Merhabalar Sizlere bu makalemde  Dhcp Server üzerinde NAP yapılandırmasını anlatıyor olacağım.NAP’ın yaptığı işlem client pc lerin sağlıklı olup olmadığını bizim belirlediğimiz kritere göre sağlamak. NAP sayesinde şunu yapabiliriz,Dchp Server bildiğiniz üzere kim ip isterse dağıtır fakat Nap sayesinde şunu diyebiliriz, güvenlik duvarı  kapalıysa ağımıza erişemesin , ne zaman bu kullanıcı güvenlik duvarını etkin hale getirir o zaman ağımıza erişim sağlayabilir.Virüs programı,güncellemeler içinde aynı şekilde ayar yapabiliriz. Bu makalede sizlere DHCP Nap ilişkisini anlatacağım . Bu makaleyi yazmamdaki en önemli sebep ise bu konuyu hızlı bir şekilde unutuyor olmam. Adımlar biraz karışık olabilir elimden geldiğince kelimeleri ve resimleri az tutmaya çalıştım.


Yapımdan biraz bahsedeyim ;
1 adet Dc makinam var hasan.local ( Windows Server 2008 R2 ) 10.10.10.1 /8
1 adet domain member Dhcp ve Nap etkinleştireceğim  ( Windows Server 2008 R2) 10.10.10.2/8
1 adet domain member Windows 7 client pc

NAP özelliği Windows Server 2008 sürümü ile birlikte gelmiştir. Dc makinam win 2003 R2 olabilir fakat Nps olan makinam Windows Server 2008 veya üstü olmalı. Nps olan makinam üzerinde Dhcp Server çalışıyor olacak ve buradaki kuralları Nps özelliği kontrol ediyor olacak.İlk işimiz Dchp özelliği kuracağımız makinayı domain üyesi yapıyoruz.Oturum açan kullanıcının Admin Hakkı olması gerekiyor.

Dhcp makinamız üzerinde Nps Rolünü kurmamız gerekiyor.

n1

n2

Buraya kadar Nps için olan bölümü tamamladık şimdi ise Dhcp Server’ı yapılandıralım.n3

Wins kullanmadığım için üstteki seçeneği seçip devam ediyorum. n4

 

Yapımı kendime göre düzenledim .n5

Daha sonraki adımda eğer ipv6 kullanıyor iseniz aktif edebilirsiniz ve credential olarak admin yetkili hesabınızı seçtikten sonra kurulumu tamamlayabilirsiniz.

Buraya Kadar olan kısım Dhcp Server kurulumu ve Nps kurulumuydu. Şimdi Nap’ ı nasıl konfigure edeceğimizden bahsedelim.

Start > Administrative Tools > Network Policy Server 

NPS altında  Configure Nap diyoruz .n6

Biz Dhcp Nap yapacağımız  Dhcp seçeneği ile devam ediyoruz ve yaratacağımız policy’e isim veriyoruz. Burayı kendinize göre editleyebilirsiniz.n7

Buraya kadar tüm kurulumlar için standart adımları izledik fakat şöyle bir yapınız olduğunu varsayalım Nap Sunucusu ve Dhcp Server farklı makinalar üzerinde ,eğer sizin yapınız böle ise Nap sunucunuzu Dchp Client için Radius clients olarak eklemelisiniz.Benim yapımda Dhcp ve Nap aynı ortamda olduğu için herhangi bir ayar yapmadan devam ediyorum.n8

 

Burada başka scope oluşturmak istemediğimden devam ediyorum.n9

Aşağıdaki ayarları daha sonradan yapılandıracağım ve ne için kullandığımızdan bahsediyor olacağım .n10 n11 Windows Security Health Validator  , Enable auto remedation of client computers seçmeyi ve  Nap kuralımıza uymayan bilgisayarları ise Sınırlı alana almak için Deny full network access to NAP  ineligible client computers .Allow access to a restricted network only seçeneği ile devam ediyoruz ve NAP ı yapılandırmış oluyoruz.n12Şimdi ise kullanıcılara zorunlu olmasını istediğimiz gereklilikleri yapılandıralım.  Network Access Protection > Windows Security Health Validator > Settings ve var olan üzerinde değişiklik yapalım siz isterseniz silip yeni isimle yaratabilirsiniz.

n13

Ben sadece Windows 7 için güvenlik duvarının etkin olmasını koşul olarak belirttim . Önemli bir nokta Xp sürümleri için NAP sp3 ile geldi. Security Health Validator ayarımızı da yapmış olduk.n14 Dhcp üzerinde Nap ı  aktif hale getirmemiz gerekiyor . Bunun için Dhcp Server > Scope properties  ve Nap aktifleştiriyoruz. Burada dikkat etmemiz gereken bu yaptığım ayar sadece 10.0.0.0 scope üzerinde etkin olacak. Eğer yapınızda birden çok scope mevcut ise onlar üzerinde de aktif etmelisiniz.

n15 Daha sonra ise erişimine izin vereceğimiz ve güvenlik duvarı etkin olmayan ve dolayısıyla sınırlı alanda kalmasını istediğimiz class tanımlamalıyız. Buradaki püf nokta eğer bir kullanıcı ilk başta sınırlı alanda ise ve daha sonra güvenlik duvarını etkin konumuna getirdiyse tam erişim izini verdiğimiz class a geçecektir.

Aşağıda tam erişime sahip kullanıcılarımın ayarları mevcut. n16

 

ve aynı zamanda NAP denetiminden geçemeyen bilgisayarlar için class tanımlıyoruz.n17 n18 n19

Dhcp ,NAP ve Security Health Validator ayarlamış bulunuyoruz.  Şimdi ise yaptığımız bu ayarların client tarafından algılanması için gpo oluşturmamız gerekmektedir.

Yapacağımız gpo bilgisayar bazlı olacak .   Computer Conf > Windows Settings > Security Settings > System Services

Bu policy üzerinde 3 ayar yapmamız gerekiyor.

1 – NAP Agent aktif hale getireceğiz.
2- Dhcp Kullanıcılarına bu ayarları force edeceğiz.
3- Son ayarımız ise [ Computer Conf >  Policies > Administrative Template > Windows Components > Security Center ] > Turn on Security Center Domain Pc Only aktif ediyoruz.n20

 

n21 ve bu ayarları  kullanıcılara zorla force ediyoruz. n22

Security Center ayarı ile güvenlik ile ilgili uyarıları almış olucaz.n23

Gpo ayarlarımız bu kadar. Burada gpo yu kimlere uygulayacağımızı doğru şekilde planlamalıyız. Belirli gruba uygulanmasını isterseniz Active Directory üzerinde  kapsamı Global ve türü Security olan grup oluşturmalıyız. Hadi oluşturalım n24

 

Burada Nap grubumuza bu ayarların uygulanmasını istediğimiz için  Authenticated Users silip yerine Nap grubunu ekliyoruz. Siz yapınıza göre editleyebilirsiniz.

n25 n26

Server tarafındaki işlerimizi tamamlamış olduk. Yapmış olduğumuz ayar ile gpo sadece NAP grubuna üye olanlara etki edecektir. Server lara bu ayarları uygulamak istemeyebiliriz . n27

Bakalım şimdiye kadar olanlar client tarafında ne gibi sonuçlar doğurdu. Dhcp makinama ping atıyorum ama failure alıyorum. Bunun sebebi client  pc nin henüz NAP a tabi olmadığındandır.n28

 

ve ipconfig /all dediğimizde kisitli.hasan.local üzerinde olduğumuzu görüyoruz .

n29 Şimdi bu durumu düzeltelim makelemin başında yapılandırmadığım ayarları yapılandırma zamanı geldi. Bu noktada Remedation Server devreye giriyor. Yaptığı iş ise ağa erişmek isteyen pc lere yardımcı olmak .

Bunun için tekrar Nps kurulu Server üzerine gidiyoruz.  ve Network Policy içindeki HasanDimdik Policy Non NAP-Capable editliyoruz.

n30

n31n32 Gruba Remedation Server olarak çalışacak makinamı seçiyorum benim Dc makinam bu görevi üstleniyor. n33

Daha sonra apply ile ayarımızı bitiriyoruz.

n34

Aynı ayarı yukarıda boş bıraktığımız  Nap Dhcp Noncompliant içinde yapıyoruz.n35 n36

Böylece yukarıda eksik bırakmış olduğumuz ayarları tamamlamış olduk. Şimdi tekrar ping atmayı deneyelim ve gördüğünüz gibi ping atabiliyoruz ama hala kisitli.hasan.local altındayız .n37

Şimdi windows 7 makinamızı belirlediğimiz NAP grubuna dahil edelim.n38

Uyguladığım kural bilgisayar bazlı olduğu için windows 7 makinamı restart ediyorum. Güvenlik duvarı kapalı iken gördüğünüz üzere  System Quarantine State : Restricted
olarak gözüküyor yaptığımız ayarlardan dolayı güvenlik duvarı otomatik aktif hale gelecektir.n39

Güvenlik duvarını ben aktif hale getirmedim yapmış olduğum gpo sonunda otomatik olarak aktif hale geldi.n40 Gpo ayarlarını görmek için

run > cmd > netsh nap client show grouppolicyn41

netsh nap client show state ile client durumunu kontrol edebiliriz.n42

Sonuç olarak yapımızın güvenliğini biraz daha arttırmış oluyoruz.

Umuyorum faydası dokunmuştur.
Hasan DİMDİK

technet :   http://social.technet.microsoft.com/wiki/contents/articles/22212.windows-server-2008-r2-uzerinde-nps-ve-nap-yaplandrma.aspx

Leave your vote

0 points
Upvote Downvote

Comments

0 comments