Archiwum dla kwiecień 2008
Krótko o konfiguracji klientów NAP
Klient NAP dla Windows XP, który wchodzi w skład trzeciego Service Pack wraz z samym dodatkiem osiągnął status RTM (“released to manufacturing”). Obecnie Service Pack 3 testować mogą już subskrybenci TechNet i MSDN, zaś na wczoraj zapowiadana była publiczna premiera dla angielskich wersji językowych.
W poniższej, krótkiej publikacji chciałbym pokazać w jaki sposób należy skonfigurować klienta NAP w przypadku systemów Windows Vista i Windows XP SP3.
Wprowadzenie do Network Access Protection
Network Access Protection – pisząc w dużym skórcie – to zbiór komponentów zawartych w systemie Windows Server 2008 pozwalajacych na stworzenie platformy weryfikacji “zdrowia” komputerów, które chcą komunikować się lub uzyskać dostęp do sieci prywatnej. Uzyskiwane jest to poprzez implementację, trafniej ujmując “granulację” wprowadzanych polityk. Przykładowo: komputer kliencki próbuje uzyskać dostęp do naszej prywatnej sieci, “przedstawia” stan zdrowia systemu. Jeżeli stan zdrowia systemu został zweryfikowany jako pozytywny (na podstawie polityk, które wprowadziliśmy), klient uzyskuje dostęp do sieci, jeżeli nie, komputer teoretycznie dostępu nie ma wcale lub do bardzo wąskiej liczby zasobów do czasu, aż “uchybienia” bezpieczeństwa zostaną skorygowane.
Komponentami architektury NAP są tzw. System Health Agents (SHA) oraz System Health Validators (SHV). Mówiąc o SHA mamy na myśli komponent z systemów Windows Vista oraz Windows XP Service Pack 3, który pełni funkcję “monitora” stanu Windows Security Center (Centrum Zabezpieczeń). SHV zaś to moduł z Windows Server 2008. Za ”wymuszanie” polityk zdrowia dla poszczególnych rodzajów połączenia odpowiadają “Enforcement Components“: Enforcement Clients i Enforcement Servers. Microsoft podaje w oficjalnej dokumentacji, że na całą infrastrukturę sieci z włączonym Network Access Protection składają się następujące elementy: NAP clients (czytaj następny akapit), NAP enforcement points (komputery bądź urządzenia korzystające z NAP bądź używane z NAP do weryfikacji kondycji zdrowia klientów), NAP health policy servers (komputery z działającym systemem Windows Server 2008 i usługą NAP, przechowuje polityki wymgań stanu zdrowia oraz weryfikujestan klienta) , health requirement servers (dostarczają aktualny stan zdrowia dla NAP health policy servers), AD Domain Service (usługa katalogowa Windows, która przechowuje dane kont i ustawienia oraz dane Group Policy) i restricted network (oddzielna, odseparowana sieć).
Wracając do tematu: “Czym jest klient NAP?”. Klient NAP to komputer, który wspiera platformę Network Access Protection. Na tym etapie warto napisać, jakie wersje systemów Windows mogą działać jako klient NAP – są to Windows Server 2008, Windows Vista oraz wspomniany w tytule Windows XP z Service Pack 3. I tu można zadać dodatkowe pytanie – “Słyszałem o kliencie NAP dla Windows XP SP2.” Owszem, taki oddzielny klient NAP dla SP2 był dostępny w programie beta, ale w tej chwili już wiadomo, że projekt nie będzie rozwijany i jedynym sposobem na rozwiązanie problemu jest aktualizacja XP SP2 do SP3.
Konfiguracja klientów wymuszania przy użyciu przystawki “Konfiguracja klienta ochrony dostępu do sieci”
W Windows Vista mamy do dyspozycji przystawkę Network Access Protection Client Configuration (napclcfg.msc), która umożliwia włączenie Enforcement Clients jednym kliknięciem (jak to przedstawiono na poniższym zrzucie). Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokunujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona).
Niestety w przypadku Windows XP przystawka nie jest dostępna, dlatego posłużymy się wierszem poleceń.
Konfiguracja klientów wymuszania za pomocą polecenia netsh
Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokonujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona). Następnie uruchamiamy Network Access Protection Client Configuration (Start -> pole wyszukiwania: napclcfg.msc. Wybieramy Klienci wymuszania.
Drugim sposobem na włączenie klienta wymuszania jest odpowiednie użycie polecenia netsh. Uruchamiamy wiersz polecenia z podwyższonym poziomem uprawnień. Wpisujemy:
netsh nap client set enforcement ID = 79617 ADMIN = “ENABLE”
Czym jest liczba w polu ID? Jest to identyfikator klienta wymuszania (79167 dla klienta egzekwowania protokołu DHCP; 79619 dla klienta egzekwowania zasad IPsec; 79623 dla klienta egzekwowania protokołu EAP; 79618 dla klienta egzekwowania dostępu zdalnego; 79621 dla klienta egzekwowania bramy usług terminalowych). Aby zmiany mogły zostać wprowadzone musimy ponownie uruchomić komputer.
Przy użyciu przystawki możemy również importować/eksportować ustawienia klienta NAP z/do pliku xml. W tym celu należy uruchomić napclcfg.msc, następnie wybrać opcję jak to przedstawiono poniżej:
Podsumowanie
Jak widać w przypadku Windows XP z Service Pack 3 sposób konfiguracji nie różni się znacząco od kroków jakie należy wykonać w Windows Vista. Mam nadzieję, że niniejszy post w podstawowym stopniu wyjaśnił czym jest NAP i jak należy go skonfigurować po stronie klienta. Na stronach Microsoft znajdziemy bardzo wiele artykułów, webcastów, dokumentacji etc., polecam odwiedzić Microsoft TechNet ;-).
Pierwsze spotkanie Warszawskiej Grupy Użytkowników i Specjalistów Windows
Już 6 maja w siedzibie firmy Microsoft w Warszawie odbędzie się inauguracyjne spotkanie Warszawskiej Grupy Użytkowników i Specjalistów Windows. Krótka informacja o grupie:
Warszawska Grupa Użytkowników i Specjalistów Windows skupia wszystkich użytkowników zajmujących się systemami z rodziny Windows z rejonu województwa mazowieckiego. Celem działania grupy jest wymiana wiedzy oraz doświadczeń. Na spotkaniach omawiane są tematy dotyczące platform klienckich i serwerowych Windows. Sesje prowadzone są przez członków społeczności, zaproszonych specjalistów, administratorów i inżynierów systemowych oraz osoby z tytułami certyfikowanymi. Grupa powstała w maju 2008 roku.
Na pierwszym spotkaniu poruszymy nie tylko tematy organizacyjne, ale również tematy techniczne. Paweł Pławiak poprowadzi sesję o politykach kontroli w Windows Server 2008, zaś ja (Łukasz Foks) poprowadzę sesję “wprowadzającą” do Windows Home Server. Mogę już zdradzić, że moja prezentacja będzie różnić się od tej, którą pokazałem na PJWSTK. Zaplanowane mamy już dwie sesje, ale agenda może się jeszcze zmienić.
Podsumowując: pierwsze spotkanie odbędzie się 6 maja 2008 roku o godzinie 17.30, w siedzibie firmy Microsoft, Al. Jerozolimskie 195A w Warszawie. Serdecznie zapraszamy!
Windows Home Server na PJWSTK
Dziewiątego kwietnia w ramach spotkania Studenckiego Koła Nowych Technologii na PJWSTK miałem okazję przedstawić system Windows Home Server. Podczas godzinnej sesji zaprezentowałem najważniejsze funkcje i technologie dostępne w produkcie.
Podczas prezentacji padło m.in. pytanie o dokumentację systemu. Zgodnie z obietnicą umieszcam poniżej linki do publikacji:
Windows Home Server Reviewer’s Guide
Windows Home Server Drive Extender
Windows Home Server Technical Brief for Home Networking
Windows Home Server Technical Brief for Home Computer Backup and Restore
Windows Home Server – Media Sharing
Windows Home Server – Remote Access
WHS Toolkit User Manual
Windows Home Server Release Documentation
Troubleshooting Windows Home Server Connector Installation
Zachęcam również do zapoznania się ze stroną Studenckiego Koła Nowych Technologii prowadzonego przez Piotra Pawlika. Spotkania grupy odbywają się w każdą środę o godzinie 16:00 w sali 214 na Polsko-Japońskiej Wyższej Szkole Technik Komputerowych w Warszawie (http://dotcore.pjwstk.edu.pl/).
Pobierz prezentację:
