Konfiguration av NAP VPN

1 Konfiguration av NAP VPN Detta behövs: 2 st servrar Windows 2012R2, EasecServer (192.168.10.10/24) och EasecDC2 (192.168.10.20/24). Active Directory easec.net, bägge servrarna är DC i denna domän. 1 st klient Windows 8.1 med namnet Klient1 (192.168.10.30/24), medlem i easec.net. Användare: administrator med lösenordet Pa$$w0rd. Övning 1: Förberedda miljö för NAP Arbetsuppgift 1: Installera Certificatserver på EasecServer Steg 1: Starta upp och logga på EasecServer, i Server Manager, klicka på Add Roles and Features. Klicka på Next för att starta guiden. Klicka på Next för att bekräfta att du vill installera Role-based or Feature- based installation. Klicka på Next för att bekräfta att det är på EasecServer du vill installera på. Steg 2: Markera att du vill installera Active Directory Certificat Service, i dialogfönstret Select server role, klicka därefter på Next. Klicka på Add features i nästa dialogfönstret. Klicka sedan på Next. Steg 3: Markera boxrutorna för alla tjänsterna, förutom Network Device Enrollement Service i dialogfönstret Select Role Service, klicka på Add features när detta fönster dyker upp för de olika tjänsterna, klicka på Next. Steg 4: Klicka på Next i dialogfönstret Web Server Role (IIS). Steg 5: Klicka på Next i dialogfönstret Select Role Service. Steg 6: Klicka på Install, i dialogfönstret Confirm installation selection.

2 Steg 7: När Close-knappen aktiveras, kan du klicka på denna för att stänga ner fönstret. När installationen är klar, kommer du att få meddelande om detta! Steg 8: När installation är klar, klicka på flagga som visas i Server Manager, klicka på länken Configure Active Directory Certificate Service..., klicka på Next i dialogfönstret Credentials. Steg 9: Kryssa i de tre översta kryssrutorna, klicka på Next. Steg 10: I dialogfönstret Setup Type, verifiera att Enterprise CA är markerat, klicka på Next. Steg 11: I dialogfönstret CA Type, verifiera att Root CA är markerat, klicka på Next. Steg 12: I dialogfönstret Private Key, verifiera att alternativet Create a new private key är marketat, klicka på Next. Steg 13: Klicka Next i nästa dialogfönster, Crypthography for CA. Steg 14: Klicka på Next i nästa dialogfönster, CA Name. Steg 15: Klicka på Next i dialogfönstret Validity Period. Steg 16: Klicka på Next i dialogfönstret CA Database. Steg 17: Klicka på Configure, i dialogfönstret Confirmation. Steg 18: Klicka på Close, när konfigurationen är klar. Steg 19: I dialogrutan AD CS Configuration, klicka på Yes. Steg 20: Klicka på Next i dialogfönstret Credentials. Steg 21: Kryssa i de två nedersta boxrutorna, i dialogfönstret Role Service. Klicka på Next. Steg 22: Klicka på Next i dialogfönstret CA for CES. Steg 23: Klicka på Next i dialogfönstret Authentication Type for CES. Steg 24: I dialogfönstret Service Account for CES, markera cirkel till vänster om Use the built-in-application pool identity, klicka på Next.

3 Steg 25: Klicka på Next i dialogfönstret Authentication Type for CEP. Steg 26: I dialogfönstret Server Certificate, markera certifikat för easec.easecserver-ca, klicka på Next. Steg 27: Klicka på Configure, i dialogfönstret Confirmation. Steg 28: Klicka på Close, när konfigurationen är klar. Arbetsuppgift 2: Konfigurera certifikat Steg 1: Klicka på Certification Authority, via Server Manager Tools. Steg 2: I konsoll, expandera easec-easecserver-ca, högerklicka på Certificate Template, välj alternativet Manage i dialogruta som kommer upp. Steg 3: I listan, högerklicka på Computers. Välj alternativet Properties i dialogrutan som dyker upp. Steg 4: Klicka på fliken Security, i dialogfönstet Computers Properties. Välj Authenticated Users.

4 Steg 5: I rutan under Permissions for Authenticated Users, klicka i boxrutan under Allow för alternativet Enroll. Klicka på OK. Steg 6: Klicka på OK. Stäng fönstret för Templates. Steg 7: Högerklicka på easec- EASECSERVER-CA, välj All Tasks Stop Service i dialogrutan som kommer upp. Steg 8: Högerklicka på easec-easecserver-ca, välj All Tasks Start Service i dialogrutan som kommer upp. Arbetsuppgift 3: Begära datorcertifikat för EasecServer Steg 1: På EasecDC2, öppna verktyget MMC, klicka på File Add/Remove Snapin, markera alternativet Certificate, klicka på Add. Steg 2: Markera Computer Account, i dialogfönstret Certificate snap-in, klicka på Next. Steg 3: Verifiera att Local Computer är markerat, klicka på Finish. Steg 4: Klicka på OK, i dialogfönstret Add or Remove Snap-Ins. Steg 5: Expandera Certificates, högerklicka på Personal. Välj alternativet All Tasks Request New Certificate, i dialogrutan som kommer upp. Steg 6: Klicka på Next i dialogfönstret Certificate Enrollment. Steg 7: I dialogfönstret Select Certificate Enrollment Policy, klicka på Active Directory Enrollment Policy. Klicka på Next.

5 Steg 8: Klicka först i boxrutan Computers, klicka därefter på Enroll. Steg 9: Klicka på Finish, när processen är klar. Steg 10: Stäng konsollverktyget, välj att inte spara konsollen. Arbetsuppgift 4: Installera NPS på EasecDC2 Steg 1: På EasecDC2, öppna Server Manager, klicka på Add Roles and Features. Klicka på Next för att starta guiden. Klicka på Next för att bekräfta att du vill installera Role-based or Feature- based installation. Klicka på Next för att bekräfta att det är på EasecDC2 du vill installera på.

6 Steg 2: Markera att du vill installera Network Policy and Access Services, klicka på Add Features i dialogfönster som kommer upp. Klicka på Next. Steg 3: Klicka på Next i dialogfönstret Select features. Steg 4: Klicka på Next i dialogfönstret Network Policy and Access Services. Steg 5: Klicka på Next i dialogfönstret Select Role Services. Steg 6: Klicka på Install, i dialogfönstret Confirm installation selections. Steg 7: När installation är klar, klicka på Close. Övning 2: Konfiguration av NPS Arbetsuppgift 1: Konfigurera hälsoregel (Health Policies) Steg 1: På EasecDC2, klicka på Tools Network Policy Server i Server Manager. Steg 2: I verktyget, expandera Network Access Protection - System Health Validators - Windows Security Health Validator. Klicka på Settings. Steg 3: Dubbelklicka på Default Configuration. Steg 4: I alternativet Windows 8/Windows 7/Windows Vista, ta bort alla markeringar i boxrutorna, förutom A firewall is enable for all network connections, klicka på OK. Steg 5: I trädstrukturen, expandera Policies. Högerklicka på Health Policy. Klicka på New i dialogfönstret som kommer upp.

7 Steg 6: I dialogfönstret Create New Health Policy, skriv in Kompatibel i fältet för Policy name. Verifiera att Client passes all SHV checks är vald i boxrutan. Under rutan för SHVs used in this health policy, kryssa i rutan för Windows Security Health Validator. Klicka på OK. Steg 7: Högerklicka på Health Policy. Klicka på New i dialogfönstret som kommer upp.

8 Steg 8: I dialogfönstret Create New Health Policy, skriv in Icke kompatibel i fältet för Policy name. Markera Client fails one or more SHV checks och välj denna. Under rutan för SHVs used in this health policy, kryssa i rutan för Windows Security Health Validator. Klicka på OK. Arbetsuppgift 2: Konfigurera regel för nätverket (Network Policies) Steg 1: I trädstrukturen, klicka på Policies Network Policies. Steg 2: Det visas två stycken standardregler, dessa måste göras disable. Högerklicka på regel, välj alternativet Disable i dialogrutan som kommer upp. Gör samma sak med den andra regeln. Steg 3: Högerklicka på Network Policies, välj alternativet New i dialogrutan som kommer upp. Steg 4: I dialogfönstret Specify Network Policy Name and Connection Type, skriv in Kompatibel-Full,i fältet för Policy Name. Klicka på Next.

9 Steg 5: Klicka på Add, i dialogfönstret Select condition, dubbelklicka på Health Policies. Steg 6: I dialogfönstret Health Policies, i boxrutan välj regel Kompatibel, klicka på OK. Steg 7: Klicka på Next i dialogfönstret Specify Conditions. Steg 8: Klicka på Next i dialogfönstret Specify Access Permission.

10 Steg 9: I dialogfönstret Configure Authentication Methods, ta bort alla markeringar, kryssa i ruta till vänster om Perform machine health check policy. Klicka på Next. Steg 10: Klicka på Next i dialogfönstret Configure Constrains. Steg 11: I dialogfönstret Configure Settings, klicka på NAP Enforcement. Verifiera att Allow full network access är markerad. Klicka på Next. Steg 12: Klicka på Finish i dialogfönstret Completing New Network Policy. Steg 13: Högerklicka på Network Policies, välj alternativet New i dialogrutan som kommer upp. Steg 4: I dialogfönstret Specify Network Policy Name and Connection Type, skriv in IckeKompatibel-Restriktion,i fältet för Policy Name. Klicka på Next. Steg 5: Klicka på Add, i dialogfönstret Select condition, dubbelklicka på Health Policies.

11 Steg 6: I dialogfönstret Health Policies, i boxrutan välj regel Icke kompatibel, klicka på OK. Steg 7: Klicka på Next i dialogfönstret Specify Conditions. Steg 8: Klicka på Next i dialogfönstret Specify Access Permission. Steg 9: I dialogfönstret Configure Authentication Methods, ta bort alla markeringar, kryssa i ruta till vänster om Perform machine health check policy. Klicka på Next. Steg 10: Klicka på Next i dialogfönstret Configure Constrains. Steg 11: I dialogfönstret Configure Settings, klicka på NAP Enforcement, Markera Allow limited access. Plocka bort markering för Enable autoremediation of client computers Steg 12: Klicka på först på IP Filters, därefter på Input Filter under IPv4. Steg 13: Klicka på New i dialogfönstret Inbound Filters.

12 Steg 14: I nästa dialogfönster, Add IP Filter, klicka i boxruta för Destination Network, skriv in 192.168.10.10 i boxruta för IP address, skriv in 255.255.255.255 i boxruta för Subnet mask. Klicka på OK. Klicka i markering för Permit only the packets listed below, klicka på OK. Steg 15: Klicka på Output Filters, under IPv4. Steg 16: Klicka på New i dialogfönstret Outbound Filters. Steg 17: Klicka på Source network, i dialogfönstret Add IP Filter, skriv in 192.168.10.10 i boxruta för IP address, skriv in 255.255.255.255 i boxruta för Subnet mask. Klicka på OK. Klicka i markering för Permit only the packets listed below, klicka på OK. Steg 18: Klicka på Next i dialogfönstret Configure Settings. Steg 19: Klicka på Finish i dialogfönstret Completing New Network Policy.

13 Arbetsuppgift 3: Konfigurera Connection Request Polices for VPN Steg 1: Klicka på Connection Request Policies, disabla standardregel som visas. Steg 2: Högerklicka på Connection Request Policies, klicka på New i dialogruta som kommer upp. Steg 3: I dialogfönstret Specify Connection Request Policy Name And Connection Type, skriv in VPN anslutning i fältet för Policy Name, välj Remote Access Server (VPN-Dial up) under Type of network access server. Klicka på Next. Steg 4: Klicka på Add, i dialogfönstret Specify Conditions, dubbelklicka på Tunnel Type. Välj PPTP, SSTP och L2TP. Klicka först på OK, därefter på Next.

14 Steg 5: I dialogfönstret Specify Connection Request Forwarding, verifiera att Authenticate requests on this server är markerad. Klicka på Next. Steg 6: I dialogfönstret Specify Authentication Methods, markera boxruta till vänster om Override network policy authentication settings. Steg 7: Klicka på Add, under EAP types. Steg 8: I dialogfönstret Add EAP, välj Microsoft: Protected EAP (PEAP), klicka på OK. Steg 9: Klicka på Add, under EAP types. Steg 10: I dialogfönstret Add EAP, välj Microsoft: Secured password (EAP- MSCHAP v2), klicka på OK. Steg 11: Under EAP Types, markera Microsoft: Protected EAP (PEAP), klicka på Edit. Steg 12: Under EAP Types, markera Microsoft: Protected EAP (PEAP) klicka på Edit. Ta bort markering för Enable FastConnect. Verifiera att Enforce Network Access Protection är markerat. Klicka på OK. Steg 10: Klicka på Next två gånger, sedan på Finish.

15 Övning 3: Installation och konfiguration av VPN-server OBS! Innan installation måste du lägga till ytterligare ett nätverkskort, för EasecDC2. Konfigurera detta kort med IP-adress 10.10.0.1/16. Arbetsuppgift 1: Installera VPN-server Steg 1: På EasecDC2, i Server Manager, klicka på Add Roles and Features. Klicka på Next för att starta guiden. Klicka på Next för att bekräfta att du vill installera Role-based or Feature- based installation. Klicka på Next för att bekräfta att det är på EasecDC2 du vill installera på. Steg 2: I dialogfönstret Select server role, klicka på Remote Access, klicka på Next. Steg 3: Klicka på Next, i dialogfönstret Select features. Steg 4: Klicka på Next, i dialogfönstret Remote Access. Steg 5: I dialogfönstret Select Role Service, markera alternativet DirectAccess and VPN(RAS), klicka på Add features, klicka sedan på Next. Steg 6: Klicka på Next, i dialogfönstret Web Server Role (IIS).

16 Steg 7: Klicka på Next, i dialogfönstret Select role service. Steg 8: Klicka på Install, i dialogfönstret Confirm installation selections. Steg 9: Stäng fönstret när installation är klar. Arbetsuppgift 2: Konfigurera VPN-server Steg 1: På EasecDC2, sök efter Administrative Tools. Klicka på alternativet Routing and Remote Access. Steg 2: Högerklicka på EASECDC2 (local), välj alternativet Configure and Enable Routing and Remote Access, i dialogrutan som kommer upp. Klicka på Next för att starta guiden. Steg 3: Verifiera att Remote Access (dail-up or VPN) är markerad, klicka på Next. Steg 4: Klicka i boxruta för VPN, klicka på Next. Steg 5: Markera nätverkskort 2 (10.10.0.1), som det kort som är mot Internet, ta bort markering för Enable security on the selected interface by setting up static packet filters, klicka på Next. Steg 6: Välj alternativet From a specified range of addresses, I dialogfönstret IP Address Assignment, klicka på Next. Steg 7: Klicka på New, i dialogfönstret Address Range Assignment. Ange 192.168.10.220 i fältet för Start IP address. Ange 192.168.10.230 i fältet för End IP address. Klicka på OK. Klicka sedan på Next. Steg 8: Klicka på Next i nästa dialogfönster, Managing Multiple Remote Access Servers. Klicka därefter på Finish. Steg 9: Klicka på OK två gånger i dialogfönstret Routing and Remote Access. Steg 10: Klicka på Finish.

17 Steg 11: Skifta över till konsol för Network Policy Server, klicka på Connection Request Policies. Om regeln Microsoft Routing and Remote Access Service Policy finns, högerklicka på denna och välj Disable i dialogfönstret som kommer upp. Steg 12: Stäng konsol för Network Policy Server. Arbetsuppgift 3: Tillåta PING genom brandväggen Steg 1: På EasecDC2, klicka på Start Administrative Tools. Klicka på verktyget Windows Firewall with Advanced Security. Steg 2: Klicka på Inbound Rules, högerklicka på Inbound Rules, klicka p alternativet New Rule, i dialogfönstret som kommer upp. Steg 3: Välj Custom, klicka sedan på Next. Steg 4: Verfiera att All Programs är vald, klicka på Next. Steg 5: Välj ICMPv4 i rutan till höger om Protocol type, klicka på alternativet Customize. Markera Specific ICMP types, välj Echo Request, klicka på OK. Klicka på Next. Steg 6: Klicka på Next, i dialogfönstret Scope.

18 Steg 7: I nästa dialogfönster, verifier att Allow the connection är vald, klicka på Next två gånger. Steg 8:Skriv in ICMP Allow i fältet under Name, klicka på Finish. Steg 9: Stäng fönstret. Övning 4: Konfiguration och test av klient Arbetsuppgift 1: Konfigurera klient Steg 1: På Klient1, logga på som administrator med lösenordet Pa$$word. Steg 2: Ändra IP-konfiguration på nätverskortet, till 10.10.0.22/16. Steg 2: Starta verktyget MMC, klicka på File Add/Remove Snap-in. Steg 3: Markera NAP Client Configuration, i dialogfönstret Add or Remove Snap-ins, klicka först på Add. Därefter på OK två gånger. Steg 4: Klicka på Enforcement Clients, i result pane högerklicka på EAP Quarantine Enforcement Client, klicka på Enable, i dialogrutan som kommer upp. Steg 5: Stäng konsol. Steg 6: Sök efter Services.msc och starta administrationsverktyget för Tjänster, leta upp Network Access Protection Agent. Sätt tjänsten som automatisk start, starta sedan Network Access Protection Agent. Steg 7: Sök efter gpedit.msc och starta verktyget, expandera Local Computer Policy Computer Configuration Administrative Template Windows Components, klicka på Security Center. Steg 8: Dubbelklicka på Turn on Security Center (Domain PCs only), klicka i cirkeln till vänster om Enable. Klicka på OK. Steg 9: Stäng alla öppna fönster.

19 Arbetsuppgift 2: Etablera VPN-anslutning Steg 1: På Klient1, starta Network and Sharing Center via Control Panel Network and Internet. Steg 2: Klicka på alternativet Set up a new connection or network. Steg 3:Klicka på Connect to a Workplace, I dialogfönstret Choose a connection option. Klicka på Next. Steg 4: Klicka på Use my Internet connection (VPN), i dialogfönstret How do you want to connect. Klicka på alternativet I ll set up an Internet connection later. Steg 5: Skriv in 10.10.0.1, i fältet för Internet Address, i dialogfönstret Type the Internet address to connect to. Skriv in easec VPN, i fältet för Destination name. Kryssa i boxruta för alternativet Allow other people to use this connection, klicka på Create. Steg 6: I dialogfönstret Network and Sharing, klicka på Change adapter settings. Steg 7: Högerklicka på anslutningen easec.net, välj Properties i dialogrutan som kommer upp. Klicka på fliken Security. Steg 8: Välj Use Extensible Authentication Protocol (EAP), under sektionen Authentication. I listan för Use Extensible Authentication Protocol (EAP), välj Microsoft: Protected EAP (PEAP) (encryption enabled). Klicka därefter på Properties. Steg 9: Plocka bort markeringar I checkrutorna för: Verify the server s identity by validating the certificate och Enable Fast Reconnect. Klicka i boxrutan för Enforce Network Access Protection. Steg 10: Klicka på OK, två gånger. Steg 11: I dialogfönstret Network Connections, högerklicka på anslutningen easec VPN, välj alternativet Connect/Disconnect. Steg 12: I Network listan till höger, klicka på easec VPN, klicka på Connect.

20 Steg 13: I dialogfönstret Network Authentication, skriv in easec\administrator, i fältet för User Name, skriv in Pa$$w0rd i rutan för Password, klicka på OK. Steg 14: När anslutningen är etablerad, sök och starta cmd.exe, skriv in kommandot ipconfig /all, klicka på Enter. Steg 15: Verifiera att för System Quarantine State, är läget Not Restricted. Steg 16: I kommandoprompt, skriv in kommandot ping 192.168.10.10. klicka därefter på Enter. Detta skall bli lyckat, för klienten uppfyller alla krav som finns på nätverket. Steg 17: : I dialogfönstret Network Connections, högerklicka på anslutningen easec VPN, välj alternativet Connect/Disconnect. Steg 18: I Network listan till höger, klicka på easec VPN, klicka på Disconnect. Steg 19: Skifta över till EasecDC2, öppna verktyget förnetwork Policy Server, Steg 20: Expandera Network Access Protection - System Health Validators - Windows Security - Health Validator, klicka därefter på Settings. Steg 21: Dubbelklicka på Default Configuration. Under fliken Windows 8/Windows 7/Windows Vista, klicka i rutan för alternativet Restrict access for clients that do not have all available security updates installed. Klicka på OK. Steg 22: Skifta över till Klient1. Steg 23: I listan over Network, klicka på easec VPN, klicka på Connect. Skifta över till kommandoprompt, skriv in kommandot ipconfig /all, klicka på Enter. Steg 24: För System Quarantine State, skall det nu stå Restricted. Steg 25: Koppla ner din anslutning till easec VPN.