В данном разделе описывается процесс настройки политик защиты доступа к сети (NAP) на сервере сетевых политик (NPS) и процесс настройки NPS для взаимодействия с Шлюз Microsoft Forefront Threat Management. NPS является реализацией сервера службы удаленной проверки пользователей (RADIUS) и осуществляет проверку подлинности подключения, авторизацию, а также является службой учетных записей для многих типов сетевого доступа, включая беспроводные и VPN-подключения. NPS также выполняет функцию сервера оценки работоспособности для защиты доступа к сети (NAP). Дополнительные сведения см. в разделе «Защита доступа к сети» на веб-узле Microsoft TechNet.

Настройка NAP на NPS включает выполнение следующих задач.

Заметки о развертывании

  • Обратите внимание, что в этом разделе описано развертывание, при котором NPS и Forefront TMG установлены на отдельных компьютерах Windows Server 2008. Преимущество такого развертывания заключается в возможности использования NPS для оценки работоспособности клиентов отличным от VPN способом.

  • Если после установки NPS на компьютере Forefront TMG необходимо оценивать работоспособность клиентов, не являющихся VPN-клиентами, создайте правило доступа с Forefront TMG к NPS с указанием соответствующего порта.

Установка роли сервера сетевых политик

  1. Чтобы установить роль управления NPS, нажмите кнопку Пуск, выберите команду Выполнить, введите CompMgmtLauncher и нажмите клавишу ВВОД. Откроется окно Диспетчер сервера.

  2. В разделе Сводные по ролям нажмите Добавить роли, а затем нажмите кнопку Далее.

  3. Установите флажок Политика сети и службы доступа и дважды нажмите кнопку Далее.

  4. Установите флажок Сервер сетевых политик, нажмите кнопку Далее, а затем нажмите кнопку Установить.

  5. Если установка завершена успешно, нажмите кнопку Закрыть.

  6. Закройте окно Диспетчер сервера.

Настройка клиента RADIUS на NPS

Поскольку NPS и Forefront TMG установлены на отдельных компьютерах и Forefront TMG будет отправлять сообщения RADIUS на NPS для проверки подлинности и авторизации VPN-подключения, компьютер Forefront TMG должен быть настроен как клиент RADIUS на NPS.

Необходимые действия.

  • Чтобы открыть консоль управления NPS, на компьютере с установленным NPS нажмите кнопку Пуск, выберите команду Выполнить, введите nps.msc и нажмите клавишу ВВОД. Оставьте окно открытым для выполнения следующих задач настройки NPS.

  1. Выберите Клиенты и серверы RADIUS

  2. Выберите Клиенты RADIUS, щелкните правой кнопкой мыши и выберите Новый клиент RADIUS

  3. В диалоговом окне Новый клиент RADIUS в поле Понятное имя введите описание Forefront TMG. В поле Адрес (IP или DNS) введите IP-адрес Forefront TMG.

  4. В поле Общий секрет введите общий секрет, созданный в Настройка VPN-подключений удаленного доступа на использование карантина на основе защиты доступа к сети (NAP).

  5. В поле Подтвердите общий секрет снова введите общий секрет.

  6. Установите флажок Клиент RADIUS является NAP-совместимым. См. следующий пример.

  7. Нажмите кнопку OK.

Настройка средств проверки работоспособности системы

Средства проверки работоспособности системы определяют требования конфигурации для компьютеров, подключающихся к сети. В этом разделе требованием средств проверки работоспособности системы Windows будет только наличие включенного брандмауэра Windows.

  1. Дважды щелкните Защита доступа к сети и нажмите Средства проверки работоспособности системы.

  2. В центральной области под строкой Имя дважды щелкните Средства проверки работоспособности системы Windows.

  3. В диалоговом окне Свойства средств проверки работоспособности системы Windows нажмите Настроить.

  4. Снимите все флажки, кроме Брандмауэр включен для всех сетевых подключений. См. следующий пример.

  5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Средства проверки работоспособности системы Windows, затем нажмите кнопку OK, чтобы закрыть диалоговое окно Свойства средств проверки работоспособности системы Windows.

Настройка политик проверки работоспособности

Политики проверки работоспособности определяют, какие средства проверки работоспособности системы используются при проверке конфигурации компьютеров, подключающихся к сети. На основе результатов проверки политики проверки работоспособности определяют состояние работоспособности клиента. Результаты определяют две политики проверки работоспособности в соответствии с состоянием работоспособности.

  1. Дважды щелкните элемент Политики.

  2. Щелкните правой кнопкой мыши узел Политики проверки работоспособности и выберите команду Создать.

  3. В диалоговом окне Создание новой политики проверки работоспособности в поле Имя политики введите «Compliant» (Соответствующий политике).

  4. В поле Проверки политики проверки работоспособности клиента выберите Клиент проходит все проверки работоспособности.

  5. В поле Средства проверки работоспособности, используемые в данной политике установите флажок Средства проверки работоспособности системы Windows, как показано в следующем примере.

  6. Нажмите кнопку OK.

  7. Щелкните правой кнопкой мыши узел Политики проверки работоспособности и выберите команду Создать.

  8. В диалоговом окне Создание новой политики проверки работоспособности в поле Имя политики введите «Noncompliant» (Не соответствующий политике).

  9. В поле Проверки политики проверки работоспособности клиента выберите Клиент не прошел одну или несколько проверок SHV.

  10. В поле Средства проверки работоспособности, используемые в данной политике установите флажок Средства проверки работоспособности системы Windows, как показано в следующем примере.

  11. Нажмите кнопку OK.

Настройка сетевых политик

Сетевые политики содержат условия, настройки и ограничения для подключения к сети. Необходимо создать сетевую политику, применяемую к соответствующим требованиям компьютерам, и сетевую политику, применяемую к не соответствующим требованиям компьютерам. В ходе данной тестовой проверки соответствующие требованиям компьютеры будут иметь неограниченный доступ к сети. Клиенты, не соответствующие требованиям, будут добавлены в сеть VPN-клиентов Forefront TMG, помещенных в карантин. Такие клиенты получат доступ к серверам обновлений с исправлениями, настройками и приложениями, необходимыми для соответствия требованиям. Кроме того, клиентам может быть присвоен статус соответствующих требованиям и впоследствии предоставлен неограниченный доступ к сети.

Важно.
Forefront TMG не поддерживает IP-фильтры NPS; Forefront TMG игнорирует IP-фильтры, настроенные на NPS. Чтобы предоставить клиентам, не соответствующим требованиям, доступ к серверам обновлений, необходимо создать правило доступа на сервере Forefront TMG из сети VPN-клиентов, помещенных в карантин, к соответствующим серверам обновлений.

Настройка сетевой политики для компьютеров клиентов, соответствующих требованиям

Создайте сетевую политику для запросов сетевого доступа компьютеров, соответствующих требованиям.

  1. Дважды щелкните элемент Политики.

  2. Щелкните Сетевые политики.

  3. Отключите две политики по умолчанию в поле Имя политики. Для этого щелкните политики правой кнопкой мыши и нажмите Отключить.

  4. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.

  5. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Полный доступ и нажмите кнопку Далее. См. следующий пример.

  6. В окне Укажите условия нажмите кнопку Добавить.

  7. В диалоговом окне Выбор условий дважды щелкните Политики проверки работоспособности.

  8. В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Соответствующий политике компьютер и нажмите OK. См. следующий пример.

  9. В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в Условиях со значением Соответствующий политике компьютер, и нажмите Далее.

  10. Убедитесь, что в окне Указание прав доступа выбран вариант Доступ разрешен.

  11. Нажмите кнопку Далее три раза.

  12. В окне Настройка параметров нажмите Принудительная защита доступа к сети. Убедитесь, что выбрана функция Разрешить полный доступ к сети, и нажмите кнопку Далее. См. следующий пример.

  13. В окне Завершение создания сетевой политики нажмите кнопку Готово.

Настройка сетевой политики для компьютеров клиентов, не соответствующих требованиям

Создайте сетевую политику для запросов сетевого доступа компьютеров, не соответствующих требованиям.

  1. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.

  2. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите Ограниченный доступи нажмите кнопку Далее. См. следующий пример.

  3. В окне Укажите условия нажмите кнопку Добавить.

  4. В диалоговом окне Выбор условий дважды щелкните Политики проверки работоспособности.

  5. В диалоговом окне Политики проверки работоспособности в разделе Политики проверки работоспособности выберите Не соответствующий политике компьютер и нажмите OK. См. следующий пример.

  6. В окне Укажите условия проверьте, указаны ли Политики проверки работоспособности в Условиях со значением Не соответствующий политике компьютер, и нажмите Далее.

  7. Убедитесь, что в окне Указание прав доступа выбран вариант Доступ разрешен.

    Важно.
    Параметр Доступ разрешен не означает предоставление полного доступа к сети. Он означает, что политика должна продолжить проверку клиентов, соответствующих этим условиям.
  8. Нажмите кнопку Далее три раза.

  9. В окне Настройка параметров нажмите Принудительная защита доступа к сети. Выберите Разрешить ограниченный доступ, а затем выберите Включить автоматическое исправление компьютеров клиентов. См. следующий пример.

  10. В окне Настройка параметров нажмите Далее.

  11. В окне Завершение создания сетевой политики нажмите кнопку Готово.

Настройка сетевой политики для NAP-несовместимых клиентов (необязательно)

При наличии NAP-несовместимых клиентов рекомендуется создать сетевую политику для обработки запросов сетевого доступа этих клиентов. Эта политика позволяет NAP-несовместимым клиентам подключаться и перемещаться в сеть клиентов, помещенных в карантин. Дополнительные сведения о настройке конфигурации см. в разделе Настройка защиты доступа к сети на сервере политики сети (NPS).

  1. Щелкните правой кнопкой мыши Сетевые политики и выберите команду Создать.

  2. В окне Указание имени сетевой политики и типа подключения в поле Имя политики введите «Non-NAP capable» (NAP-несовместимые)и нажмите кнопку Далее.

  3. В окне Укажите условия нажмите кнопку Добавить.

  4. В диалоговом окне Выбор условий дважды щелкните NAP-совместимые компьютеры, выберите Только NAP-несовместимые компьютеры, а затем нажмите кнопку OK.

  5. Нажмите кнопку Далее для перехода к окну Указание прав доступа.

  6. Выберите переключатель Доступ разрешен и нажмите кнопку Далее.

  7. В окне Настройка методов проверки подлинности выберите необходимые методы проверки подлинности и нажмите кнопку Далее.

  8. В окне Настройка ограничений нажмите Далее.

  9. В окне Настройка параметров выберите Сведения от производителя и щелкните Добавить.

  10. В окне Добавить атрибут поставщика выберите Microsoft из раскрывающегося списка Поставщик.

  11. Выберите Время ожидания сеанса карантина MS, нажмите Добавить и в окне Сведения об атрибуте введите Значение атрибута 1200 и нажмите кнопку OK.

  12. Нажмите кнопку Закрыть, чтобы вернуться в окно Настройка параметров, а затем нажмите кнопку Далее.

  13. Проверьте настройки сетевой политики и нажмите кнопку Готово.

Настройка политик запросов на подключение

Политики запросов на подключение содержат условия и параметры для обработки запросов на подключение и управления проверкой. В этом сценарии используется единая политика запросов на подключение для проверки подлинности VPN-клиентов.

  1. Нажмите Политики запросов на подключение.

  2. Отключите политику запросов на подключение по умолчанию, указанную в поле Имя политики. Для этого щелкните политику правой кнопкой мыши и нажмите Отключить.

  3. Щелкните правой кнопкой мыши Политики запросов на подключение и выберите команду Создать.

  4. В окне Указание имени политики запросов на подключение и типа подключения в поле Имя политики введите VPN-подключения.

  5. В поле Тип сервера сетевого доступа выберите Сервер удаленного доступа (VPN и удаленный доступ) и нажмите кнопку Далее. См. следующий пример.

  6. В окне Укажите условия нажмите кнопку Добавить.

  7. Дважды щелкните IPv4-адрес клиента и введите внутренний IP-адрес Forefront TMG в диалоговом окне IPv4-адрес клиента. См. следующий пример.

  8. Нажмите кнопку OK, чтобы закрыть диалоговое окно IPv4-адрес клиента, и нажмите кнопку Далее.

  9. В окне Укажите перенаправление запроса на подключение выберите Проверять подлинность запросов на этом сервере и нажмите кнопку Далее.

  10. В окне Выбор методов проверки подлинности выберите Переопределить параметры проверки подлинности на уровне сети.

  11. В разделе Типы EAP нажмите кнопку Добавить. В диалоговом окне Добавление EAP в разделе Методы проверки подлинности щелкните Microsoft: защищенный EAP (PEAP) и нажмите кнопку OK.

  12. В разделе Типы EAP нажмите кнопку Добавить. В диалоговом окне Добавление EAP в разделе Методы проверки подлинности нажмите Microsoft: Защищенный пароль (EAP-MSCHAP v2), затем нажмите кнопку OK. См. следующий пример.

  13. В разделе Типы EAP щелкните Microsoft: Защищенный EAP (PEAP) и нажмите кнопку Изменить.

  14. Выберите соответствующий сертификат сервера. Сертификат сервера обычно устанавливается автоматически при присоединении к домену.

  15. Выберите Включить проверки в карантине и нажмите кнопку OK.

  16. Добавьте необходимые методы проверки подлинности: Смарт-карта или иной сертификат и Защищенный пароль (EAP-MSCHAP v2).

  17. При настройке сетевой политики для NAP-несовместимых клиентов выберите соответствующий протокол проверки подлинности, используемый для таких клиентов (например Шифрованная проверка подлинности (Microsoft, версия 2, MS-CHAP, версия 2).

  18. Нажмите кнопку Далее два раза, а затем нажмите кнопку Готово.

См. также