国贸本一班111105020130马壮第7次作业.docVIP

限制非法访问客户端的方法与措施 班级 11国贸统本 1 班 姓名 孟繁东 学号 111105020153 实训题目 限制非法访问客户端的方法与措施 实训时间 .2013.*11.05 具体内容：限制非法访问客户端的方法与措施 备注 实训步骤 1、NAP服务器端配置 　　(1).配置健康策略服务器 　　以管理员administrator身份登录Ctocio，依次点击“开始”→“管理工具”，打开“网络策略服务器”窗口。依次展开“NPS(本地)”→“网络访问保护”→“系统健康验证器”，在内容面板双击“Windows安全健康验证程序”，在“Windows安全健康验证程序 属性”对话框，点击“配置”只勾选“防火墙”下的“已为所有网络连接启用防火墙”，取消所有其它选择(注意不需要取消对”Windows Update“的选择)，点击“确定“关闭“Windows安全健康验证程序 属性”对话框。(图1) ??????? 图1 Windows安全健康验证程序 　　需要注意的是，“Windows安全健康验证程序“这一SHV是由微软提供的，主要用于监控客户端计算机安全中心的状态。当然如果你还想监控第三方厂家产品的安全配置，还需要安装由其他厂家开发的SHV的。 　　(2).配置更新服务器组 　　在“网络策略服务器”窗口的右窗格的“网络访问保护”下，右击“更新服务器组”，点击“新建”弹出对话框，在“组名“中输入“Windows设置更新服务器组1”，然后点击“添加”，在“IP地址或DNS名称”下输入，然后点击”确定“ ?? ??????? 图2 新建WSUS服务器 ??? (3).配置健康策略 　　在“网络策略服务器”窗口中点击“策略”项选择“健康策略”，右击选择“新建”，在“新建健康策略属性”对话框中，“策略名称”输入“健康”，在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”，点击“确定”。接下来，继续点击“策略”，选择“健康策略”，右击选择“新建”在“新建健康策略属性”对话框中，“策略名称”输入“不健康”，在“客户端SHV检查”选择“客户端未能通过一个或多个SHV检查”，在“此健康策略中使用的SHV”选择“Windows安全健康验证程序”，点击“确定”即可。(图3) ?? ??????? 图3 Windows安全健康验证程序 　　(4).配置网络策略 　　在“网络策略服务器”窗口中点击“策略”，选择“网络策略”，禁用三条默认的策略(选中策略名称，右击选择“禁用”)。右击“网络策略”，选择“新建”，在 “新建网络策略向导”的“指定网络策略名称和连接类型”页面，在“策略名称”中输入“健康网络策略完全访问”，在“网络访问服务器类型”选择“DHCP Server”。点击“下一步”，在“指定条件”页面，点击“添加”。在“选择条件”对话框，选择“健康策略”。在“健康策略”对话框选择“健康”，然后点击“确定”，再点击“下一步”。在“指定访问权限”页面，选择“已授予访问权限”，点击“下一步”。在“配置身份验证方法”页面，勾选“仅执行计算机健康检查”，取消所有其它选择，点击“下一步”。在“连接请求策略”对话框，点击“否”。 　　在“配置约束”页面，点击“下一步”。在“配置设置”页面，“网络访问保护”“NAP强制”，选择“允许完全网络访问”，点击“下一步”。最后点击“完成”关闭“新建网络向导”。(图4) ??? ??????? 图4 健康策略 　　通过上面的设置，我们已经创建应用于健康客户端的网络策略，下面将创建用于不健康客户端的网络策略。在“网络策略服务器”窗口中点击“策略”，选择“网络策略”，右击选择“新建”。在 “新建网络策略向导”，“指定网络策略名称和连接类型”页面，在“策略名称”中输入“不健康网络策略-受限访问”，在“网络访问服务器类型”选择“DHCP Server”，点击“下一步”。在“指定条件”页面，点击“添加”。在“选择条件”对话框，选择“健康策略”。在“健康策略”对话框选择“不健康”，然后点击“确定”，再点击“下一步”。 ??? 在“指定访问权限”页面，选择“已授予访问权限”，点击“下一步”。(说明一下，如果希望直接拒绝客户端从公司的DHCP服务器获得TCP/IP配置，可以选择“拒绝访问”，因为本例中将设置受限访问，所以依然选择了“已授予访问权限”。)(图5) ??? ??????? 图5 新建网络策略 　　我们继续配置，在“配置身份验证方法”页面，取消所有选择，勾选“仅执行计算机健康检查”，取消所有其它选择，点击“下一步”。在“连接请求策略”对话框，点击“否”。在“配置约束”页面，点击“下一步”。在“配置设置”页面，“网络访问保护”，“NAP强制”，选择“允许受限访问