Microsoft的Network Access Protection能否限制錯(cuò)誤的用戶?這完全取決于配置。
員工走進(jìn)辦公室使用公司發(fā)布的桌面計(jì)算機(jī)艱難地登陸到單片LAN,這樣的日子已經(jīng)一去不復(fù)返了。現(xiàn)如今,各種各樣的網(wǎng)絡(luò)用戶,包括:?jiǎn)T工、客戶和廠商伙伴,無(wú)論他們?cè)谀睦锒紩?huì)通過(guò)五花八門的桌面、筆記本電腦、平板電腦和智能設(shè)備訪問(wèn)數(shù)據(jù)中心。
但這樣可能對(duì)管理員產(chǎn)生嚴(yán)重的威脅。在沒(méi)有適當(dāng)?shù)牟僮飨到y(tǒng)補(bǔ)丁程序、反惡意軟件工具或遠(yuǎn)程系統(tǒng)的關(guān)鍵安全設(shè)置,企業(yè)網(wǎng)絡(luò)的安全將岌岌可危。
網(wǎng)絡(luò)訪問(wèn)保護(hù)(NAP)在Windows Server 2008 R2和更高版本的Windows 7中為管理員提供了安全工具,彌補(bǔ)安全漏洞,保證遠(yuǎn)程系統(tǒng)的完整性。登陸遠(yuǎn)程系統(tǒng)過(guò)程中,要對(duì)系統(tǒng)的健康進(jìn)行檢查核對(duì),如果系統(tǒng)滿足健康要求,那么您可以正常訪問(wèn)網(wǎng)絡(luò)。系統(tǒng)也可以限制或完全禁止用戶訪問(wèn)。
雖然NAP已經(jīng)成為數(shù)據(jù)中心安全的熱門技術(shù),但有一些常見(jiàn)問(wèn)題會(huì)影響系統(tǒng)健康導(dǎo)致客戶端計(jì)算機(jī)不能正常登陸。下面我們一起看看NAP幾個(gè)常見(jiàn)的問(wèn)題。
用戶被拒絕通過(guò)認(rèn)證
這是因?yàn)橄蚍?wù)器發(fā)出鏈接請(qǐng)求策略時(shí),客戶端系統(tǒng)使用802.1x或虛擬專用網(wǎng)(VPN)強(qiáng)制。必須配置連接請(qǐng)求策略,以覆蓋網(wǎng)絡(luò)策略的身份驗(yàn)證設(shè)置。如果網(wǎng)絡(luò)策略的身份驗(yàn)證設(shè)置不被覆蓋,那么企業(yè)的網(wǎng)絡(luò)策略服務(wù)器 (NPS) 將拒絕使用 802.1 X 和 VPN連接。解決此問(wèn)題最好的方法是:訪問(wèn) NPS 和配置 802.1 X 和 VPN 連接請(qǐng)求,以覆蓋網(wǎng)絡(luò)策略的身份驗(yàn)證。
認(rèn)證機(jī)構(gòu)類型的錯(cuò)誤
這個(gè)問(wèn)題通常由于服務(wù)器端與認(rèn)證機(jī)構(gòu)(CA)不匹配導(dǎo)致的,只有企業(yè)在默認(rèn)CA 安裝健康注冊(cè)機(jī)構(gòu)的情況下,安裝了NAP與Active Directory Certificate Services。兩種CA類型不兼容。解決這個(gè)問(wèn)題最簡(jiǎn)單的方法是:重新安裝健康注冊(cè)機(jī)構(gòu)并選擇正確的認(rèn)證或匿名企業(yè)CA。
客戶端發(fā)生non-NAP類型的錯(cuò)誤
客戶端計(jì)算機(jī)應(yīng)支持網(wǎng)絡(luò)訪問(wèn)保護(hù),但在服務(wù)器端上表示客戶端是non-NAP,并且拒絕客戶端訪問(wèn)網(wǎng)絡(luò)的權(quán)限。相反,客戶端被迫遵守non-NAP政策。這個(gè)問(wèn)題是由于客戶端混亂造成的,通常是由于NAP 代理服務(wù)、 NAP 強(qiáng)制客戶端或客戶端健康檢查未啟用造成的。
首先,檢查NAP代理。管理員需要檢查正在運(yùn)行的客戶端計(jì)算機(jī)并驗(yàn)證NAP代理。如果問(wèn)題沒(méi)有解決,那么管理員需要啟動(dòng)NAP代理。這可以通過(guò)命令或在客戶端上使用組策略來(lái)完成。
第二,在檢查從NAP Agent輸出的命令時(shí),同樣也要檢查NAP強(qiáng)制客戶端初始化。如果問(wèn)題沒(méi)有解決,那么管理員一定要啟用客戶端計(jì)算機(jī)強(qiáng)制本地設(shè)置或使用組策略強(qiáng)制客戶端。
第三,當(dāng)使用NAP強(qiáng)制 802.1x或VPN時(shí),一定要檢查Protected EAP(PEAP)網(wǎng)絡(luò)連接的屬性,并確保客戶端健康檢查選項(xiàng)處于啟用狀態(tài)。
網(wǎng)絡(luò)策略服務(wù)器忽略客戶端訪問(wèn)請(qǐng)求
當(dāng)處理遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)(RADIUS) 客戶時(shí),會(huì)導(dǎo)致NPS配置發(fā)生錯(cuò)誤問(wèn)題。正常情況下,客戶端NAP訪問(wèn)鏈接請(qǐng)求是創(chuàng)建在一個(gè)NPS上。當(dāng)RADIUS客戶端不執(zhí)行本地授權(quán)或身份驗(yàn)證訪問(wèn)請(qǐng)求時(shí),那些客戶端必須將連接請(qǐng)求轉(zhuǎn)發(fā)到具體配置上。如果RADIUS 客戶端不轉(zhuǎn)發(fā)連接請(qǐng)求,或?qū)⒄?qǐng)求轉(zhuǎn)發(fā)給RADIUS 服務(wù)器時(shí)出現(xiàn)了錯(cuò)誤,NPS將顯示沒(méi)有連接請(qǐng)求。實(shí)際上,連接請(qǐng)求被忽略了。
解決此問(wèn)題的最佳途徑是:訪問(wèn)NPS 找到 NAP 客戶端計(jì)算機(jī)的連接請(qǐng)求策略,確保請(qǐng)求轉(zhuǎn)發(fā)到正確的RADIUS服務(wù)器上進(jìn)行身份驗(yàn)證。
無(wú)法發(fā)行新系統(tǒng)健康驗(yàn)證模板
當(dāng)您嘗試通過(guò)證書服務(wù)控制臺(tái)發(fā)出新的服務(wù)器端健康證書模板時(shí),您發(fā)現(xiàn)系統(tǒng)健康身份驗(yàn)證模板不可用。通常情況下,這是由于操作系統(tǒng)版本不匹配造成的。為了能夠發(fā)出新的模板,NAP CA 必須使用企業(yè)版的 Windows 服務(wù)器,如有要使用標(biāo)準(zhǔn)版,它將無(wú)法發(fā)出新的證書模板。如果有必要,將OS操作系統(tǒng)升級(jí)到OS企業(yè)級(jí)版本,來(lái)糾正這一問(wèn)題。
雖然,NAP常常是簡(jiǎn)單的安裝和管理。但常常因?yàn)槭韬龇?wù)器端可能導(dǎo)致客戶端發(fā)生連接問(wèn)題。IT管理員應(yīng)該具備一些基本知識(shí)的了解和簡(jiǎn)單服務(wù)器配置技術(shù),并且在幾分鐘之內(nèi)更正這些基本問(wèn)題。
