IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máy khách và cách các chứng chỉ bảo mật được gán,
Trang 1IPsec Server và Domain Isolation bằng Windows
Server 2008 Group Policy
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máy
khách và cách các chứng chỉ bảo mật được gán, được gỡ bỏ tự động cũng như cách các máy khách được kết nối hoặc hủy kết nối với mạng như thế nào.Trong phần 3 của loạt bài gồm 4 phần về cấu hình NAP bằng thực thi
chính sách Ipsec, chúng ta đã cấu hình chính sách NAP Ipsec và sau đó đã cấu hình các máy khách cho việc test thử Trong phần cuối cùng này, chúng
ta sẽ tiến hành test các máy khách và nghiên cứu cách các chứng chỉ bảo mật được gán hay được gỡ bỏ một cách tự động cũng như nghiên cứu cách máy khách được kết nối và hủy kết nối với mạng như thế nào
Chúng ta sẽ tập trung vào 2 nhiệm vụ chính sau:
Test Health Certificate và Auto-remediation configuration
Thẩm định sự thực thi chính sách NAP trên VISTASP1
Test Health Certificate và Auto-remediation Configuration
Trong phần này chúng ta sẽ thực hiện các nhiệm vụ dưới đây:
Trang 2 Xác nhận rằng cả hai VISTASP1 và VISTASP1-2 đều có các chứng chỉ sức khỏe (Health Certificate)
Nhập VISTASP1-2 vào Domain
Thẩm định Auto-remediation trên VISTASP1
Xác nhận cả VISTASP1 và VISTASP1-2 đều có Health Certificate
Sử dụng thủ tục dưới đây để thẩm định sự kết nạp chứng chỉ sức khỏe của
VISTASP1 trong môi trường miền đã được thẩm định và VISTASP1-2 trong
môi trường nhóm làm việc (workgroup)
Thực hiện các bước dưới đây trên cả VISTASP1 và VISTASP1-2:
1 Mở hộp thoại Run và nhập mmc, sau đó nhấn ENTER
2 Trên menu File, kích Add/Remove Snap-in
3 Kích Certificates, kích Add và chọn Computer account, sau đó kích Next
4 Thẩm định rằng Local computer: (the computer this console is
running on) được chọn, kích Finish, và sau đó kích OK
Trang 35 Trong panel bên trái của giao diện điều khiển, kích đúp vào
Certificates (Local Computer), kích đúp Personal, sau đó kích
Certificates
6 Trong panel chi tiết, bên dưới Issued By, thẩm định CA cấp dưới, msfirewall-WIN2008SRV1-CA, được hiển thị Thẩm định rằng
Intended Purposes hiển thị System Health Authentication Vì
VISTASP1-2 chưa được thẩm định đối với miền msfirewall.org, nên tên máy khách sẽ không được hiển thị bên dưới Issued To, và ý nghĩa chứng chỉ của Client Authentication không xuất hiện Thẩm định rằng chứng chỉ trên VISTASP1-2 có Intended Purposes của System
Health Authentication Đây là một chứng chỉ sức khỏe NAP hợp lệ
cho các máy khách trong môi trường nhóm làm việc Một chứng chỉ sức khỏe miền đã được thẩm định tương tự như chứng chỉ đạt được tên
VISTASP1
Trang 4Hình 1
Trang 5Hình 2
7 Đóng giao diện Certificates
Nhập VISTASP1-2 vào miền
Trang 6Sử dụng thủ tục tương tự như bạn đã sử dụng ở trên để nhập VISTASP1 và miền msfirewall.org, nhập VISTASP1-2 vào miền msfirewall.org Đăng
nhập với đặc quyền quản trị viên miền sau khi máy tính khởi động lại
Thẩm định Auto-remediation trên VISTASP1
NAP Ipsec với chính sách mạng HRA Noncompliant chỉ rõ rằng các máy tính không đồng thuận (Noncompliant) sẽ tự động được điều đình lại Thủ tục
dưới đây sẽ thẩm định rằng VISTASP1 được điều đình lại tự động khi
về trạng thái sức khỏe của of VISTASP1 Xem ví dụ bên dưới
Trang 8Hình 4
5 Do Suto-remediation xuất hiện khá nhanh nên bạn có thể không thấy các tin này Để xem lại biểu tượng thông báo NAP, bạn hãy đánh
napstat tại nhắc lệnh, sau đó nhấn ENTER
Thẩm định sự thực thi chính sách NAP trên VISTASP1
Trang 9Chúng ta hãy xem cách thẩm định sự thực thi chính sách NAP đang được sử dụng trên hệ thống khách như thế nào Bắt đầu bằng cách test với
VISTASP1 Để thực hiện bài test, chúng ta thực hiện các thủ tục dưới dây:
Cấu hình Windows SHV ở mức hạn chế hơn bằng cách yêu cầu các máy tính phải cài đặt các phần mềm chống virus Khi chúng ta chưa cài đặt bất kỳ phần mềm chống virus nào trên các máy khách nên các máy khách sẽ không có đủ yêu cầu này
Refresh SoH (tuyên bố sức khỏe) trên VISTAP1 Thao tác này sẽ làm
cho máy khách gửi một Statement of Health mới đến Health
Registration Authority và sẽ báo cáo rằng máy khách không có được sự đồng thuận
Xác nhận rằng chứng chỉ sức khỏe của máy khách được gỡ bỏ Health Certificate được gỡ bỏ vì máy khách không có đủ sự đồng thuận
Khôi phục chính sách sức khỏe về trạng thái ít hạn chế hơn để máy khách có thể đồng thuận Chúng ta sẽ gỡ bỏ yêu cầu phần mềm chống virus để máy khách trở thành đồng thuận trở lại
Refresh SoH trên VISTASP1 sẽ hiển thị máy tính hiện đã đồng thuận
với chính sách mới
Trang 10 Xác nhận rằng chứng chỉ sức khỏe máy khách được khôi phục
Cấu hình WSHV để yêu cầu ứng dụng chống virus
Trước hết, cấu hình chính sách NAP để yêu cầu ứng dụng chống virus, làm cho CLIENT1 trở nên không đồng thuận
Thực hiện theo các bước dưới đây trên WIN2008SRV1:
1 Trên WIN2008SRV1, kích Start, kích Run, đánh nps.msc và nhấn
ENTER
2 Trong panel bên trái của giao diện điều khiển, mở Network Access Protection, sau đó kích System Health Validators
Trang 11Hình 5
3 Trong panel chi tiết, kích đúp vào Windows Security Health Validator, sau đó kích Configure
Trang 12Hình 6
4 Trong hộp thoại Windows Security Health Validator, bên dưới Virus Protection, chọn hộp kiểm bên cạnh An antivirus application is on
Trang 13Hình 7
5 Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows
Security Health Validator Properties
6 Để mở giao diện NPS cho các thủ tục sau
Refresh SoH trên VISTASP1
Vì các chính sách sức khỏe đã được thay đổi sau khi VISTASP1 nhận một
chứng chỉ sức khỏe nên chúng ta cần phải kích hoạt việc gửi đi một tuyên bố
sức khỏe (SoH) mới từ VISTASP1 để đánh giá với các chính sách sức khỏe
Trang 14hạn chế hơn Vấn đề này sẽ xuất hiện khi chứng chỉ sức khỏe trên
VISTASP1 hết hạn, hoặc khi một sự thay đổi trong trạng thái sức khỏe của
máy khách bị xóa Chúng ta có thể tạo một thay đổi trong trạng thái sức khỏe bằng cách tắt Windows Firewall
Thực hiện các bước dưới đây trên VISTASP1:
1 Trên VISTASP1, kích Start, sau đó kích Control Panel
2 Kích Security, kích Windows Firewall, sau đó kích Change settings
3 Trong hộp thoại Windows Firewall Settings, kích Off (not
recommended), sau đó kích OK
Trang 15Hình 8
Trang 164 Windows Firewall được bật trở lại tự động vì auto-remediation được kích hoạt Mặc dù vậy, do các chính sách NAP hiện yêu cầu ứng dụng
chống virus nên VISTASP1 sẽ xuất hiện trong trạng thái không đồng
thuận và sẽ không thể đạt được chứng chỉ sức khỏe
2 Trên menu File, kích Add/Remote Snap-in
3 Kích Certificates, kích Add, chọn Computer account, sau đó kích Next
4 Thẩm định rằng Local computer: (the computer this console is
running on) được chọn, kích Finish, sau đó kích OK
5 Trong cây giao diện, mở Certificates (Local Computer)\Personal
6 Thẩm định rằng không có chứng chỉ sức khỏe nào được hiện diện
Trang 17Hình 9
7 Để giao diện Certificates mở để thực hiện các thủ tục sau
Gỡ bỏ yêu cầu sức khỏe chống virus để VISTASP1 trở thành đồng thuận
Thay đổi các chính sách NAP để VISTASP1 trở thành đồng thuận
1 Trên WIN2008SRV1, trong panel trái của giao diện NAP, mở
Network Access Protection, sau đó kích System Health Validators
Trang 182 Kích đúp vào Windows Security Health Validator và kích
Configure
3 Trong hộp thoại Windows Security Health Validator, bên dưới Virus Protection, xóa hộp kiểm bên cạnh An antivirus application is on
Hình 10
4 Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows
Security Health Validator Properties
5 Đóng giao diện NPS
Trang 19Refresh SoH trên VISTASP1
Thực hiện thủ tục trước để refresh SoH trên VISTASP1 bằng cách tắt
Windows Firewall Một SoH mới sẽ được kích hoạt và Windows Firewall sẽ
được bật Vì VISTASP1 lúc này đồng thuận với các chính sách NAP nên nó
sẽ được dự trữ sẵn một chứng chỉ sức khỏe
Xem các chứng chỉ máy tính trên VISTASP1 để thẩm định rằng chứng chỉ
sức khỏe đã được khôi phục
1 Trên VISTASP1, trong giao diện điều khiển , cây giao diện, kích Personal
2 Kích chuột phải vào panel chi tiết và sau đó kích Refresh Thẩm định
rằng chứng chỉ sức khỏe đã hiện diện
Trang 21trong bài, có nhiều thành phần trong giải pháp và mỗi một thành phần đó phải được cấu hình đúng cách để giải pháp làm việc Nhiều quản trị viên Windows
lo ngại về sự phức tạp của NAP với sự thực thi chính sách Ipsec và do đó đã không áp dụng công nghệ bảo mật hiệu quả và mạnh này Trước khi thực hiện thử nghiệm các bạn hãy tạo một bản sao minh chứng của mình trong phòng thứ nghiệm trước khi thực hiện thực thi này tên mạng sản xuất