VPN聯(lián)機(jī)安全配置

如果您目前已經(jīng)完成Windows Server的VPN服務(wù)器設(shè)置，以及完成了Radius服務(wù)器相關(guān)設(shè)定，那么接下來(lái)只要繼續(xù)完成網(wǎng)絡(luò)策略服務(wù)器（NPS）設(shè)定即可。請(qǐng)開(kāi)啟“網(wǎng)絡(luò)策略服務(wù)器”設(shè)置界面，然后在最上層的節(jié)點(diǎn)項(xiàng)目頁(yè)面中點(diǎn)選“設(shè)定NAP”連接繼續(xù)。

接著將會(huì)開(kāi)啟“選取與NAP搭配使用的網(wǎng)絡(luò)聯(lián)機(jī)方法”，請(qǐng)從下拉選單中選取“虛擬專用網(wǎng)（VPN）”項(xiàng)目，此時(shí)系統(tǒng)將會(huì)自動(dòng)產(chǎn)生一個(gè)預(yù)設(shè)的策略名稱，如果與現(xiàn)有的策略名稱有重復(fù)，則必須修改。點(diǎn)選“下一步”繼續(xù)。

接著在“指定執(zhí)行VPN服務(wù)器的NAP強(qiáng)制服務(wù)器”頁(yè)面中，必須新增加與它聯(lián)機(jī)的Radius客戶端，也就是Windows Server的VPN服務(wù)器，讓我們來(lái)看看其中的設(shè)定內(nèi)容。

在Radius客戶端的設(shè)定頁(yè)面中，首先您可以自定義一個(gè)好記的名稱，接著必須輸入VPN主機(jī)的內(nèi)網(wǎng)卡（如果有采用兩片網(wǎng)絡(luò)卡模式安裝）IP地址，或是可以正常解析的FQDN名稱，至于是否可以正常聯(lián)機(jī)，則必須點(diǎn)選“驗(yàn)證”按鈕來(lái)確認(rèn)。最后，請(qǐng)記著選擇設(shè)定手動(dòng)的共享密碼，而且必須與VPN服務(wù)器上所設(shè)定聯(lián)機(jī)的Radius服務(wù)器的共享密碼一樣。點(diǎn)選“確定”繼續(xù)。

接著將會(huì)來(lái)到“設(shè)定用戶群組與計(jì)算機(jī)群組”的頁(yè)面，在此您可以根據(jù)實(shí)際第一層安全驗(yàn)證需求，來(lái)設(shè)定允許聯(lián)機(jī)的計(jì)算機(jī)群組或是用戶群組。一般來(lái)說(shuō)，我們至少會(huì)設(shè)定一個(gè)VPN的使用者群組。點(diǎn)選“下一步”繼續(xù)。

在“設(shè)定驗(yàn)證方法”的頁(yè)面中，必須點(diǎn)選“選擇”按鈕來(lái)挑選所要用來(lái)進(jìn)行安全驗(yàn)證的NPS服務(wù)器證書。在選擇之前，您在這部服務(wù)器上的計(jì)算機(jī)憑證必須預(yù)先申請(qǐng)與安裝完畢才可以。

接著在同樣此頁(yè)面的“EAP類型”中，預(yù)設(shè)只會(huì)勾選一般常用的“安全性密碼（PEAP-MS-CHAP v2）”驗(yàn)證類型，后續(xù)如果您想要整合智能卡或其他憑證的驗(yàn)證方式，則可以后續(xù)再來(lái)將“智能卡或其他憑證（EAPTLS）”設(shè)定勾選。點(diǎn)選“下一步”繼續(xù)。

在“指定NAP補(bǔ)救服務(wù)器群組及URL”的頁(yè)面中，您可以在最下方的字段中輸入給予隔離客戶端查看的網(wǎng)頁(yè)信息地址，接著您可以對(duì)于被隔離的客戶端計(jì)算機(jī)設(shè)定一個(gè)專門用來(lái)進(jìn)行各種安全矯正的補(bǔ)救服務(wù)器群組，群組中的主機(jī)可以包含內(nèi)部網(wǎng)絡(luò)中的各類修正服務(wù)器(Remediation Server)，例如：防毒服務(wù)器、WSUS更新主機(jī)、域控制器等。請(qǐng)點(diǎn)選“新增群組”按鈕來(lái)加入即可。

在“定 義NAP健 康 原則”頁(yè)面中，請(qǐng)將惟一的“Windows安全性健康狀態(tài)驗(yàn)證程序”項(xiàng)目勾選，并且確認(rèn)在下方的“NAP不合格客戶端計(jì)算機(jī)的網(wǎng)絡(luò)存取限制”區(qū)域中，是選擇了“拒絕NAP不合格客戶端計(jì)算機(jī)擁有完整的網(wǎng)絡(luò)存取權(quán)，僅允許存取限制的網(wǎng)絡(luò)”，點(diǎn)選“下一步”繼續(xù)。

最后，在“正在完成NAP強(qiáng)制原則及Radius客戶端設(shè)定”的頁(yè)面中，可以讓我們確認(rèn)一下有關(guān)Radius客戶端的設(shè)定，以及系統(tǒng)自動(dòng)幫我們完成的健康策略設(shè)定、聯(lián)機(jī)要求策略設(shè)置以及網(wǎng)絡(luò)原則設(shè)置。請(qǐng)點(diǎn)選“完成”按鈕即可。

完成了設(shè)定NAP的向?qū)гO(shè)置之后，接著展開(kāi)至“網(wǎng)絡(luò)存取保護(hù)→系統(tǒng)健康狀態(tài)驗(yàn)證”節(jié)點(diǎn)上，針對(duì)預(yù)設(shè)的“Windows安全性健康狀態(tài)驗(yàn)證程序”連續(xù)點(diǎn)選開(kāi)啟。點(diǎn)選“設(shè)定”按鈕繼續(xù)。

執(zhí)行之后，將會(huì)開(kāi)啟“Windows安全性健康狀態(tài)驗(yàn)證程序”頁(yè)面，在此您可以分別針對(duì)Windows Vista與Windows XP（SP3版本），設(shè)定各自所要檢驗(yàn)的項(xiàng)目，在測(cè)試階段的環(huán)境中，最直接的方式就是只針對(duì)防火墻或是自動(dòng)更新設(shè)定來(lái)檢驗(yàn)就可以了，因?yàn)檫@兩者都是Windows XP SP3與Windows Vista上可以直接檢查的安全項(xiàng)目。在此還必須注意的是，如果NPS服務(wù)器采用的是Windows Server 2012 R2，則所能檢驗(yàn)的NAP客戶端計(jì)算機(jī)，將會(huì)增加對(duì)于Windows 7與Windows 8的設(shè)置頁(yè)面。

關(guān)于Windows安全性健康狀態(tài)驗(yàn)證程序設(shè)置部分，值得注意的是，Windows Vista以上版本與Windows XP所能夠設(shè)置的項(xiàng)目有些許的差異，畢竟Windows XP直接內(nèi)置的安全性功能比較少，例如，Windows Defender在Windows XP中就沒(méi)有，不過(guò)說(shuō)也奇怪，因?yàn)閃indows Defender一樣可以從Microsoft來(lái)下載安裝在Windows XP上，可是在此策略設(shè)定中卻無(wú)法進(jìn)行勾選。

注意：有關(guān)NAP針對(duì)防火墻與防病毒軟件部分，基本上只要是在Windows信息安全中心設(shè)置界面中，所能夠被監(jiān)控到的都可以被使用在NAP網(wǎng)絡(luò)的安全檢查范圍之中。

接下來(lái)請(qǐng)開(kāi)啟NAP設(shè)定向?qū)Чδ芩鶐臀覀兘⒌木W(wǎng)絡(luò)策略項(xiàng)目，請(qǐng)將“不符合標(biāo)準(zhǔn)”的項(xiàng)目開(kāi)啟，然后切換到“設(shè)定”頁(yè)面中，并選取“IP篩選器”，以及點(diǎn)選位于IPv4的“輸入篩選器”按鈕繼續(xù)。

在“輸入篩選器”頁(yè)面中，先選取“只允許以下列出的封包”項(xiàng)目，然后開(kāi)始點(diǎn)選“新增”按鈕來(lái)將所有允許被隔離客戶端聯(lián)機(jī)存取的服務(wù)器IP地址一一加入即可，在此必須記住如果有之前設(shè)定好補(bǔ)救次服器群組，則群組中的所有計(jì)算機(jī)都必須在這個(gè)篩選器清單中。