Deze opdracht maakt gebruik van de VAPP JVN_OBI_Algemeen. Haal de VAPP op en start de virtuele machines op.

Vergelijkbare documenten
Handleiding NL pagina 2. Manual UK page 6. Network Settings

Configureren van een VPN L2TP/IPSEC verbinding

Onderhoud en Beheer Informatiesystemen. 70_642 opdracht Windows Firewall.

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

DHCP Scope overzetten van Windows Server 2003 R2 naar Windows Server 2012

Zorg dat op de DC een DHCP scope word geïnstalleerd en NPS Role. Vul bij de scope de gateway in van de DC.

Windows Deployment Services. Deze opdracht maakt gebruik van de VApp _JVN_Deployment. De opdracht is werkend getest in de cloud ( vwb Windows7)

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

Inhoud van deze Opdracht; - TCP/IP - DHCP

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

IAAS - QUICK START GUIDE

Praktijk opdrachten VMware

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

IAAS HANDLEIDING - SOPHOS FIREWALL

Windows server Wesley de Marie. Wesley

Standard Parts Installatie Solid Edge ST3

Computer vanop afstand overnemen via Extern Bureaublad.

Handleiding. Lokaal Outlook gebruiken

ipact Installatiehandleiding CopperJet 816-2P / P Router

1) Domeinconfiguratie van Windows 9x clients & Windows Millennium

Vervang UW SERVERNAAM, UW SERVERNAAM ZONDER VPN en COMPUTERNAAM door de naam van de server en computer welke wij u doorgegeven hebben.

Installatie SQL Server 2014

Installatie SQL Server 2008R2

Installatie SQL Server 2012

vcloud getting started

Installatie SQL: Server 2008R2

Instellen Zyxel modem als stand-alone ATA

VPN Remote Dial In User. DrayTek Smart VPN Client

Installatiehandleiding. ixperion Word Import. voor Windows 2008 R2 64bit. Smartsite ixperion WordImport Implementatie. Copyright

VPN Client 2000/XP naar Netopia

Handleiding Inloggen met SSL VPN

Onderhoud en Beheer Informatiesystemen. 70_642 opdracht RRas en VPN s in Windows 2008.

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565)

Aandachtspunten voor installatie suse in vmware server

Configuratie van VPN met L2TP/IPsec

Boutronic. MSSQL Express server voor Log functie. >> Installatie handleiding << 23 april 2014, versie 1.0d

Connectivity SQL Er kan geen verbinding worden gemaakt met de SQL server

HOW TO RESTORE A SYSTEM IMAGE IN WINDOWS SERVER 2012

Installatie van sqlserver

TIPS & TRICKS PASSIVE FALLBACK

WHITE PAPER. by Default Reasoning

IPFire: Firewall en primary domain controller

14/11/2017. Windows 10 & TCP/IP for timers. Dennis Dirks

MyDHL+ Van Non-Corporate naar Corporate

Instellingen voor de C100BRS4 met Wanadoo kabel Internet.

Instellingen voor de C100BRS4 met Wanadoo kabel Internet.

Het werken met policies onder samba3 Steve Weemaels

Handleiding voor het inloggen op Terminal Server van GLT-PLUS

Configuratie Siemens SE565 SurfSnelADSL (connected by BBned) Controleren van de aansluiting. Toegang tot de router. De Siemens SE565 configureren

MS Exchange instellingen

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

Deze instructie moet gezien worden als een toevoeging op de bijgevoegde Engelstalige Quick Guide.

Driver installatie en configuratie.

Uw Dell 115 en 225 configureren voor gebruik met de 802.1xfunctionaliteit

Installeer de C54PSERVU in Windows Vista

ZIVVER Installatiehandleiding

DrayTek Vigor IPv6 TSPC tunnel (Freenet6)

CLOUD4WI ALCATEL-LUCENT IAP CONFIGURATIE V2

Handleiding Zuludesk Parent

Handleiding Installatie ADS

Camping Hotspot Installatie

Installeren en configureren Océ printers in AutoCAD 2000

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

2 Installatie Windows Server 2008 R2 Standard

Logicworks CRM en Microsoft SQL Server 2005 (Express) Introductie

Printer DCA installatie

1. Controleren van de aansluiting op de splitter

Siemens workpoints en DHCP options

Deze procedure beschrijft de handelingen die verricht moeten worden voor het verbinden van uw laptop met het wireless netwerk van de HU

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Instellen en gebruiken van LDAP met Active Directory

DrayTek Vigor IPv6 AICCU tunnel (AYIYA van SixXS)

Volg onderstaande stappen op voor de installatie van de Trust 4 Port USB Hub:

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Uitleg geven hoe men een VPN connectie kan opzetten i.c.m. een RSA token.

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

+32 (491)

INSTALLATIE EXCHANGE CONNECTOR

Windows Configuratie. yvan vander sanden. 8 maart 2015

Instellingen Microsoft ISA server

Installatie MicroSoft SQL server 2012 Express

802.1x instellen op een Trapeze MX

Instellingen voor de C100BRS4 met Chello kabel Internet.

Installing XDMS - Client.

Firewall van de Speedtouch 789wl volledig uitschakelen?

Zeg gewoon JA. Lees verder.

VPN verbinding maken HCCnet (Windows XP)

Installatie en gebruikershandleiding Cyso Hosted Exchange MacOS X Uw gegevens:

Installatie Domein Windows 2000

xdsl Bridging Een DrayTek modem kunt op twee manieren Bridgen: -PPPoA Bridgen (vanaf pagina 3) -MPoA Bridgen (vanaf pagina 7)

Shipment Centre EU Quick Print Client handleiding [NL]

Windows XP & Windows Vista

VPN Remote Dial In User. DrayTek Smart VPN Client

Activant Prophet 21. Prophet 21 Version 12.0 Upgrade Information

Uw Aerohive HiveAP configureren voor gebruik met de Portal-functionaliteit van Qmanage

MxStream & Linux. Auteur: Bas Datum: 7 november 2001

Quick Start Guide for Mxstream. In de Nederlandse taal

Installatie King Task Centre

NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows

LDAP Server on Yeastar MyPBX & tiptel 31xx/32xx series

Transcriptie:

. 70_642 opdracht Network Access protection. deze opdracht maakt gebruik van de VApp JVN_OBI_ALGEMEEN. De opdracht is werkend getest in de cloud. Inhoud; Inleiding.... 1 De DHCP server.... 3 De Windows 7 client.... 3 De Network Policy Server ( NPS ).... 4 Health policies.... 7 Networkpolicies.... 10 Health Policies.... 12 DHCP en NAP.... 14 NAP Enforcement via een GPO.... 16 De NPS server en de NAP in werking.... 18 Deze opdracht maakt gebruik van de VAPP JVN_OBI_Algemeen. Haal de VAPP op en start de virtuele machines op. Inleiding. Network Access Protection is een nieuw fenomeen in Windows server 2008. Buiten de Microsoftwereld bestaat dit al langer, maar MS heeft het nu voor het eerst geïmplementeerd in haar OS. NAP kan worden ingezet om de veiligheid van ons interne netwerk zoveel mogelijk te kunnen garanderen. NAP houdt in dat we een NPS ( network policy server ) gebruiken. Deze NPS controleert elke client die contact zoekt met ons netwerk; nagegaan wordt of contact tussen ons netwerk en die client geen risico inhoudt voor ons netwerk. Bijv; heeft die client wel een antivirusprogramma geïnstalleerd, of is die client wel up to date met ziijn security patches, etc. In deze opdracht gaan we kijken hoe Nap in zijn werk gaat. Daarbij maken we gebruik van de mogelijkheid om NAP te combineren met J., van NImwegen Pagina 1 van 21

Dhcp. Elke client die een Ip adres krijgt van onze Dhcp server, wordt door de NPS meteen gescreend op zijn zogenaamde health status. Afhankelijk van wat de NPS in dit onderzoekt ontdekt krijgt de client 1. Direct en volledig toegang tot ons interne netwerk 2. Pas toegang tot ons netwerk nadat de client een aantal security maatregelen heeft doorgevoerd. 3. Uitsluitend toegang tot een speciaal deel van ons netwerk, waar hij zichzelf kan healen. In dat netwerkdeel hebben wij dan bijv. een zogenaamde remediation server draaien, waarbij de client bijv. de Wsus updates kan halen of zijn virusdefinities kan laten updaten. Deze vorm van Nap is de eenvoudigste om te bouwen, eigenlijk alleen maar geschikt om een idee te krijgen van de wijze waarop Nap in elkaar zit. Het zwakke punt van deze constructie is namelijk dat je alle Nap security settings kunt omzeilen met een client die een static ip adres heeft. Dus niet echt veilig. Maar wel goed genoeg om een idee te krijgen van NAP. Richt nu eerst een windows server2008 machine in als Domain controller van het domein Nap.com. Gebruik hiervoor de machine X86-1. Gebruik hierbij de volgende gegevens; Computernaam;DC_Nap Ipadres ; 192.168.2.10 /24 Geen Gateway Disable ipv6 Forest functional level; windows2008 Richt nu in het domein een memberserver, Member_Nap, in. Ip adres 192.168.2.20 /24 Disable ook hier ipv6. J., van NImwegen Pagina 2 van 21

De DHCP server. Installeer op Member_Nap de rol van DHCP server; Richt een scope als volgt in; Parent domain; nap.com Scopename; napscope Start ip 192.168.2.100 End ip 192.168.2.110 Gateway 192.168.2.1 Scopetype; wired Laat de scope meteen activeren. Disable Dhcp IPv6 stateless mode. De Windows 7 client. Richt nu een Windows7 machine, Win7, in. Maak Win7 als dhcp client lid van het domein. Ga eerst na dat Win7 een geldig IP adres krijgt van Member_Nap. Let even op de Connectionspecific DNS Suffix. J., van NImwegen Pagina 3 van 21

Om straks Win7 aan de policies van onze NPS server te kunnen onderwerpen, moeten we nu eerst in AD een Global securitygroep aanmaken, waar Win7 lid van is. Maak daarom nu eerst in AD in de Users container een aparte Global security groep, GG_Nap enforced computers, aan voor de computers die straks als Nap client gaan fungeren. Maak Win7 lid van deze GG. Controleer of je met Win7 kunt inloggen op het domein. Test ook uit of je met Run \\DC_NAP naar de DC kunt. De Network Policy Server ( NPS ). Dan kunnen we nu de Network Policy Server gaan installeren. Dat doen op Member_Nap. De NPS gaat straks onze NAP ( network access protection) policies uitvoeren. Installeer nu op Member_NAP de rol van de NPS server. We hebben alleen de NPS nodig, meer niet. Als de NPS eenmaal is geïnstalleerd zullen we achtereenvolgens moeten aanmaken; Health policies; J., van NImwegen Pagina 4 van 21

Connection request policies; Network policies; Remediation server Grouppolicies. Open nu op Member_Nap vanuit het startmenu de NPS server. Constateer dat er ook scenarios aanwezig zijn om de policies op te leggen via Radius servers, Dial up en VPN Connections, zelfs voor Wireless connections. Wij kiezen nu voor Nap. Klik op Configure Nap. Kies nu DHCP als Nap enforcement method; Hiermee wordt bepaald dat de napsettings moeten gelden voor alle clients die toegang zoeken tot ons netwerk via een ipadres dat zij van onze DHCP server hebben ontvangen. Omdat wij in ons kleine netwerk de DHCP server en de NPS server op een zelfde machine hebben geïnstalleerd hoeven we geen gebruik te maken van radius clients. Dit is alleen maar nodig indien we meerdere NPS servers in ons netwerk hebben die de Nap policies zelf niet bevatten; zij sturen de clients dan door naar de enige NPS server die wel de policies bevat. Ga gewoon door. J., van NImwegen Pagina 5 van 21

Ook kun je Nap instellen per individuele Dhcp scope. Dit gebruiken wij ook niet. Wij willen dat alle scopes onder de werking van de NPS vallen. Klik Next. In het volgende scherm kun je instellen voor welke specifieke usergroepen of machinegroepen de NAP policy settings moeten gelden. Wij willen alle users en machines bereiken, dus gaan we hier geen aparte groepen ingeven. Ga gewoon door. Vervolgens moeten we een remediation servergroep aanmaken. Onze DC_Nap wordt daar lid van. Met deze instelling zorgen we ervoor dat de NAP beperkingen die straks binnen ons netwerk draaien, NIET gelden voor onze DC_Nap. Immers; alle clients ( compliant en noncompliant) moeten straks in staat zijn om DC_Nap te bereiken. Compliant clients lijkt me duidelijk waarom, maar ook non-compliant clients moeten de DC kunnen bereiken. Daar krijgen zij namelijk straks hun informatie over de wijze waarop zij zichzelf kunnen healen. Klik op OK als je alles hebt ingevuld. non-compliant is en hoe dat opgelost kan worden. Een URL vullen we niet in; dit gebruiken we als we een Website zouden hebben waar we de gebruiker naar toe sturen als hij meer informatie wil over de reden waarom zijn pc J., van NImwegen Pagina 6 van 21

Wij doen daar nu niets mee. Klik gewoon op Next. Health policies. Nu kunnen we onze NAP Health policy definieren. Windows 2008 maakt hierbij gebruik van de System Health Validator ( SHV). Zorg dat deze SHV wordt gebruikt en zorg ervoor dat de clients zichzelf mogen healen ( auto remediation) Clients die niet met NAP overweg kunnen mogen alleen een afgeschermd deel van ons netwerk bezoeken, bijvoorbeeld een DMZ. In het totaaloverzicht lezen we nu af dat de wizard diverse Health policies maakt; 1. Een health policy voor compliant clients 2. Een health policy voor non-compliant clients Voor deze clients wordt tevens een networkpolicy aangemaakt. Voor clients die niet met NAP overweg kunnen ( Non NAP Capable) wordt alleen een networkpolicy aangemaakt. J., van NImwegen Pagina 7 van 21

Vraag via de link Configuration details detailinformatie op. Details over de NAP configuratie Klik op Finish. Open nu in de NPS server het onderdeel met de Connection request Policies. Ga na dat er een NAP DHCP policy is, die 24/ 7 actief is en dat de Local computer als Authentication provider optreedt. J., van NImwegen Pagina 8 van 21

Open de NAP DHCP policy door erop te dubbelklikken. Ga na dat de polcy enabled is en dat als network connection method is gekozen voor DHCP. Op de settings tab kun je nagaan dat Member_Nap de verzoeken tot netwerktoegang mag authenticaten. Sluit het scherm van de NAP Dhcp properties. J., van NImwegen Pagina 9 van 21

Networkpolicies. Dan gaan we nu kijken naar de networkpolicies. Met de networkpolicies wordt bepaald wie met het netwerk mag connecten en onder welke voorwaarden/ omstandigheden. Hier zie je weer de drie eerder besproken opties; compliant, noncompliant of non capable. Constateer dat de policies verschillen in de mate waarin de client network access krijgt. ( Full access of limited access) De non compliant client moet wel limited hebben om zichzelf te kunnen healen bij de remediation server. J., van NImwegen Pagina 10 van 21

In de properties van DHCP noncompliant kun je zien dat deze leidt tot uitvoering van de Noncompliant health policy. Het tabblad Constraints laat zien dat de enige voorwaarde tot beoordeling van de netwerktoegang is dat er gecheckt moet worden of de machine wel healthy is. Andere eisen worden nu niet gesteld. J., van NImwegen Pagina 11 van 21

Het tabblad Settings toont ons de Nap Enforcement; Non compliant clients krijgen limited access en ze mogen zichzelf healen als ze dat kunnen. Klik op Configure om vast te stellen dat onze remediation servergroep al bekend is. Health Policies. Gaan we nu kijken naar de Health policies. Open de container met de Health policies; De twee policies die genoemd worden beschrijven onder welke voorwaarde(n) een client kan worden bestempeld als Healthy ( compliant) of niet healthy ( non compliant) Open de properties van de Non compliant health policy. Ga na dat de client als non compliant wordt gezien als hij aan een of meer SHV checks niet voldoet. J., van NImwegen Pagina 12 van 21

De System Health Validator voert dus een aantal checks uit. Maar welke? Dat kun je zien in de SHV zelf. In de properties van de SHV kun je deze instellingen wijzigen. Klik op de knop Configure. Kies het tabblad voor de Vista clients. Wij gebruiken immers geen XP. Op dit tabblad kun je instellen welke functies de client eventueel moet inschakelen of bijwerken alvorens hij als healthy aangemerkt zal worden. J., van NImwegen Pagina 13 van 21

Firewall You can force a firewall to be enabled on the Vista client in order to be compliant with health policy Virus Protection You can force that virus protection be enabled in order to be complaint. In addition, you can require that the virus protection be up to date in order to be compliant. Spyware Protection You can force that an antispyware application be enabled to be compliant. In addition, you can force that the antispyware application be up to date in order to be compliant. Automatic Updating When automatic updating is enabled, the NAP agent on the client will try to fix the problem. For example, if the user disables the Windows Firewall, the NAP agent on the client machine will try to turn the firewall back on Security Update Protection When this option is enabled, you can choose to restrict clients from accessing the network based on their current state of security updates. You can use the drop down list seen in the figure below to set what type of security updates are required. You also have the option to set the minimum number of hours allowed since the client has checked for new security updates and whether you want to allow the clients to use Windows Server Update Servers or Windows Update (Microsoft Update is allowed by default). Stel in dat alleen gekeken hoeft te worden of de client een firewall heeft ingeschakeld. DHCP en NAP. Rest ons nu tot slot om DHCP te configureren voor Nap en de client te testen. Open nu op Member_Nap de DHCP console. De DHCP server en de Network Policy Server zullen met elkaar communiceren om samen na te gaan of een client volledige, gedeeltelijke of geen netwerktoegang krijgt. Kies de optie om de scope options te configureren. Stel de juiste vendor class en user class in. Geef het ip adres van de DNS server mee. J., van NImwegen Pagina 14 van 21

Deze opties zullen straks worden gebruikt voor de clients die als non compliant beschouwd worden. Stel een nieuwe DNS domain name in; Deze DNS domain name wordt straks gebruikt om unhealthy clients te verwijzen naar een ander deel van het netwerk. Het deel waarin zich de remediations servers bevinden. Ga na dat de scope options nu onderscheid maken in de zogenaamde None class en de Default Network Access Protection Class. De Default NAP instellingen worden straks gebruikt voor de Non compliant computers. Enable nu NAP voor de scope. Rechtsklik op de scope node, kies properties en enable NAP. J., van NImwegen Pagina 15 van 21

NAP Enforcement via een GPO. Om er nu voor te zorgen dat elke Dhcp client met de Nap settings wordt geconfronteerd, gaan we deze settings uitrollen m.b.v. een grouppolicy. Dit omvat; 1. Enable de NAP agent op de client 2. Configureer de Nap enforcement Agent ( hier DHCP NAP enforcement Agent) 3. Configureer de GPO zodanig dat hij alleen geldt voor de clients die in de security groep zitten waarvoor NAP moet gelden. Maak nu eerst in DC_Nap een nieuwe GPO, NAPpolicy, aan. Edit deze als volgt; Comp config/ windows settings/ sec settings/system services/ netw access protection agent; define this policy setting. Stel in op Automatic. Hiermee wordt door de GPO op de clients de Nap agent ingeschakeld. Nu moeten we nog de DHCP enforcement Client op de client laten enabelen. J., van NImwegen Pagina 16 van 21

Rechtsklik daarna expliciet op de NAP Client configuration node en kies APPLY. Tot slot moeten we ervoor zorgen dat de GPO wordt toegepast op de computers uit onze GG_NAP enforced computers. Verwijder in de security filter de authenticated users; het is immers een computerpolicy. Voeg de GG_Nap enforced computers toe; Link de policy nu aan het domein. J., van NImwegen Pagina 17 van 21

De NPS server en de NAP in werking. Start Win7 op. Log met Win7 in op het domein. Schakel de firewall uit. Draai nu Ipconfig /release en renew meteen weer. (Start Win7 evt opnieuw op.) Vraag met IPconfig /all de ipconfiguratie van Win7 weer op. Let op; de firewall wordt razendsnel weer ingeschakeld, dus wellicht heb je geen tijd om dit te zien gebeuren. J., van NImwegen Pagina 18 van 21

In dat geval kun je op Member_Nap in de configuratie van de SHV instellen dat ook gecheckt dient te worden of er op de client wel een antivirus programma draait. Als Win7 nu zijn ip configuratie vernieuwt kun je zien dat de connection specific DNS Suffix nu vemeldt; Non compliant pc s. Dit is de DNS verwijzing voor de non compliant clients. De NPS server en de Dhcp server hebben dus al ontdekt dat Win7 niet compliant is. Ook is er geen gateway adres ingevuld. Vraag een Routeprint op; constateer dat de dhcpserver en de DC wel bereikbaar zijn, maar verder niets. De default gateway 0.0.0.0 is verdwenen. M.a.w. de client zit gevangen in alleen de communicatie met de DC en de Dhcp server. J., van NImwegen Pagina 19 van 21

Ping DC_Nap en Member_Nap om de communicatie te testen. Ga na dat DC_Nap bereikbaar is. ( Run \\DC_Nap ) Op Member_Nap; Zorg dat de SHV niet kijkt naar een geïnstalleerde AV. Op Win7; Release en renew het ip adres. Log weer in op het domein. Constateer dat de connection specific DNS suffix nu ineens het domein Nap.com vermeldt. Ook de route print vermeldt ineens de default gateway van 0.0.0.0. J., van NImwegen Pagina 20 van 21

Vraag via de CMD met het commando Netsh nap client op welke Enforcement clients op Win7 actief zijn. (Netsh nap client show state) Constateer dat de DHCP Enforcement client inderdaad Initialized is. Herhaal dit eens als de client Non Compliant is. Dan zie onderin het netsh scherm ook meteen waarom de toegang werd geweigerd...(remediation results..) Hiermee zijn we aan het eind gekomen van deze opdracht. Andere scenarios zullen wij niet bekijken; deze gaan te ver. Het ging ons er hier alleen maar om dat je gezien hebt wat NAP inhoudt en hoe je ermee kunt werken. J., van NImwegen Pagina 21 van 21

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback