Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉ trạng thái tốt để cho phép nó có thể kết n
Trang 1Thomas Shinder
Quản trị mạng - Network Access Protection (NAP) là một tính năng truy cập
mạng mới trong Windows Server 2008 NAP cho phép bạn điều khiển được máy tính nào có thể tham gia vào mạng Khả năng tham gia vào mạng được xác định bởi máy khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách của NAP của bạn hay không
NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp trong việc cấu hình Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn muốn kích hoạt Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉ trạng thái tốt để cho phép nó có thể kết nối với mạng hay không
Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành DHCP NAP đơn giản Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ DHCP sẽ trở thành máy chủ truy cập mạng Điều này có nghĩa rằng nó sẽ chịu trách nhiệm là máy chủ DHCP để cung cấp cho các máy khách NAP các thông tin tương xứng với mức thi hành của chúng Nếu máy khách NAP có đầy đủ tiêu chuẩn, nó sẽ nhận các thông tin định địa chỉ IP để cho phép kết nối với máy tính khác trong mạng Trong trường hợp nếu máy khách NAP không có đủ tiêu chuẩn với chính sách sức khỏe mạng của bạn thì máy khách NAP sẽ được gán các thông tin định địa chỉ IP để hạn khả năng kết nối của máy tính này Điển hình, chính sách NAP của bạn cho phép các máy tính không có đủ tiêu chuẩn sẽ kết nối với các domain controller và máy chủ cơ sở hạ tầng mạng, cũng như các máy sẽ cho phép các máy tính không đủ tiêu chuẩn điều đình lại và như vậy sẽ trở thành đủ tiêu chuẩn
Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu Nếu máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần đến một máy chủ RADIUS để chứa các chính sách NAP Có một số chính sách được lưu trong máy chủ RADIUS tương thích NAP, chẳng hạn như chính sách sức khỏe, chính sách mạng, chính sách yêu cầu kết nối Trong Windows Server 2008, Network Policy Server (NPS) được sử dụng như một máy chủ RADIUS để chứa các chính sách NAP Máy chủ NPS sẽ làm việc với máy chủ DHCP và khai báo máy chủ DHCP của bạn xem máy khách có đủ tiêu chuẩn NAP với các chính sách của bạn hay không
Trang 2cho bạn bộ Security Health Validator của Windows để bạn có thể sử dụng nhằm thiết lập chính sách sức khỏe cho mạng của mình
Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAP
Agent và máy khách thi hành NAP NAP Agent sẽ thu thập các thông tin về trạng thái bảo mật của máy khách NAP, còn NAP Enforcement Agent được sử dụng
để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành NAP mà bạn chọn Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ kích hoạt NAP Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản Nó gồm có ba máy:
• Windows Server 2008 Domain Controller Không có dịch vụ nào khác được cài đặt trên máy chủ này Địa chỉ IP được gán cho máy tính tính là
10.0.0.2, máy tính này là một domain controller trong miền
msfirewall.org
• Thành viên Windows Server 2008 trong miền msfirewall.org Địa chỉ IP của máy tính này là 10.0.0.3 Máy tính này sẽ được cài đặt các dịch vụ
DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt loạt bài này
• Máy khách Windows Vista là một thành viên của msfirewall.org
• Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:
• Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách
• Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên
• Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP
• Xem lại chính sách yêu cầu kết nối
• Xem lại các chính sách mạng
• Xem lại các chính sách sức khỏe
• Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực thi NAP
• Cấu hình các thiết lập NAP trong Group Policy
• Nhập máy tính Vista vào nhóm các máy tính thực thi NAP
• Kiểm tra giải pháp
Tạo nhóm bảo mật cho các máy khách NAP
Thứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máy
tính có sử dụng chính sách NAP Mở giao diện điều khiển Active Directory Users and Computers, sau đó kích chuột phải vào nút Users Trỏ tới New và kích Group
Trang 3Trong hộp thoại New Object – Group, bạn hãy nhập NAP Enforced
Computers trong hộp nhập liệu Group Name Chọn tùy chọn Global từ danh sách Group scope và chọn tùy chọn Security từ danh sách Group type Kích
OK
Trang 4Cài đặt NPS và DHCP trên máy chủ NPS
Máy tính NPS sẽ duy trì các role Network Policy Server và DHCP server Lưu ý rằng, bạn có thể thiết lập máy chủ DHCP trên máy tính khác thay cho máy chủ NPS sẽ cấu hình các chính sách NAP, nhưng bạn sẽ vẫn cần phải cấu hình máy chủ DHCP “remote” đó như máy chủ DHCP và máy chủ NPS, và sau đó cấu hình máy chủ NPS để gửi các yêu cầu thẩm định đến máy chủ NAP Để bảo đảm mọi thứ được dễ dàng hơn, chúng ta chỉ cần thiết lập máy chủ NPS và DHCP trên cùng một máy
Trong giao diện Server Manager, kích nút Roles, sau đó kích vào liên kết Add Roles, xem những gì thể hiện trong hình bên dưới
Trang 5Kích Next trong trang Before You Begin
Trang 6Trong trang, hãy tích vào các hộp kiểm trong DHCP Server and Network Policy and Access Services Kích Next
Trang 7Đọc các thông tin trong trang Network Policy and Access Services, sau đó kích Next
Trang 8Chúng ta không cần tất cả các dịch vụ role được cung cấp bởi Network Policy and Access Services role mà chỉ cần đến role RADIUS (Network Policy
Server) Hãy tích vào hộp kiểm Network Policy Server Không chọn bất cứ tùy chọn nào khác, sau đó kích Next
Trang 9Đọc các thông tin trong trang DHCP Server và kích Next
Trang 10Server Manager sẽ làm chọn bạn cảm thấy dễ dàng hơn so với các trình quản lý
trước đây, nó cho phép bạn cấu hình máy chủ DHCP trong suốt quá trình cài
đặt Trong trang Select Network Connection Bindings, chọn địa chỉ IP mà bạn
muốn máy chủ DHCP kiểm tra Sự lựa chọn mà bạn thực hiện ở đây phụ thuộc vào độ phức tạp của môi trường DHCP vì bạn có thể cấu hình một trong nhiều chuyển tiếp DHCP trong tổ chức, và như vậy sẽ có nhiều địa chỉ IP được gán cho một máy chủ DHCP Tuy nhiên điều đó không nằm trong kịch bản này vì chúng ta chỉ có một địa chỉ IP gán cho máy tính này Hãy tích vào hộp kiểm trong
hộp địa chỉ IP, sau đó kích Next
Trang 11Trong trang Specify IPv4 DNS Server Settings, bạn có thể thay đổi cấu hình một số tùy chọn DHCP Nhập tên miền vào hộp văn bản Parent Domain và nhập vào địa chỉ IP của máy chủ DNS trong hộp văn bản Preferred DNS Server IPv4 Address Trong ví dụ này, tên miền của chúng ta là msfirewall.org vì vậy chúng ta sẽ nhập vào tên miền đó Địa chỉ IP của máy chủ DNS là 10.0.0.2, do
đó chúng ta sẽ nhập địa chỉ IP này Do chúng ta không có máy chủ DNS luôn
phiên trong ví dụ này nên hãy kích Next
Trang 12Chúng ta không có máy chủ WINS trong mạng ví dụ này nên sẽ không nhập vào
bất cứ thứ gì trong trang Specify IPv4 WINS Server Settings Chỉ chọn tùy chọn WINS is not required for applications on this network và kích Next
Trang 13Trong trang Add or Edit DHCP Scopes, kích nút Add Trong hộp thoại Add Scope, hãy nhập vào Scope Name, Starting IP Address, Ending IP Address, Subnet Mask, Default Gateway, và chọn khoảng thời gian phóng thích Hình
bên dưới thể hiện các entry của chúng ta cho các tùy chọn trong mạng ví dụ này
Kích OK trong hộp thoại Add Scope
Trang 14Kích Next trong hộp thoại Add or Edit DHCP Scopes
Trang 15Chúng ta sẽ không sử dụng IPv6 trong mạng ví dụ này, chính vì vậy hãy chọn
tùy chọn Disable DHCPv6 stateless mode for this server và kích Next
Trang 16Để hoạt động trong miền của chúng ta, máy chủ DHCP này cần được thẩm định
trong Active Directory Chọn tùy chọn Use current credentials nếu bạn đăng nhập với tư cách là quản trị viên miền Nếu không, hãy chọn tùy chọn Use
alternate credentials và kích Specify Trong ví dụ này, chúng tôi đã đăng nhập với tư cách một quản trị viên miền và vì vậy sẽ chọn tùy chọn Use current credentials và tiếp đến kích Next
Trang 17Xem lại các thiết lập của bạn trong trang Confirm Installation Selections và kích Install
Trang 18Kích Close trong trang Installation Results sau khi bạn đã thấy quá trình cài đặt
các máy chủ NPS và DHCP đã được thực hiện thành công
Trang 19Kết luận
Trong phần một của loạt bài sử dụng sự thi hành của NAP DHCP này, chúng tôi
đã giới thiệu cho các bạn một số các khái niệm NAP cơ bản Sau đó đã hướng dấn tạo một nhóm bảo mật cho các máy khách NAP và kết thúc bằng việc cài đặt các thành phần máy chủ NPS và DHCP trong giải pháp Trong phần thứ hai của loạt bài này, chúng tôi sẽ sử dụng NAP wizard để tạo một chính sách thực thi NAP DHCP, sau đó giới thiệu sâu hơn về các thiết lập được tạo bởi wizard
