Giới thiệu về Network Access Protection Phần 7 Nguồn : quantrimang.com Trong phần 6 chúng tôi đã giới thiệu cho các bạn cách thiết lập một kết nối VPN trên máy khách Windows Vista.. Hình
Trang 1Giới thiệu về Network Access Protection (Phần 7)
Nguồn : quantrimang.com
Trong phần 6 chúng tôi đã giới thiệu cho các bạn cách thiết lập một kết nối VPN trên máy khách Windows Vista Phần 7 này sẽ tiếp tục giới thiệu cách hoàn tất quá trình cấu hình máy khách
Bắt đầu quá trình cấu hình bằng việc mở Control Panel, kích vào liên kết
Network and Internet, sau đó là Network and Sharing Center Khi cửa sổ Network and Sharing Center được mở, kích chuột vào liên kết Manage
Network Connections Khi đó một cửa sổ hiển thị tất cả các kết nối mạng sẽ
được hiển thị và cả kết nối VPN mà bạn đã tạo ở phần trước
Kích chuột phải vào kết nối VPN sau đó chọn Properties từ menu chuột phải Windows sẽ hiển thị cửa sổ thuộc tính của kết nối, vào tab Security và chọn Advanced (Custom Settings) như hình A
Hình A: Bạn phải cấu hình kết nối với tùy chọn bảo mật Advanced (Custom
Trang 2Settings)
Bây giờ bạn kích nút Settings để xuất hiện hộp thoại Advanced Security
Settings Khi đã thiết lập kết nối VPN có sử dụng Extensible Authentication
Protocol (Giao thức thẩm định mở rộng) thì bạn phải chọn Use Extensible
Authentication Protocol (EAP) Sau khi thực hiện việc chọn đó, một danh sách
sẽ được kích hoạt dưới nút chọn này Bạn chọn tùy chọn Protected EAP
(PEAP) (Encryption Enabled) như hình B
Hình B: Bạn phải chọn tùy chọn bảo mật Protection EAP (PEAP)
(Encryption Enabled) cho VPN
Bây giờ, kích chuột vào nút Properties để xuất hiện hộp thoại Protected EAP Properties Khi hộp thoại này xuất hiện, bạn đánh dấu vào hộp kiểm Validate Server Certificate và bỏ chọn trong hộp kiểm Connect to these Servers Bạn phải chọn tùy chọn Secured Password (EAP-MSCHAP V2) trong danh sách Select Authentication Method Cuối cùng là bỏ chọn trong hộp kiểm Enable Fast Reconnect và đánh dấu vào hộp kiểm Enable Quarantine Checks như
trong hình C
Trang 3Hình C: Cửa sổ Protected EAP Properties cho phép thiết lập các tham số
thẩm định quyền dựa trên Extensible Authentication Protocol
Tới đây, bạn chỉ cần kích OK mỗi khi có một hộp thoại xuất hiện để đóng chúng
lại Bây giờ phải cấu hình kết nối VPN thỏa mãn các yêu cầu cần thiết Để Network Access Protection làm việc, các yêu cầu cần thiết của dịch vụ Network Access Protection cần phải được thiết lập để bắt đầu một cách tự động Mặc định, Windows Vista thiết lập dịch vụ này bắt đầu một cách thủ công, vì vậy bạn phải thay đổi chúng thành tự động
Để thực hiện điều đó, bạn phải vào Control Panel, chọn vào System and
Maintenance, sau đó là Administrative Tools Khi đó Windows sẽ hiển thị một danh sách các công cụ quản trị khác nhau Kích đúp vào biểu tượng Services
để mở Service Control Manager
Trang 4Kéo thanh trược trong phần danh sách dịch vụ cho đến khi thấy phần Network Access Protection Agent Kích đúp vào dịch vụ này sau đó thiết lập kiểu
Automatic và OK Hãy lưu ý rằng thiết lập kiểu khởi động của dịch vụ là tự động
(Automatic) không khởi động dịch vụ ngay lập tức mà nó chỉ bảo đảm rằng dịch
vụ sẽ tự động chạy khi chúng ta khởi động lại máy lần tiếp theo Tuy vậy bạn có thể khởi động dịch vụ mà không cần khởi động lại máy bằng cách kích chuột
phải vào dịch vụ và chọn Start Nếu gặp phải vấn đề gì khi khởi động dịch vụ thì bạn hãy kiểm tra để bảo đảm rằng cả hai dịch vụ Remote Procedure Call (RPC)
và DCOM Server Process Launcher đều đã hoạt động Dịch vụ Network
Access Protection Agent có thể không hoạt động khi có các dịch vụ đi kèm nằm dưới
Kiểm tra Network Access Protection
Dù tin tưởng hay không thì cuối cùng chúng ta cũng đã kết thúc việc cấu hình Network Access Protection Bây giờ hãy thực hiện các bài kiểm tra đơn giản để bảo đảm rằng mọi thứ đang hoạt động như đã định
Chúng ta có thể cấu hình lại máy chủ chính sách mạng để các máy tính không hợp lệ tự động bị cách ly và cũng có thể cấu hình máy chủ chính sách mạng chỉ cho các tiêu chuẩn mà nó kiểm tra xem tường lửa của Windows có được kích hoạt hay không Trong trường hợp đó, bạn nên vô hiệu hóa tường lửa trên máy khách, sau đó kết nối đến máy chủ chính sách mạng đang sử dụng kết nối VPN
mà bạn đã tạo Bằng cách làm như vậy, tường lửa của máy khách sẽ tự động được kích hoạt
Chúng ta hãy bắt đầu việc vô hiệu hóa tường lửa trên máy khách Để thực hiện
điều đó, bạn cần phải mở Control Panel và kích vào Security > Windows
Firewall để mở hộp thoại Windows Firewall Giả sử rằng tường lửa Windows đang chạy, kích vào liên kết Turn Windows Firewall On or Off Khi đó bạn sẽ
thấy một hộp thoại xuất hiện cho phép bật hoặc tắt tường lửa như trong hình D Tường lửa lúc này đã bị vô hiệu hóa
Trang 5Hình D: Chọn Off (Not Recommended) để vô hiệu hóa tường lửa
Giờ thì đã tắt tường lửa Windows, và đây cũng là thời điểm thiết lập một kết nối VPN cho máy chủ RRAS / NAP Để thực hiện điều đó, bạn mở Control Panel và
kích Network and Internet, sau đó là Network and Sharing Center Khi cửa sổ Network and Sharing Center được mở, kích vào Manage Network
Connections Khi đó bạn sẽ thấy một danh sách các kết nối LAN của máy trạm
và kết nối VPN đang tồn tại
Kích đúp vào kết nối VPN mà bạn đã tạo, sau đó kích Connect Lúc này bạn sẽ phải nhập vào tên người dùng, mật khẩu và tên miền Kích OK sau khi đã nhập
xong các thông tin này, khi đó một kết nối sẽ được thiết lập cho máy chủ VPN / NAP của bạn
Ngay sau khi kết nối được thiết lập, bạn sẽ thấy một thông báo xuất hiện ở phía dưới màn hình hiển thị thông báo:
This Computer Does Not Meet Corporate Network Requirements Network Access is Limited
Trang 6(Máy tính này không có các yêu cầu cần thiết của mạng Truy cập mạng bị giới hạn.)
Bạn có thể thấy thông báo này như trong hình E
Hình E: Khi tường lửa bị vô hiệu hóa, bạn sẽ nhận được một
thông báo bằng việc thành lập một kết nối VPN
Nếu biểu tượng Windows Firewall chỉ thị rằng tường lửa đã được kích hoạt Khi điều này xảy ra, bạn sẽ thấy một cửa sổ khác xuất hiện hiển thị thông báo:
This Computer Meets Corporate Network Requirements You Have Full Network Access
(Máy tính này có đủ các yêu cầu cần thiết của mạng Bạn có toàn quyền truy cập.)
Bạn có thể thấy thông báo này trong hình F
Hình F: Khi máy chủ NAP kích hoạt tường lửa thì thông báo này sẽ được hiển thị Thông báo thể hiện trong hình F cũng được hiển thị khi máy tính có các yêu cầu cần thiết kết nối đến máy chủ NAP thông qua kết nối VPN
Kết luận
Trong bài viết này, chúng tôi đã giới thiệu cách cấu hình máy chủ NAP để bảo đảm rằng các máy khách VPN có được yêu cầu cần thiết về bảo mật mạng Hãy lưu ý thời điểm mà chúng tôi viết bài này là Longhorn Server vẫn trong giai đoạn thử nghiệm như vậy, một số bước liên quan trong quá trình có thể thay đổi khi bản Longhorn Server chính thức được phát hành Tuy nhiên sẽ không có thay đổi lớn và bạn nên nhớ rằng NAP sẽ chỉ kiểm tra các máy trạm đang sử dụng hệ điều hành Windows Vista
