SCCM2012之NAP网络保护

(安西)

　　一、微软的网络访问保护（NAP）是随着Windows Server 2008面世的限制网络访问保护服务。采用NAP的强制系统符合健康要求，可以使得不符合健康要求的计算机拒绝接入网络，并将不符合的计算机强制修正其状态。
　　NAP的的三个显著特性
　　? 健康状态验证
　　当客户端计算机尝试连接网络时，NAP会根据制定的健康要求策略进行检查客户端健康情况，如果不符合健康要求，后续会对计算机进行配置和操作。
　　? 健康策略符合性
　　管理员可以设置符合性策略，配合SCCM 2012，NAP检查客户端计算机是否包含了特定的软件更新或者是单独的软件产品，如果不符合，将自动对其进行修复。
　　? 受限访问
　　限制不符合健康性要求的客户端计算机，让其自动的去访问修复服务器，然后修正不符合项，使其能正常接入网络。
　　典型的使用场景
　　? 验证移动的便携式计算机健康状况
　　? 验证台式机的健康状况
　　? 验证来宾的便携式计算机健康状况
　　? 验证不受管理的计算机健康状况
　　二、SCCM+NAP实验
　　环境介绍
　　本次实验基于虚拟环境，采用SCCM+NAP DHCP强制方式，使用DC、SCCM、Client三台服务器与客户端，。各服务器安装角色如下：
　　DC：DC、DNS
　　SCCM：SCCM2012、DHCP、NPS
　　Client：Windows 7.
　　部署步骤
　　1. 在SCCM服务器上安装DHCP与NAP服务。
图1
　　2. 选择NAP角色组件，如图2
图2
　　3. 添加DHCP作用域，这步也可以安装完之后再做。
图3
　　4. 安装完毕后，打开DHCP服务器，打开配置作用域，在作用域配置中，高级选项，默认用户类下，勾选006 DNS 服务器与015 DNS 域名。如下图设置：

图4 DNS 服务器设置

图5 DNS 域名设置
　　5. 设置完毕后将用户类改为“默认的网络保护级别”，勾选006 DNS 服务器与015 DNS 域名。其中006设置与上面相同，015 DNS 域名填写为 restricted.contoso.msft。

图6
　　6. 配置完成后退出，点击作用域、属性，启用网络访问保护
图7
　　7. 接下来进行NAP方面的配置，我们要对SCCM进行相关的扩展，安装ConfigMgr System Health Validator ,打开C:\Program Files\Microsoft Configuration Manager\bin\X64目录，运行smsshv进行安装
图8
　　8. 打开Configuration Manger Console，在站点配置中添加System Health Vlidator point管理点，安装这个点的目的是将NAP与SCCM2012进行集成。
图9
　　9. 继续进行客户端设置，将Network Access Protection（NAP）设置为True。
图10
　　10. 下面进行NAP的配置，打开服务管理器，打开网络策略和访问服务，在NPS中进行配置NAP.
图11
　　11. 选择动态主机配置协议（DHCP），策略名称为NAP DHCP。
图12
　　12. 由于我们是在本地安装了DHCP，所以在RADIUS配置选择为空。
图13
　　13. DHCP作用域，为空，下一步。
图14
　　14. 配置更新服务器组，选择新建租，将DC服务器与SCCM服务器都添加进去，这是用于不符合健康性规则的客户端访问，并进行修复的服务器。然后下一步、默认设置，完成安装。
图15
　　15. 完成安装后依次打开网络访问保护-系统健康验证程序-windows安全健康验证程序-设置，打开默认配置。
图16
　　16. 设置windows健康检查策略，这里为了方便测试，我们只开启启用防火墙和自动更新。
图17
　　17. 下面进行DC方面的配置，在AD用户与计算机中设置一个名为NAP Client Computer的安全组，将需要管理的客户端添加进去。

图18
　　18. 在DC上运行GPMC.MSC打开组策略管理器，在当前域中创建一个名为NAP Client settings的组策略。
图19
　　19. 右击新建的GPO对象，选择编辑，打开组策略编辑器。
图20
　　20. 打开计算机配置-策略-windows设置-安全设置-系统服务，找到Network Access Protection Agent 属性，配置启动模式为自动。
图21
　　21. 继续在网络访问保护中，把DHCP 隔离强制客户端配置为启用。
图22
　　22. 接下来在管理模版中，把WINDOWS组件-安全中心中的启用安全中心（仅限域PC）启用。
图23
　　23. 接下来配置NAP client settingsGPO的安全筛选，找到组策略对象下的NAP client settings GPO,在右侧的窗口中，在安全筛选下，删除Authenticated Users，改为NAP client Computer。退出，更新域策略。
图24
　　24. 登录客户端，我们会发现关闭了防火墙和自动更新的客户端网络

　　25. 稍后自动完成更新，自动解除限制。
图26