IT-professional Community Blog

Recente posts

network access protection part 4 ipsec
howto centos 6 2 virtual machine onder hyper v
network access protection part 3 802 1x enforcement
office 365 beheren met powershell
network access protection part 2 dhcp enforcement

Archieven

April 2012 (2)
March 2012 (1)
February 2012 (1)
January 2012 (2)
December 2011 (3)
November 2011 (2)
October 2011 (1)
September 2011 (4)
August 2011 (4)
July 2011 (1)
June 2011 (4)
May 2011 (5)
April 2011 (7)
March 2011 (10)
February 2011 (6)
January 2011 (8)
December 2010 (8)
November 2010 (9)
October 2010 (12)
September 2010 (7)
August 2010 (3)
July 2010 (4)
June 2010 (7)
May 2010 (1)
April 2010 (8)
March 2010 (7)
February 2010 (5)
January 2010 (3)
December 2009 (6)
November 2009 (11)
October 2009 (11)
September 2009 (4)
July 2009 (10)
June 2009 (6)
May 2009 (10)
April 2009 (9)
March 2009 (11)
February 2009 (5)
January 2009 (10)
December 2008 (3)
November 2008 (24)
October 2008 (7)
August 2008 (1)
July 2008 (2)
May 2008 (6)
April 2008 (7)

Links

Blogs.microsoft.nl homepage
Microsoft Nederland
Persberichten
Trainingen en evenementen
Profielencentrum
Download Center
Ondersteuningsportal
Windows Live Writer

Network Access Protection (Part 2) DHCP enforcement

	Jan 30 2012, 01:51 PM
	DHCP enforcement is de meest eenvoudigste, maar ook de minst veilige NAP optie. DHCP enforcement werkt heel eenvoudig. Op het moment dat de client boot zal de DHCP vragen om zijn health status. Op basis van de health status besluit de DHCP of hij het netwerk op mag of niet. Nu is de DHCP heel makkelijk voor de gek te houden. Alles wat je hoeft te doen is een vast nummer aan een werkstation te geven en je bent op het netwerk en wordt je health status niet door de DHCP gecontroleerd. In deze blog wil ik een step by step geven voor DHCP enforcement. Hierbij ga ik uit van de volgende setup: 1x een DC met DHCP, DC01 1x een NPS server, RRAS01 1x een Windows 7 werkplek met antivirus Stap 1) Voeg de NPS rol toe, dit doen we op de NPS server RRAS01 Start Server Manager Selecteer Roles Action/Add Roles Next Selecteer Network Policy and Access Services, Next Selecteer Network Policy Server, next, install De NPS rol wordt nu geïnstalleerd. Stap 2) Configureerd NPS Start Server Manager (als deze gesloten heb) Ga naar Roles\Network Policy and Access Services\NPS (Local) In het midden console, Configure NAP Kies als Network Connection method voor DHCP, next In deze lab maken we gebruik van een DHCP server die aanwezig is op een andere server. Die server gaan we nu opgeven. Add Je krijgt nu het scherm “New RADIUS client” voor je. Vul deze in Friendly name: Vul hier een waarde in waarmee je de radius client identificeert binnen NPS. Dit mag van alles zijn Address (IP or DNS): Vul hier de naam of IP van de RADIUS client in. In onze lab is dat de DHCP server DC01 Als laatste kies je een Shared Secret. Deze wordt gebruikt door de RADIUS client (DC01) om te kunnen authentiseren tegen de RADIUS server (RRAS01) OK, Next Je kunt nu aangeven voor welke scope deze settings gelden. Doe je niks dan geldt het voor alle scopes. In deze lab doen we niks en gaan we verder Next Je kunt nu aangegeven of het voor een speciale groep computers geldt of dat het voor alle (standaard) computers geldt. Ook hier gaan we voor alles. Next Nu gaan we de server opgeven waar de client naar toe mag. Dit kan bijvoorbeeld de servers zijn waar een client updates kan ophalen voor Windows of zijn antivirus oplossing. Deze servers zijn dan dus bereikbaar als de werkplek in quarantaine is geplaatst. Deze servers heten dan de Remediation (herstel) server group. In de lab staat op DC01 ook WSUS. Uit security overweging kun je je natuurlijk afvragen of je wilt dat een werkplek die niet “healthy” is naar een DC gaat. Mijn voorkeur gaat dan uit naar een speciale server hiervoor. OK, Next Kies hiervoor de standaard settings. Next Finish Stap 3) Instellen DHCP voor NAP, dit doen we op de DC01 Voordat we beginnen zullen we eerst hier de NPS role moeten toevoegen. Start Server Manager Selecteer Roles Action/Add Roles Next Selecteer Network Policy and Access Services, Next Selecteer Network Policy Server, next, install Nu de NPS role aanwezig is, kunnen we invoeren welke server de NPS server is. De DHCP stuurt de SHV antwoorden dan door naar de NSP server. Deze geeft dan als antwoord wat de status van de client is en welke settings er doorgevoerd kunnen worden. Start Server Manager Network Policy and Access Services\NPS (local)\RADIUS Client and Servers\Remote Radius Server Group Action, new Je hebt nu de Add Radius Server scherm voor je. Op de eerste tabblad vul je de naam in van de server Druk op Add Op de tweede tabblad de share secret Druk 2x op next Ga naar Policies\Connection Request Policies en select de default policy Rechtermuis knop, properties Ga naar settings Authentication De DHCP server weet nu de NPS server te vinden en kan zich authentiseren tegen de NPS server aan. Nu moeten we DHCP server nog vertellen welke info hij moet doorgeven aan de client als deze niet “healthy” is. Ga naar HDCP server\DC01\IPv4 Rechtermuisknop, properties Enable on all scopes, Yes OK Scope [x.x.x.x] naam\Scope options Rechtermuisknop, options Ga naar de advanced tabblad User class: Default network Access Protection Class Alle opties die je nu toevoegt worden alleen uitgedeeld als de client niet “healthy” is. Voeg de volgende opties minimaal toe: 006: IP adres van de DNS server 015: QNET.FQDN.LOCAL Apply Als laatste moet je een policy definiëren voor de werkplekken. Nadat deze policy actief is op de werkplek zal NAP correct werken. Martijn Bellaard