DHCP Üzerinde NAP Network Access Protection – Bölüm3

22.04.2008 | 14:33 Dokümanlar , Windows Server 2 Yorum

Bir önceki bölümde NAP ve SHVs ayarlarını yaptıktan sonra DHCP servisini NAP ile çalışacak şekilde yapılandırmıştık.

Bu bölümde ise Client’ların NAP kontrolünden geçebilmesi için gerekli ayarlardan bahsedeceğiz.

NAP Kontrolü için client’lar üzerinde tanımlı ve çalışıyor olması gereken birkaç ayar var. Bunlara NAP Client Settings diyoruz.

Aşağıdaki 3 tanımın ağa erişecek client’lar üzerinde yapılandırılmış olması gerekiyor ki NAP kontrolü sağlıklı olarak işleyebilsin. Aksi durumda NAP kontrolünden geçemezler ve ağa erişim sağlayamazlar.

  • NAP enforcement clients
  • NAP Agent service
  • Security Center user interface

Bu ayarları Client üzerinde local policy ile yapabileceğimiz gibi, GPO ile de yapılandırabiliriz. Tek tek yapmak yerine GPO kullanmak çok daha mantıklı.

Policy yapılandırmasına başlamadan önce Group Policy Management konsolu yüklüyoruz.

Group Policy Management Console Kurulumu

GPMC ilk kurulumda gelen bir ara yüz değil, bu nedenle yüklemek için aşağıdaki adımları izliyoruz. (NPS01 üzerindeyiz)

Server Manager konsolunu açıyoruz ve Features içinde Add Features diyoruz.

Group Policy Management Console Kurulumu 1

Gelen pencerede Group Policy Management özelliğini tıklayıp Next diyoruz.

Group Policy Management Console Kurulumu 2Gelen pencerede; Install diyerek kurulumu bitiriyoruz.

NAP Client Policy Ayarları

Yeni bir GPO oluşturmak için GPO Management Editör ‘ü açıyoruz (Bu az önce yüklediğimiz gpmc.msc konsolu değil.)

Start> Run> gpme.msc yazıyoruz.

Açılan pencerede test.local domain’i seçiliyken, NAP Client Ayarları isimli yeni bir GPO yaratıyoruz ve Ok diyoruz.

NAP Client Policy Ayarları 1
Karşımıza, oluşturduğumuz GPO’yu düzenlemek için bir editör geliyor.

Öncelikle NAP kontrolü için client’lar üzerinde çalışması zorunlu olan Network Access Protection Agent servisini, otomatik başlayacak şekilde yapılandırıyoruz. (Bu NAP için ilk gereklilik (NAP Agent Service)) Eğer client üzerinde bu servis çalışmaz ise, NAP kontrolü gerçekleşmez.

Bunun için,

Computer Configuration/ Policies/ Windows Settings/ Security Settings/ System Services altında Network Access Protection Agent çift tıklıyoruz

NAP Client Policy Ayarları 2
Bu servisi aşağıdaki şekilde otomatik başlaması için yapılandırıyoruz.

NAP Client Policy Ayarları 3

Daha sonra, Client’ları DHCP üzerinden NAP kontrolüne zorlamak için yine aynı editör içinde,

Network Access Protection\ NAP Client Configuration\ Enforcement Clients altında DHCP Quarantine Enforcement Client ‘a sağ tıklayıp enable yapıyoruz. (Bu NAP için ikinci gereklilik (NAP Enforcement Clients))

NAP Client Policy Ayarları 4

Ve ayarın Enable olmasını sağlıyoruz.

NAP Client Policy Ayarları 5

Bu noktadan sonra group policy editör içinde NAP Client Configuration ‘a sağ tıklayıp Apply dememiz gerekiyor.

NAP Client Policy Ayarları 6Yine aynı editör içinde;

Computer Configuration\ Policies\ Administrative Templates\ Windows Components\ Security Center altında Turn on Security Center (Domain PCs only) ayarını Enable yapıyoruz.

NAP Client Policy Ayarları 7

Böylece domain’deki client’lar üzerinde güvenlik merkezinin açık olmasını sağlıyoruz. Güvenlik merkezi sayesinde NAP ile ilgili uyarıları alıyor olacağız.

GP Management Editor penceresini kapatabiliriz.

Oluşturduğumuz bu GPO ayarlarının serverlar gibi NAP kontrolü ile alakası olmayacak bilgisayarları etkilemesini istemeyiz sanırım. Bu nedenle NAP Client ayarlarını alacak bilgisayarlar için, active directory altında bir gurup oluşturmamız uygun olur. Bunun için DC olan makine üzerinde (main-dc), NAP Computers adında, kapsamı Global olan ve türü Security olan bir grup oluşturuyorum. Henüz kimseyi bu guruba üye yapmıyoruz.

Normal bir grup oluştururmuş gibi oluşturabilirsiniz. Ancak Global grup oluşturabilmek için Etki Alanı İşlev Düzeyi Windows server 2003 veya üzeri olmak zorunda olduğunu unutmayın.

NAP Client Policy Ayarları 8

NAP Computers gurubunu oluşturduktan sonra, tekrar NPS01 makinemize geliyoruz.

Policy ayarı üzerinde bir filtreleme işlemi ile, yalnızca belirli bir guruba etki etmesini sağlayacağız. Bu belirli gurup ise az önce oluşturduğumuz NAP Computers gurubu olacak.

Bunun için;

Start> Run> gpmc.msc konsolunu açıyoruz (Hatırlarsanız bu konsolu sonradan yüklemiştik)

Forest: test.local\ Domains\ test.local\ Group Policy Objects altında yer alan

NAP Client Ayarları isimli GPO’yu tıklıyoruz.

Bu pencerede Security Filtering kısmında Authenticated Users gurubunu kaldırıyoruz.

NAP Client Policy Ayarları 9

Daha sonra yine Security Filtering kısmında Add diyerek NAP Computers gurubunu ekliyoruz.

NAP Client Policy Ayarları 10

Böylece, oluşturmuş olduğumuz NAP Client Ayarlari isimli GPO’nun sadece NAP Computers gurubuna üye olan bilgisayarlara etki edeceğini garanti etmiş olduk. NAP kontrolünden geçecek bilgisayarları domaine join ettikten sonra bu guruba üye yapacağız.

Bu Serinin Diğer Bölümleri

DHCP Üzerinde NAP Network Access Protection – Bölüm1

DHCP Üzerinde NAP Network Access Protection – Bölüm2

DHCP Üzerinde NAP Network Access Protection – Bölüm4

Yazı Etiketleri: , , , , , ,

Sayfa Başı ▲

Yorumlar (2)

  1. senol

    merhaba gpo mmc konsolunu ana makinede(server 2003)’de kurup ayarları (clientlere etki eden)oluşturdugumuz ou daki bilgisaylara link ederek baglasak olurmu iilla bu gpo ayarlarını nap kurulu bilgisayarda mı yapmalıyız

  2. Serhat AKINCI

    @Şenol, yapabilirsin. GPO domain’de tektir yani herhangi bir noktadan gpo yaratabilirsin.

Yorum Ekle