Anasayfa » DHCP Uzerinde Network Access Protection (NAP Clinet Ayarları icin GPO Yapilandirmasi)

Makaleyi Paylaş

Windows Server

DHCP Uzerinde Network Access Protection (NAP Clinet Ayarları icin GPO Yapilandirmasi)

 

Bir önceki bölümde NAP ve SHVs ayarlarını yaptıktan sonra DHCP servisini NAP ile çalışacak şekilde yapılandırmıştık.

 

Bu bölümde ise, Client’ların NAP Kontrolünden geçebilmesi için gerekli ayarlardan bahsedeceğiz.

NAP Kontrolü için, client’lar üzerinde tanımlı ve çalışıyor olması gereken birkaç ayar var. Bunlara NAP Client Settings diyoruz.

Aşağıdaki 3 tanımın, ağa erişecek clinet’lar üzerinde yapılandırılmış olması gerekiyor ki NAP kontrolü sağlıklı olarak işleyebilsin.

Sponsor

Aksi durumda NAP kontrolünden geçemezler ve ağa erişim sağlayamazlar.

 

         · NAP Enforcement clients

 

         · NAP Agent service

 

         · Security Center user interface

 


 

Bu ayarları Client üzerinde local policy ile yapabileceğimiz gibi, GPO ile de yapılandırabiliriz.

Tek tek yapmak yerine GPO kullanmak çok daha mantıklı.

Policy yapılandırmasına başlamadan önce Group Policy Management konsolu yüklüyoruz. GPM ilk kurulumda gelen bir ara yüz değil bu nedenle, yüklemek için aşağıdaki adımları izliyoruz. (NPS01 üzerindeyiz)

Server Manager konsolunu açıyoruz ve Features içinde Add Features diyoruz.

clip_image001

 


 

Gelen pencerede Group Policy Management özelliğini tıklayıp Next diyoruz.

clip_image002

 


 

Gelen pencerede; Install diyerek kurulumu bitiriyoruz.

Yeni bir GPO oluşturmak için GPO Management Editör ‘ü açıyoruz (Bu az önce yüklediğimiz gpmc.msc konsolu değil.)

Start> Run> gpme.msc yazıyoruz.

Açılan pencerede test.local domain’i seçiliyken, NAP Clinet Ayarları isimli yeni bir GPO yaratıyoruz ve Ok diyoruz.

clip_image003

 


 

Karşımıza, oluşturduğumuz GPO’yu düzenlemek için bir editör geliyor.

Öncelikle NAP kontrolü için clinet’lar üzerinde çalışması zorunlu olan Network Access Protection Agent servisini, otomatik başlayacak şekilde yapılandırıyoruz. (Bu NAP için ilk gereklilik (NAP Agent Service)) Eğer clinet üzerinde bu servis çalışmaz ise, NAP kontrolü gerçekleşmez.

Bunun için;

Computer Configuration/ Policies/ Windows Settings/ Security Settings/ System Services

altında,

Network Access Protection Agent çift tıklıyoruz.

clip_image004

 


 

Bu servisi aşağıdaki şekilde otomatik başlaması için yapılandırıyoruz.

clip_image005

 


 

Daha sonra; clientları DHCP üzerinden NAP kontrolüne zorlamak için, yine aynı editör içinde

Network Access Protection\ NAP Client Configuration\ Enforcement Clients altında

DHCP Quarantine Enforcement Client ‘a sağ tıklayıp enable yapıyoruz. (Bu NAP için ikinci gereklilik (NAP Enforcement Clients))

clip_image006

 


 

Ve ayarın Enable olmasını sağlıyoruz.

clip_image007

 


 

Bu noktadan sonra group policy editör içinde NAP Client Configuration ‘a sağ tıklayıp Apply dememiz gerekiyor. Aksi taktirde bu ayar kayda alınmaz.

clip_image008

 


 

Yine aynı editör içinde;

Computer Configuration\ Policies\ Administrative Templates\ Windows Components\ Security Center alltında

Turn on Security Center (Domain PCs only) ayarını Enable yapıyoruz.

clip_image009

 


 

Böylece domain’deki clinet’lar üzerinde, güvenlik merkezinin açık olmasını sağlıyoruz. Güvenlik merkezi sayesinde NAP ile ilgili uyarıları alıyor olacağız.

GP Management Editor penceresini kapatabiliriz.

Oluşturduğumuz bu GPO ayarlarının, serverlar gibi NAP kontrolü ile alakası olmayacak bilgisayarları etkilemesini istemeyiz sanırım.

Bu nedenle NAP Client ayarlarını alacak bilgisayarlar için, active directory altında bir gurup oluşturmamız uygun olur.

Bunun için DC olan makine üzerinde (main-dc), NAP Computers adında, kapsamı Global olan ve türü Security olan bir grup oluşturuyorum. Henüz kimseyi bu guruba üye yapmıyoruz.

Normal bir grup oluştururmuş gibi oluşturabilirsiniz. Ancak Global grup oluşturabilmek için, Etki Alanı İşlev Düzeyi Windows server 2003 olmak zorunda.

clip_image010

 


 

NAP Computers gurubunu oluşturduktan sonra, tekrar NPS01 makinemize geliyoruz.

Policy ayarı üzerinde bir filtreleme işlemi ile, yalnızca belirli bir guruba etki etmesini sağlayacağız. Bu belirli gurup ise az önce oluşturduğumuz NAP Computers gurubu olacak.

Bunun için;

Start> Run> gpmc.msc konsolunu açıyoruz (Hatırlarsanız bu konsolu sonradan yüklemiştik)

Forest: test.local\ Domains\ test.local\ Group Policy Objects altında yer alan

NAP Client Ayarları isimli GPO’yu tıklıyoruz.

Bu pencerede Security Filtering kısmında Authenticated Users gurubunu kaldırıyoruz.

clip_image011

 


 

Daha sonra yine Security Filtering kısmında Add diyerek NAP Computers gurubunu ekliyoruz.

clip_image012

 


 

Böylece, oluşturmuş olduğumuz NAP Client Ayarlari isimli GPO’nun, sadece NAP Computers gurubuna üye olan bilgisayarlara etki edeceğini garanti etmiş olduk.

NAP kontrolünden geçecek bilgisayarları, domaine join ettikten sonra bu guruba üye yapacağız.

Diğer bölümde görüşmek üzere.

Serhat AKINCI – IT Professional

 

Makaleyi Paylaş

Cevap bırakın