Windows Server 2008 네트워크 정책 (NAP) 구성 방법
DHCP를 이용하여 IP를 제공하는 경우 허가 받은 사용자만이 네트워크를 사용 할 수 있게 구성하는 방법 입니다.
1. DHCP 서버 구성
사용자에게 제공될 IP Scope를 만들어 구성 합니다.
역할에서 DHCP를 추가 합니다.
DHCP 서버에 서비스에 대한 권한을 부여 합니다.
DHCP에 IP를 제공할 범위를 만듭니다.
2. 네트워크 정책 설치
역할에서 네트워크 정책 서버를 설치 합니다.
NAP DHCP 구성은 아래 메뉴 중 네트워크 정책 서버 만 체크 하시면 됩니다.
여기서는 상태 등록 기간을 두어 향후 NAP 인증서 기반 테스트를 위해 미리 추가하였습니다.
Nps.msc 또는 시작 – 관리 도구 – 네트워크 정책 서버로 관리 명령어를 실행 합니다.
3. 네트워크 정책 서버의 DHCP 역할 지정
네트워크 정책 서버에서 클라이언트가 DHCP로 요청이 왔을 경우 해당 정책을 적용 할 수 있게 설정 하는 것 입니다.
네트워크 정책 및 액세스 – NPS (로컬) – NAP 구성
기존 RADIUS 정책을 구성한 경우 자동으로 올라오네요.
Windows Server 2008은 DHCP의 Scope 속성에 네트워크 액세스 보호 메뉴에서 설정하시면 됩니다.
여기서는 별도로 지정하지 않고 DHCP 서버에서 해당 Scope를 지정하겠습니다.
특정 컴퓨터 그룹에게만 적용하고자 한다면 해당 AD에 컴퓨터 그룹을 만들어 컴퓨터 계정을 등록하여 지정 하시면 됩니다.
역시 여기서도 Default로 모든 컴퓨터로 지정 하겠습니다.
WSUS 이나 기타 업데이트 서버를 가지고 있는 경우 해당 업데이트 서버를 지정하시면 됩니다.
Windows 보안 상태 검사기 : 기업에서 설정한 정책을 확인 합니다.
클라이언트 컴퓨터의 자동 업데이트 관리 사용 : 업데이트 메뉴를 자동으로 변경하여 자동 업데이트 구성을 하게 합니다.
NAP 부적격 클라이언트 컴퓨터에 대한 네트워크 액세스 제한 사항:
NAP 부적격 클라이언트는 서브넷을 255.255.255.255와 Default Gateway를 제공하지 않아 외부 네트워크와의 단절 시킵니다.
4. 보안 상태 구성
기업의 보안 정책을 만들고 해당 정책을 위배하였을 경우 위에 구성된 환경을 적용하여 해당 컴퓨터는 네트워크에 분리 하고자 하는 것입니다.
기본적인 규칙들이 자동으로 만들어 졌네요.
이제 기업의 정책을 만들어 보죠.
네트워크 정책 및 액세스 – 네트워크 액세스 – 시스템 상태 검사기 – 구성
5. 클라이언트에게 NAP 정책 배포
클라이언트에게 그룹정책 혹은 직접적으로 보안 설정을 해 주어 NAP 정책이 적용 될 수 있게 구성합니다.
AD에 NAP Client Computer 보안 그룹을 만들고 정책 적용 컴퓨터를 지정하여 필터 설정하기
위의 방법은 수동으로 각 컴퓨터에서도 구성이 가능합니다.
Vista 컴퓨터에서 MMC 명령어로 NAP Client Configuration 메뉴를 이용하시어 구성 가능 합니다.
아래 사이트에서는 클라이언트의 NAP 레지스트리로 작업그룹 환경에서의 NAP 적용시 배포 가능한 방법을 안내하고 있습니다.
편리하게 Script를 이용하여 NAP 클라이언트 설정
http://blogs.technet.com/koalra/archive/2007/09/05/script-nap.aspx
6. DHCP NAP 테스트
VISTA 및 XP DHCP 클라이언트를 이용하여 실제 구성적용 테스트를 합니다.
XP 나 Vista의 경우 모두 보안 상태 검사기에 위배 되었을 경우 아래와 같이 IP를 받지만 Subnet Mask 값이 255.255.255.255 임을 알 수 있습니다.
또한 Default Gateway를 주지 못하기 때문에 외부 네트워크가 되지 않음을 확인 하였습니다.
보안 상태 검사기의 조건을 모두 만족하였을 경우
이제서야 NAP DHCP 구성이 완료 되었네요.
댓글