1. Trang chủ
  2. » Công Nghệ Thông Tin

Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008 doc

23 470 1
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 23
Dung lượng 745,31 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉ trạng thái tốt để cho phép nó có thể kết n

Trang 1

Network Access Protection (NAP) là một tính năng

truy cập mạng mới trong Windows Server 2008

Trang 2

Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008 NAP cho phép bạn điều khiển được máy tính nào có thể tham gia vào mạng Khả năng tham gia vào mạng được xác định bởi máy khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách của NAP của bạn hay không

NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp trong việc cấu hình Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn muốn kích hoạt Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉ trạng thái tốt để cho phép nó có thể kết nối với mạng hay không

Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành DHCP NAP đơn giản Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ DHCP sẽ trở thành máy chủ truy cập mạng Điều này có nghĩa rằng nó sẽ chịu trách nhiệm là máy chủ DHCP để cung cấp cho các máy khách NAP các thông tin tương xứng với mức thi hành của chúng Nếu máy khách NAP có đầy đủ tiêu chuẩn, nó sẽ nhận các thông tin định địa chỉ IP để cho phép kết nối với máy tính khác trong mạng Trong trường hợp nếu máy khách NAP không có đủ tiêu chuẩn với chính sách sức khỏe mạng của bạn thì máy khách

Trang 3

NAP sẽ được gán các thông tin định địa chỉ IP để hạn khả năng kết nối của máy tính này Điển hình, chính sách NAP của bạn cho phép các máy tính không có đủ tiêu chuẩn sẽ kết nối với các domain controller và máy chủ cơ sở

hạ tầng mạng, cũng như các máy sẽ cho phép các máy tính không đủ tiêu chuẩn điều đình lại và như vậy sẽ trở thành đủ tiêu chuẩn

Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu Nếu máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần đến một máy chủ RADIUS để chứa các chính sách NAP Có một số chính sách được lưu trong máy chủ RADIUS tương thích NAP, chẳng hạn như chính sách sức khỏe, chính sách mạng, chính sách yêu cầu kết nối Trong Windows Server 2008, Network Policy Server (NPS) được sử dụng như một máy chủ RADIUS để chứa các chính sách NAP Máy chủ NPS sẽ làm việc với máy chủ DHCP và khai báo máy chủ DHCP của bạn xem máy khách có

đủ tiêu chuẩn NAP với các chính sách của bạn hay không

Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security Health Validator (SHV) trên máy chủ NPS Mặc định, Windows Server 2008 sẽ cung cấp cho bạn bộ Security Health Validator của Windows để bạn có thể sử dụng nhằm thiết lập chính sách sức khỏe cho mạng của mình

Trang 4

Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAP Agent và máy khách thi hành NAP NAP Agent sẽ thu thập các thông tin về trạng thái bảo mật của máy khách NAP, còn NAP Enforcement Agent được

sử dụng để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành NAP mà bạn chọn Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ kích hoạt NAP Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản Nó gồm có ba máy:

 Windows Server 2008 Domain Controller Không có dịch vụ nào khác được cài đặt trên máy chủ này Địa chỉ IP được gán cho máy tính tính

là 10.0.0.2, máy tính này là một domain controller trong miền

msfirewall.org

Thành viên Windows Server 2008 trong miền msfirewall.org Địa chỉ

IP của máy tính này là 10.0.0.3 Máy tính này sẽ được cài đặt các dịch

vụ DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt loạt bài này

Máy khách Windows Vista là một thành viên của msfirewall.org

 Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:

 Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách

Trang 5

 Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên

 Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP

 Xem lại chính sách yêu cầu kết nối

 Xem lại các chính sách mạng

 Xem lại các chính sách sức khỏe

 Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực thi NAP

 Cấu hình các thiết lập NAP trong Group Policy

 Nhập máy tính Vista vào nhóm các máy tính thực thi NAP

 Kiểm tra giải pháp

Tạo nhóm bảo mật cho các máy khách NAP

Thứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máy

tính có sử dụng chính sách NAP Mở giao diện điều khiển Active Directory

Users and Computers, sau đó kích chuột phải vào nút Users Trỏ tới New

và kích Group

Trang 6

Hình 1

Trong hộp thoại New Object – Group, bạn hãy nhập NAP Enforced

Computers trong hộp nhập liệu Group Name Chọn tùy chọn Global từ

danh sách Group scope và chọn tùy chọn Security từ danh sách Group

type Kích OK

Trang 7

Hình 2

Cài đặt NPS và DHCP trên máy chủ NPS

Máy tính NPS sẽ duy trì các role Network Policy Server và DHCP server Lưu ý rằng, bạn có thể thiết lập máy chủ DHCP trên máy tính khác thay cho máy chủ NPS sẽ cấu hình các chính sách NAP, nhưng bạn sẽ vẫn cần phải cấu hình máy chủ DHCP “remote” đó như máy chủ DHCP và máy chủ NPS,

và sau đó cấu hình máy chủ NPS để gửi các yêu cầu thẩm định đến máy chủ NAP Để bảo đảm mọi thứ được dễ dàng hơn, chúng ta chỉ cần thiết lập máy chủ NPS và DHCP trên cùng một máy

Trang 8

Trong giao diện Server Manager, kích nút Roles, sau đó kích vào liên kết

Add Roles, xem những gì thể hiện trong hình bên dưới

Hình 3

Kích Next trong trang Before You Begin

Trang 9

Hình 4

Trong trang, hãy tích vào các hộp kiểm trong DHCP Server and Network

Policy and Access Services Kích Next

Trang 10

Hình 5

Đọc các thông tin trong trang Network Policy and Access Services, sau đó kích Next

Trang 11

Hình 6

Chúng ta không cần tất cả các dịch vụ role được cung cấp bởi Network

Policy and Access Services role mà chỉ cần đến role RADIUS (Network

Policy Server) Hãy tích vào hộp kiểm Network Policy Server Không chọn bất cứ tùy chọn nào khác, sau đó kích Next

Trang 12

Hình 7

Đọc các thông tin trong trang DHCP Server và kích Next

Trang 13

Hình 8

Server Manager sẽ làm chọn bạn cảm thấy dễ dàng hơn so với các trình

quản lý trước đây, nó cho phép bạn cấu hình máy chủ DHCP trong suốt quá

trình cài đặt Trong trang Select Network Connection Bindings, chọn địa

chỉ IP mà bạn muốn máy chủ DHCP kiểm tra Sự lựa chọn mà bạn thực hiện

ở đây phụ thuộc vào độ phức tạp của môi trường DHCP vì bạn có thể cấu hình một trong nhiều chuyển tiếp DHCP trong tổ chức, và như vậy sẽ có nhiều địa chỉ IP được gán cho một máy chủ DHCP Tuy nhiên điều đó không

Trang 14

nằm trong kịch bản này vì chúng ta chỉ có một địa chỉ IP gán cho máy tính

này Hãy tích vào hộp kiểm trong hộp địa chỉ IP, sau đó kích Next

Hình 9

Trong trang Specify IPv4 DNS Server Settings, bạn có thể thay đổi cấu hình một số tùy chọn DHCP Nhập tên miền vào hộp văn bản Parent Domain và nhập vào địa chỉ IP của máy chủ DNS trong hộp văn bản Preferred DNS

Server IPv4 Address Trong ví dụ này, tên miền của chúng ta là

msfirewall.org vì vậy chúng ta sẽ nhập vào tên miền đó Địa chỉ IP của máy

Trang 15

chủ DNS là 10.0.0.2, do đó chúng ta sẽ nhập địa chỉ IP này Do chúng ta không có máy chủ DNS luôn phiên trong ví dụ này nên hãy kích Next

Hình 10

Chúng ta không có máy chủ WINS trong mạng ví dụ này nên sẽ không nhập

vào bất cứ thứ gì trong trang Specify IPv4 WINS Server Settings Chỉ chọn tùy chọn WINS is not required for applications on this network và kích

Next

Trang 16

Hình 11

Trong trang Add or Edit DHCP Scopes, kích nút Add Trong hộp thoại Add

Scope, hãy nhập vào Scope Name, Starting IP Address, Ending IP

Address, Subnet Mask, Default Gateway, và chọn khoảng thời gian phóng

thích Hình bên dưới thể hiện các entry của chúng ta cho các tùy chọn trong

mạng ví dụ này Kích OK trong hộp thoại Add Scope

Trang 17

Hình 12

Kích Next trong hộp thoại Add or Edit DHCP Scopes

Trang 18

Hình 13

Chúng ta sẽ không sử dụng IPv6 trong mạng ví dụ này, chính vì vậy hãy chọn

tùy chọn Disable DHCPv6 stateless mode for this server và kích Next

Trang 19

Hình 14

Để hoạt động trong miền của chúng ta, máy chủ DHCP này cần được thẩm

định trong Active Directory Chọn tùy chọn Use current credentials nếu bạn

đăng nhập với tư cách là quản trị viên miền Nếu không, hãy chọn tùy chọn

Use alternate credentials và kích Specify Trong ví dụ này, chúng tôi đã

đăng nhập với tư cách một quản trị viên miền và vì vậy sẽ chọn tùy chọn Use

current credentials và tiếp đến kích Next

Trang 20

Hình 15

Xem lại các thiết lập của bạn trong trang Confirm Installation Selections và kích Install

Trang 21

Hình 16

Kích Close trong trang Installation Results sau khi bạn đã thấy quá trình cài

đặt các máy chủ NPS và DHCP đã được thực hiện thành công

Trang 22

Hình 17

Kết luận

Trong phần một của loạt bài sử dụng sự thi hành của NAP DHCP này, chúng tôi đã giới thiệu cho các bạn một số các khái niệm NAP cơ bản Sau đó đã hướng dấn tạo một nhóm bảo mật cho các máy khách NAP và kết thúc bằng việc cài đặt các thành phần máy chủ NPS và DHCP trong giải pháp Trong phần thứ hai của loạt bài này, chúng tôi sẽ sử dụng NAP wizard để tạo một chính sách thực thi NAP DHCP, sau đó giới thiệu sâu hơn về các thiết lập được tạo bởi wizard

Ngày đăng: 28/06/2014, 07:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w