Windows Server 2008 NAP整合802.1x網路安全控管 <SLIDETITLE INCLUDE=0>Entry Slide</SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT></SLIDESCRIPT> <SLIDETRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION> 顧武雄 台灣微軟特約資深講師 jovi@cogate.com.tw

Windows Server 2008 NAP課程 課程名稱 時間 NAP整合VPN網路安全控管 6/12 NAP整合終端機服務安全控管 6/19 NAP整合802.1x網路安全控管 6/26

預備知識 使用過Windows Server 2008 了解Active Directory架構 Level 200

課程大綱 NAP for 802.1x架構介紹 802.1x設備組態配置 NAP for 802.1x原則設定 Q&A

NAP for 802.1x運作元件

建立NAP for 802.1x測試環境

三種802.1x網路保護法 將非法用戶端隔離至特定的VLAN 使用IP篩選器進行有限資源存取控管 直接拒絕存取（連接埠由綠燈變橘燈） 用戶端電腦需要重新拔插連接網路線

建構以VLAN的隔離法 必須在初始的VLAN中規劃DHCP服務 請透過ACLs將VLAN2與VLAN3設為無法相互存取

課程大綱 NAP for 802.1x架構介紹 802.1x設備組態配置 NAP for 802.1x原則設定 Q&A

VLAN網路位址配置 以Cisco Catalyst 3560G為範例 使用Cisco Network Assistant介面設定 或IOS命令

啟用設備連接埠的AAA設定 AAA= Authentication、Authorization、Accounting

設定RADIUS伺服器連線 NPS主機=RADIUS伺服器 802.1x設備= RADIUS用戶端 設定方法 radius-server host 192.168.2.1 auth-port 1812 acct-port 1813 key 1234

DHCP Relay設定 以ip helper-address命令指向位在VLAN1網路中的DHCP伺服器

變更Supplicant Timeout設定 預設supp-timeout=5秒 建議設定在15以上，避免NAP的健康狀態訊息（SoH），還來不及透過此交換器完成驗證動作就已經逾時，而導致經常無法成功連線的問題。

重新驗證間隔時間(選用) 預設reauthentication功能=Disable 啟用後預設時間=6分鐘 使用dot1x reauthentication命令來啟用 啟用後預設時間=6分鐘 使用dot1x timeout reauth-period 秒數 請注意！每一次的重新驗證作業都會讓NPS主機上，產生新的合法驗證或非法驗證事件。

啟用Port Fast 縮短預設需30秒進入連線狀態的問題

課程大綱 NAP for 802.1x架構介紹 802.1x設備組態配置 NAP for 802.1x原則設定 Q&A

NPS健康原則設定 設定健康狀態檢驗程式

NAP for 802.1x原則配置（1/5）

NAP for 802.1x原則配置（2/5）

NAP for 802.1x原則配置（3/5）

NAP for 802.1x原則配置（4/5） VLAN3 – 合法網路

NAP for 802.1x原則配置（5/5） 回到了[RADIUS標準屬性]頁面，請切換到[特定廠商屬性]頁面。 VLAN2 : 隔離的網路 繼續設定！

11/22/2018 7:38 PM NAP for 802.1x原則設定 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

課程大綱 NAP for 802.1x架構介紹 802.1x設備組態配置 NAP for 802.1x原則設定 Q&A

NAP for 802.1x用戶端設定 可以群組原則統一配置 可以採手動設定每一部用戶端 Windows XP SP3設定會比較複雜

群組原則設定NAP用戶端 啟用EAP隔離強制用戶端 啟用Wired AutoConfig服務（自動） 啟用Network Access Protection Agent服務（自動） 啟用資訊安全中心

設定用戶端有線區域網路 啟用IEEE 802.1x驗證

關於Windows Vista的802.1x設定 使用Active Directory群組原則來統一配置 以命令工具語法netsh lan來設定802.1x的組態 http://go.microsoft.com/fwlink/?LinkId=70195

11/22/2018 7:38 PM 802.1x用戶端設定方法 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

課程大綱 NAP for 802.1x架構介紹 802.1x設備組態配置 NAP for 802.1x原則設定 Q&A

查看動態VLAN狀態 VLAN2: 遭隔離的NAP用戶端 VLAN1 : NAP用戶端尚未連接到網路設備！

測試拒絕非法用戶端連線 修改不符合標準的原則設定！ 已被NAP拒絕連線 的802.1x用戶端！

11/22/2018 7:38 PM NAP for 802.1x用戶端展示 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

NAP事件檢視 隔離用戶端事件 合法用戶端事件 拒絕用戶端事件

隔離或拒絕事件Email通知 簡易作法 絕佳作法 直接在NPS主機事件上附加Email通知工作 IT無法第一時間掌握到是哪一部電腦無法連線 整合System Center Operations Manager 2007 在這一些重要的用戶端電腦上安裝SCOM Agent 當NAP隔離或拒絕事件發生時以IM或Email通知IT人員 優點 : 可讓IT立即掌握到哪一部電腦無法連線！

使用效能監視器 NPS系統健康狀態驗證 NPS遠端驗證伺服器 NPS遠端帳戶處理伺服器 NPS原則引擎 NPS驗證伺服器 NPS驗證Proxy NPS驗證用戶端 NPS帳戶處理伺服器 NPS帳戶處理Proxy NPS帳戶處理用戶端

11/22/2018 7:38 PM NAP網路運作的監控 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Q&A

更多參考資訊… TechNet www.microsoft.com/taiwan/technet TechNet 技術論壇 www.microsoft.com/taiwan/technet/forum Windows Server 2008 www.microsoft.com/taiwan/windowsserver2008 顧大俠的Blog tw.myblog.yahoo.com/chivalrous_ku/