gewoon door.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 6 van 21
Ook kun je Nap instellen per individuele Dhcp scope.
Dit gebruiken
wij ook niet. Wij willen dat
alle scopes onder de
werking van de NPS vallen.
Klik Next.
In het volgende scherm kun je instellen voor welke specifieke
usergroepen of machinegroepen de NAP policy settings moeten gelden. Wij willen alle users en machines bereiken, dus gaan we hier geen
aparte groepen ingeven. Ga gewoon door.
Vervolgens moeten we een remediation servergroep aanmaken. Onze DC_Nap wordt daar lid van. Met deze instelling zorgen we ervoor dat
de NAP beperkingen die straks binnen ons netwerk draaien, NIET gelden voor onze DC_Nap. Immers; alle clients ( compliant en non-
compliant) moeten straks in staat zijn om DC_Nap te bereiken. Compliant clients lijkt me duidelijk waarom, maar ook non-compliant
clients moeten de DC kunnen bereiken. Daar krijgen zij namelijk straks hun informatie over de wijze waarop zij zichzelf kunnen healen.
Klik op OK als je alles hebt ingevuld.
Een URL vullen
we niet in; dit gebruiken we als
we een Website zouden hebben
waar we de gebruiker naar
toe sturen als hij meer informatie
wil over de reden waarom zijn pc
non-compliant is en hoe dat opgelost kan worden.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 7 van 21
Wij doen daar nu niets mee. Klik gewoon op Next.
Health policies.
Nu kunnen we onze NAP Health policy definieren. Windows 2008 maakt hierbij gebruik van de System Health Validator ( SHV).
Zorg dat deze
SHV wordt gebruikt en zorg
ervoor dat de clients zichzelf
mogen healen ( auto
remediation) Clients die niet
met NAP overweg kunnen
mogen alleen
een afgeschermd
deel van ons netwerk
bezoeken, bijvoorbeeld een
DMZ.
In het totaaloverzicht lezen we nu af dat de wizard diverse Health policies maakt;
1. Een health policy voor compliant clients 2. Een health policy voor non-compliant clients
Voor deze clients wordt tevens een networkpolicy aangemaakt.
Voor clients die niet met NAP
overweg kunnen ( Non
NAP Capable) wordt alleen
een networkpolicy
aangemaakt.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 8 van 21
Vraag via de link Configuration details detailinformatie op.
Details over de
NAP configuratie
Klik op Finish.
Open nu in de NPS server het onderdeel met de Connection request Policies.
Ga na dat er een NAP DHCP
policy is, die 24/ 7 actief is en
dat de Local computer als
Authentication provider
optreedt.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 9 van 21
Open de NAP DHCP policy door erop te dubbelklikken.
Ga na dat de
polcy enabled is en dat als
network connection
method is gekozen voor
DHCP.
Op de settings tab kun je nagaan dat Member_Nap de verzoeken tot netwerktoegang mag authenticaten.
Sluit het scherm van de NAP Dhcp properties.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 10 van 21
Networkpolicies.
Dan gaan we nu kijken naar de networkpolicies.
Met de networkpolicies wordt bepaald wie met het netwerk mag connecten en onder welke voorwaarden/ omstandigheden.
Hier zie je weer
de drie eerder besproken
opties; compliant, non-
compliant of non capable.
Constateer dat de policies verschillen in de mate waarin de client network access krijgt. ( Full access of limited access)
De non
compliant client moet wel limited
hebben om zichzelf te
kunnen healen
bij de remediation
server.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 11 van 21
In de properties
van DHCP non-compliant kun je
zien dat deze leidt tot
uitvoering van de Non-
compliant health policy.
Het tabblad Constraints laat zien dat de enige voorwaarde tot
beoordeling van de netwerktoegang is dat er gecheckt moet worden of de machine wel healthy is. Andere eisen worden nu niet gesteld.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 12 van 21
Het tabblad Settings toont ons de Nap Enforcement;
Non compliant clients krijgen limited access en ze mogen zichzelf healen als ze dat kunnen.
Klik op Configure
om vast te stellen dat onze
remediation servergroep al
bekend is.
Health Policies.
Gaan we nu kijken naar de Health policies. Open de container met de Health policies;
De twee policies die genoemd worden beschrijven onder welke voorwaarde(n) een client kan worden bestempeld als Healthy (
compliant) of niet healthy ( non compliant) Open de properties van de Non compliant health policy.
Ga na dat de
client als non compliant wordt
gezien als hij aan een of meer
SHV checks niet voldoet.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 13 van 21
De System Health Validator voert dus een aantal checks uit.
Maar welke?
Dat kun je zien in de SHV zelf.
In de properties van de SHV kun je deze instellingen wijzigen. Klik op
de knop Configure.
Kies het tabblad voor de Vista
clients. Wij gebruiken
immers geen XP.
Op dit tabblad
kun je instellen welke functies de
client eventueel moet
inschakelen of bijwerken
alvorens hij als healthy
aangemerkt zal worden.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 14 van 21
Firewall You can force a firewall to be enabled on the Vista client in order to be
compliant with health policy
Virus Protection You can force that virus protection be enabled in order to be
complaint. In addition, you can require that the virus protection be up to date in
order to be compliant.
Spyware Protection You can force that an antispyware application be enabled to
be compliant. In addition, you can force that the antispyware application be up to
date in order to be compliant.
Automatic Updating When automatic updating is enabled, the NAP agent on the
client will try to fix the problem. For example, if the user disables the Windows
Firewall, the NAP agent on the client machine will try to turn the firewall back on
Security Update Protection When this option is enabled, you can choose to
restrict clients from accessing the network based on their current state of security
updates. You can use the drop down list seen in the figure below to set what type
of security updates are required. You also have the option to set the minimum
number of hours allowed since the client has checked for new security updates
and whether you want to allow the clients to use Windows Server Update Servers
or Windows Update (Microsoft Update is allowed by default).
Stel in dat alleen gekeken hoeft te worden of de client een firewall
heeft ingeschakeld.
DHCP en NAP.
Rest ons nu tot slot om DHCP te configureren voor Nap en de client te
testen. Open nu op Member_Nap de DHCP console. De DHCP server en de Network Policy Server zullen met elkaar
communiceren om samen na te gaan of een client volledige,
gedeeltelijke of geen netwerktoegang krijgt.
Kies de optie om de scope options te configureren.
Stel de juiste vendor class
en user class in. Geef het ip
adres van de DNS server
mee.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 15 van 21
Deze opties zullen straks worden gebruikt voor de clients die als non
compliant beschouwd worden.
Stel een nieuwe DNS domain name in;
Deze DNS domain name
wordt straks gebruikt om
unhealthy clients te verwijzen
naar een ander deel van het
netwerk. Het deel waarin zich
de remediations
servers bevinden.
Ga na dat de scope options nu onderscheid maken in de zogenaamde None class en de Default Network Access Protection Class.
De Default NAP instellingen
worden straks gebruikt voor de
Non compliant
computers.
Enable nu NAP voor de scope. Rechtsklik op de scope node, kies properties en enable NAP.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 16 van 21
NAP Enforcement via een GPO.
Om er nu voor te zorgen dat elke Dhcp client met de Nap settings wordt geconfronteerd, gaan we deze settings uitrollen m.b.v. een
grouppolicy. Dit omvat;
1. Enable de NAP agent op de client 2. Configureer de Nap enforcement Agent ( hier DHCP NAP
enforcement Agent) 3. Configureer de GPO zodanig dat hij alleen geldt voor de clients
die in de security groep zitten waarvoor NAP moet gelden.
Maak nu eerst in DC_Nap een nieuwe GPO, NAPpolicy, aan. Edit deze als volgt;
Comp config/
windows settings/
sec settings/system
services/ netw access protection
agent; define this policy setting.
Stel in op
Automatic.
Hiermee wordt door de GPO op de clients de Nap agent ingeschakeld. Nu moeten we nog de DHCP enforcement Client op de client laten
enabelen.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 17 van 21
Rechtsklik daarna
expliciet op de NAP Client
configuration node en kies
APPLY.
Tot slot moeten we ervoor zorgen dat de GPO wordt toegepast op de computers uit onze GG_NAP enforced computers.
Verwijder in de security filter de authenticated users; het is immers een computerpolicy.
Voeg de GG_Nap enforced computers toe; Link de policy nu aan het domein.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 18 van 21
De NPS server en de NAP in werking.
Start Win7 op.
Log met Win7 in op het domein. Schakel de firewall uit.
Draai nu Ipconfig
/release en renew meteen
weer.
(Start Win7 evt opnieuw op.)
Vraag met IPconfig /all de
ipconfiguratie
van Win7 weer op.
Let op; de
firewall wordt razendsnel weer
ingeschakeld, dus wellicht heb
je geen tijd om
dit te zien gebeuren.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 19 van 21
In dat geval kun je op Member_Nap in de configuratie van de SHV
instellen dat ook gecheckt dient te worden of er op de client wel een antivirus programma draait.
Als Win7 nu zijn ip configuratie vernieuwt kun je zien dat de connection specific DNS Suffix nu vemeldt; Non compliant pc’s.
Dit is de DNS
verwijzing voor de non
compliant clients. De NPS
server en de Dhcp server
hebben dus al
ontdekt dat Win7 niet
compliant is. Ook is er geen
gateway adres ingevuld.
Vraag een Routeprint op; constateer dat de dhcpserver en de DC wel bereikbaar zijn, maar verder niets.
De default
gateway 0.0.0.0 is
verdwenen.
M.a.w. de client zit gevangen in
alleen de communicatie
met de DC en de Dhcp server.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 20 van 21
Ping DC_Nap en Member_Nap om de communicatie te testen.
Ga na dat DC_Nap bereikbaar is. ( Run \\DC_Nap )
Op Member_Nap;
Zorg dat de SHV niet kijkt naar een geïnstalleerde AV.
Op Win7; Release en renew het ip adres.
Log weer in op het domein.
Constateer dat de connection
specific DNS suffix nu ineens
het domein
Nap.com vermeldt.
Ook de route print vermeldt
ineens de
default gateway van
0.0.0.0.
------------------------------------------------------------------------------- Onderhoud en Beheer Informatiesystemen MCTS 70-642 Augustus 2010 J., van NImwegen Pagina 21 van 21
Vraag via de CMD met het commando Netsh nap client op welke Enforcement clients op Win7 actief zijn. (Netsh nap client show state)
Constateer dat de DHCP
Enforcement client inderdaad Initialized is.
Herhaal dit eens als de client
Non Compliant is. Dan zie onderin het netsh scherm
ook meteen waarom de toegang werd
geweigerd.....(Remediation results..)
Hiermee zijn we aan het eind gekomen van deze opdracht.
Andere scenarios zullen wij niet bekijken; deze gaan te ver. Het ging ons er hier alleen maar om dat je gezien hebt wat NAP inhoudt en hoe
je ermee kunt werken.