配置NAP健康策略服务器

在本例中，存在一台名为Server1的DHCP服务器，一台名为Server2的NAP健康策略服务器，处于域环境中。域控制器名为DC1，安装有Active Directory数据库和DNS服务器组件，域名为“xxx.com”。在Server2上使用域管理员身份登录，安装“网络策略和访问服务”角色。项，点击“下一步”，选择“网络策略服务器”项，点击“安装”，安装所需的角色。

在管理工具菜单中点击“策略访问服务器”，在打开窗口左侧选择“NPS（本地）”项，在右侧点击“配置NAP”链接，在向导界面中的“网络连接方法”列表中选择“动态主机配置协议（DHCP）”，在“策略名称”栏中可以更改名称，点击“下一步”，在“Radius客户端”栏中点击“添加”按钮，在弹出窗口中的输入Radius客户端的名称，在“地址”栏中输入IP地址，即DHCP服务器的IP。

为了简单起见，DHCP服务器作为Radius客户端使用。选择“手动”项输入共享密码，该密码必须和DHCP服务器端相同。点击“确定”，在下一步窗口中选择DHCP作用域，直接点击“下一步“按钮，表示使用该DHCP服务器中的所有作用域，之后完成NAP增强策略和Radius客户端配置。

在网络策略服务器窗口左侧选择“NPS（本 地）→Radius客户端和服务器→Radius客户端”，在右侧双击DHCP服务器项目，在属性窗口“高级”面板中的“供应商名称”列表中选择“Microsoft”，选择“Radius客户端支持”项，点击”确定”保存设置。在网络策略服务器窗口左侧点击“NPS（本地）→网络访问服务→系统健康验证程序→Windows安全健康验证程序→设置”项，在右侧窗口双击ID为0的默认项目，在弹出窗口左侧选 择“Windows 7/Windows Vista”项，在右侧窗口中选择对应的安全策略，包括防火墙、防病毒、间谍软件保护、自动更新等。

为了简单起见，只选择“已为所有网络连接启用防火墙”项，不选择其余的项目。在左侧点击“NPS（本地）→策略→连接请求策略”项，在右侧双击“NAP DHCP”项，在属性窗口“设置”面板左侧选择“身份验证”项，如果选择的是“在此服务器上对请求进行身份验证”，说明该DHCP服务器同时扮演了Radius服务器的角色。在窗口左侧点击“NPS（本地）→策略→健康策略”项，在右侧显示执行上述NAP配置向导而创建的两个健康策略（如图1）。

配置DHCP服务属性

使用域管理员账户登录DHCP服务器，安装 “网络策略和访问服务”角色中“网络策略服务器”项。假设在该DHCP服务器的父域为“xxx.com”，首选的 DNS 服务器为192.168.0.10，即DC域控制器的IP。为了简单起见，不启用WINS功能。在DHCP服务器中添加一个名为“anquan”的作用域，IP范围为192.168.1.20到192.168.0.100，子网掩码为255.255.255.0，并且对此服务器禁用DHCP v6无状态模式。

选择当前凭据项目，使用的用户名为域管理员账户。在管理工具菜单中点击“DHCP”项，在管理窗口左侧选择“DHCP→服务器名→IPv4→作用域”项，在右键菜单上点击“属性”，在属性窗口中的“网络保护访问”面板中选择“对此作用域启用”项，选择“使用默认网络访问保护配置文件”项，点击“确定”返回主窗口。

图1 网络策略服务管理窗口

图2 DHCP配置选项窗口

图3 添加Radius服务器窗口

在DHCP管理窗口左侧选择“DHCP→服务器名→IPv4→作用域→作用域选项”项，在右键菜单上点击“配置选项”项，在弹出窗口（如图2）的“高级”面板中选择“006 DNS服务器”，在“IP地址”栏输入DNS服务器地址，本例为192.168.0.10，点击“添加”按钮，完成DNS的设置操作。选择“015 DNS 域名”项，在“字符串值”栏中输入域名，例如“yyy.xxx.com”。

为DHCP配置网络策略服务

在网络策略服务器窗口左侧选择“NPS（本地）→Radius客户端和服务器→远程Radius服务器组”项，点击菜单“操作→新建项”，在弹出窗口中的组名，点击“添加”，在打开窗口“地址”面板中的“服务器”栏中输入NAP服务器的IP，本例为192.168.0.5。在“身份验证/记账”面板（如图3）“共享机密”栏中输入密码（该密码必须和NAP服务器中设置的完全相同），点击“确定”返回主界面。在网络策略服务器窗口左侧选择“NPS（本地）→策略→连接请求策略”项，在右侧显示所有可用的策略项目。

双击系统提供的“Use Windos authentication for all users”策略项，在属性窗口中的“设置”面板左侧选择“身份验证”项，在右侧选择“将请求转发到以下远程Radius服务器组进行身份验证”项，并在列表中选择上面创建的组名。这样，该DHC服务器就可以将客户端健康信息转发给NAP服务器。

在域控制器上配置NAP更新服务

以管理员身份登录域控制器，打开Active Directory用户和计算机窗口，在窗口左侧选择“Active Directory 用户和计算机→域名→Users”项，在右键菜单上点击“新建→组”，在弹出窗口中输入组名，例如“anquanzu”，其余配置保持默认，点击“确定”，完成该组的创建。打开组策略管理窗口，在左侧选择“组策略管理→林→域名”项，在右键菜单上点击“在这个域中创建GPO并在此处链接”项，在弹出窗口中输入该GOP的名称（例如“NAPGPO”），点击“确定”，在窗口左侧选择该GPO项，在右键菜单中点击“编辑”，打开组策略编辑器窗口。

图4 开启NAP代理服务

在左侧选择“计算机配置→策略→Windows设置→安全设置→系统服务”项，在右侧窗口显示所有的系统服务项目，双击“Network Access Protection Agent”项，在弹出窗口（如图4）中选择“定义此策略设置”，选择“自动”，激活NAP代理服务功能。在组策略编辑器左侧选择“计算机配置→策略→Windows设置→安全设置→网络访问保护→NAP客户端配置→强制客户端”项，在右侧窗口中双击“DHCP隔离强制客户端”项，在弹出窗口中选择“启用此强制客户端”项，点击“确定”保存设置信息。在组策略编辑器左侧选择“计算机配置→策略→管理模板→Windows组件→安全中心”项，在右侧双击“启用安全中心项”，在弹出窗口中选择“已启用”项。

在组策略管理器窗口左侧选择上述GPO项目，在右侧的“安全筛选”栏中选择“Authenticated Users”，点击“删除”，在弹出窗口中显示“您想删除此委派特权吗”信息，点击“确定”将其删除。点击“添加”，在弹出窗口中点击“高级→立即查找”，在搜索列表中选择上述创建的组（例如“anquanzu”），将其添加进来。经过以上设置，只要将客户端加入活动目录，并将对应的账户添加到上述组中，就可以自动应用上述GPO的组策略配置信息。

在域控制器上打开Active Directory用户和计算机窗口，在窗口左侧选择“Active Directory 用户和计算机→域名→Users”项，在右侧双击“anquanzu”组，在属性窗口中的“成员”面板中点击“添加”按钮，在弹出窗口中点击“对象类型”按钮，选择组，计算机，用户，其他对象等项目，点击“高级→立即查找”按钮，将目标客户机添加进来。

在客户机上应用NAP安全策略

因为在NAP服务器上已经启用了“启用对客户端计算机的自动修复”功能，所以当客户端用户手工关闭了防火墙等安全组件后，Network Access protection Agent服务会自动重新激活，使客户端主机处于健康运行状态。以域管理员身份登录NAP服务器，打开网络策略服务器窗口，在左侧选择“NPS（本 地）→网络访问保护→系统健康验证程序→Windows安全健康验证程序→设置”项，在右侧双击“ID”为0的项目，可以根据需要增加所需的安全项目。例如，选择“防病毒程序已启用”，“防病毒程序为最新”，“已启用自动更新”等。之后，当客户机申请DHCP地址租用时，如果没有安装或开启防病毒软件等项目，系统就会自动显示网络访问保护警告信息，提醒用户该机处于非健康状态。