专栏首页李珣SCCM2012之NAP网络保护

SCCM2012之NAP网络保护

一、微软的网络访问保护(NAP)是随着Windows Server 2008面世的限制网络访问保护服务。采用NAP的强制系统符合健康要求,可以使得不符合健康要求的计算机拒绝接入网络,并将不符合的计算机强制修正其状态。

NAP的的三个显著特性

? 健康状态验证

当客户端计算机尝试连接网络时,NAP会根据制定的健康要求策略进行检查客户端健康情况,如果不符合健康要求,后续会对计算机进行配置和操作。

? 健康策略符合性

管理员可以设置符合性策略,配合SCCM 2012,NAP检查客户端计算机是否包含了特定的软件更新或者是单独的软件产品,如果不符合,将自动对其进行修复。

? 受限访问

限制不符合健康性要求的客户端计算机,让其自动的去访问修复服务器,然后修正不符合项,使其能正常接入网络。

典型的使用场景

? 验证移动的便携式计算机健康状况

? 验证台式机的健康状况

? 验证来宾的便携式计算机健康状况

? 验证不受管理的计算机健康状况

二、SCCM+NAP实验

环境介绍

本次实验基于虚拟环境,采用SCCM+NAP DHCP强制方式,使用DC、SCCM、Client三台服务器与客户端,。各服务器安装角色如下:

DC:DC、DNS

SCCM:SCCM2012、DHCP、NPS

Client:Windows 7.

部署步骤

1. 在SCCM服务器上安装DHCP与NAP服务。

图1

2. 选择NAP角色组件,如图2

图2

3. 添加DHCP作用域,这步也可以安装完之后再做。

图3

4. 安装完毕后,打开DHCP服务器,打开配置作用域,在作用域配置中,高级选项,默认用户类下,勾选006 DNS 服务器与015 DNS 域名。如下图设置:

图4 DNS 服务器设置

图5 DNS 域名设置

5. 设置完毕后将用户类改为“默认的网络保护级别”,勾选006 DNS 服务器与015 DNS 域名。其中006设置与上面相同,015 DNS 域名填写为 restricted.contoso.msft。

图6

6. 配置完成后退出,点击作用域、属性,启用网络访问保护

图7

7. 接下来进行NAP方面的配置,我们要对SCCM进行相关的扩展,安装ConfigMgr System Health Validator ,打开C:\Program Files\Microsoft Configuration Manager\bin\X64目录,运行smsshv进行安装

图8

8. 打开Configuration Manger Console,在站点配置中添加System Health Vlidator point管理点,安装这个点的目的是将NAP与SCCM2012进行集成。

图9

9. 继续进行客户端设置,将Network Access Protection(NAP)设置为True。

图10

10. 下面进行NAP的配置,打开服务管理器,打开网络策略和访问服务,在NPS中进行配置NAP.

图11

11. 选择动态主机配置协议(DHCP),策略名称为NAP DHCP。

图12

12. 由于我们是在本地安装了DHCP,所以在RADIUS配置选择为空。

图13

13. DHCP作用域,为空,下一步。

图14

14. 配置更新服务器组,选择新建租,将DC服务器与SCCM服务器都添加进去,这是用于不符合健康性规则的客户端访问,并进行修复的服务器。然后下一步、默认设置,完成安装。

图15

15. 完成安装后依次打开网络访问保护-系统健康验证程序-windows安全健康验证程序-设置,打开默认配置。

图16

16. 设置windows健康检查策略,这里为了方便测试,我们只开启启用防火墙和自动更新。

图17

17. 下面进行DC方面的配置,在AD用户与计算机中设置一个名为NAP Client Computer的安全组,将需要管理的客户端添加进去。

图18

18. 在DC上运行GPMC.MSC打开组策略管理器,在当前域中创建一个名为NAP Client settings的组策略。

图19

19. 右击新建的GPO对象,选择编辑,打开组策略编辑器。

图20

20. 打开计算机配置-策略-windows设置-安全设置-系统服务,找到Network Access Protection Agent 属性,配置启动模式为自动。

图21

21. 继续在网络访问保护中,把DHCP 隔离强制客户端配置为启用。

图22

22. 接下来在管理模版中,把WINDOWS组件-安全中心中的启用安全中心(仅限域PC)启用。

图23

23. 接下来配置NAP client settingsGPO的安全筛选,找到组策略对象下的NAP client settings GPO,在右侧的窗口中,在安全筛选下,删除Authenticated Users,改为NAP client Computer。退出,更新域策略。

图24

24. 登录客户端,我们会发现关闭了防火墙和自动更新的客户端网络

25. 稍后自动完成更新,自动解除限制。

图26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Windows Server 2008与2012建立林信任关系

    当公司发展规模较大后,会有多个分公司或者合并收购其他公司的情况出现,这时候就会涉及到多个域以及员工工作调离的情况,这里就会牵涉到用户和计算机跨域的迁移。要跨域迁...

    李珣
  • 利用SCCM 2012 SP1为客户端进行软件批量自动安装

    企业部署了一套新的服务器产品,而需要为下面大量的桌面进行客户端的安装,对于一个有上千桌面的企业来说,这对管理员来说是一个非常浩大的工程。而有了System Ce...

    李珣
  • O365批量重置用户密码

    O365创建了大量用户后,需要批量重置用户密码,但是通过控制台一次只能重置少量用户。如果用户上千就会效率非常低下,这时候就需要用到O365的powershell...

    李珣
  • [享学Netflix] 五十五、Ribbon负载均衡器执行上下文:LoadBalancerContext

    又是一个上下文概念。通过这么多篇的源码研究,发现Context上下文是常常遇到的一种“设计模式”,比如我们最为熟悉的ApplicationContext就是典型...

    YourBatman
  • 生成 Heap Dump 的几种方式

    java404
  • 微信7.0都更新了什么

    基本上只要出现好友头像的地方都能通过双击头像来直接访问该好友设置的视频,比如群聊、朋友圈、通信录,各种入口,这是要强推的节奏。

    花叔
  • 聊聊NacosNamingService的selectInstances

    本文主要研究一下NacosNamingService的selectInstances

    codecraft
  • 聊聊NacosNamingService的selectInstances

    本文主要研究一下NacosNamingService的selectInstances

    codecraft
  • 10个超实用的设计师专属Chrome小插件

    静电说:设计师在日常设计过程中, 免不了需要使用Chrome搜索各类最新设计案例或文章。善用各种专为Chrome打造的扩展小插件,能显著提升Chrome的效能,...

    用户5009027
  • 快速搭建ELK7.5版本的日志分析系统--ELK实战篇

    现在索引也可以创建了,现在可以来输出nginx、apache、message、secrue的日志到前台展示(Nginx有的话直接修改,没有自行安装)

    用户6641876

扫码关注云+社区

领取腾讯云代金券