Giới thiệu Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách thiết lập một nhóm bảo mật để có thể sử dụng nhằm mục đích chỉ ra các máy tính nào sẽ được hoạt độ
Trang 1Giới thiệu bổ sung về Network Access Protection - Phần 6
Brien M Posey
Quản trị mạng - Trong phần này chúng tôi sẽ giới thiệu hoàn tất cho
các bạn quá trình cấu hình và minh chứng chức năng hoạt động của Network Access Protection
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách thiết lập một nhóm bảo mật để có thể sử dụng nhằm mục đích chỉ ra các máy tính nào sẽ được hoạt động bằng cách sử dụng Network Access Protection Trong phần này, chúng tôi sẽ kết thúc loạt bài này bằng cách giới thiệu cho các bạn cách nhập một máy tính vào một nhóm bạn đã tạo từ trước và sẽ thực hiện một số bài test để bảo đảm rằng thực thi bảo vệ truy cập từ xa sẽ được kích hoạt Cuối cùng,
chúng tôi sẽ giới thiệu cách kết nối đến VPN từ xa của bạn
Bổ sung thêm các máy tính vào nhóm
Nhiệm vụ tiếp theo mà chúng ta phải thực hiện đó là bổ sung thêm các máy tính khách vào nhóm bảo mật đã tạo trong phần trước của loạt bài này Bắt đầu quá trình bằng việc mở giao diện điều khiển “Active Directory Users and Computers”, sau đó bạn hãy chọn mục có chứa tên miền của mình Lý do tại sao chúng ta cần phải chọn mục này là vì chúng ta đã tạo nhóm bảo mật ở mức miền, đúng hơn là đã đặt nó nằm trong mục Users
Khi bạn chọn mục mức miền, bạn sẽ thấy nhóm NAP Clients được hiển
Trang 2thị trong panel chi tiết Kích đúp vào nhóm này, khi đó Windows sẽ mở trang thuộc tính của nhóm Hãy vào tab Members của trang thuộc tính
và kích nút Add Lúc này, nhập tên của máy tính khách vào phần
không gian trống được cấp Tiếp đến, kích nút Locations và chọn mục Computers và kích OK Khi Windows trả về cho bạn màn hình Select Users, Contacts, Computers hoặc Groups, khi đó hãy kích nút Check Names để thẩm định rằng Windows có thể tìm thấy máy tính khách của bạn thành công Kích OK hai lần để hoàn tất quá trình
Kiểm tra các thiết lập về Group Policy
Bạn đã thêm một máy khách vào nhóm bảo mật đã được tạo từ trước, đây chính là lúc bạn cần phải test máy tính khách để bảo đảm rằng các thiết lập chính sách nhóm có liên quan đến NAP có hiệu lực Trước khi thực hiện điều đó, bạn hãy khởi động lại máy tính, sau đó đăng nhập với đặc quyền quản trị viên
Khi bạn đăng nhập xong, hãy mở cửa sổ nhắc lệnh và nhập vào lệnh sau:
NETSH NAP CLIENT SHOW GROUPPOLICY
Sau khi nhập xong lệnh này, bạn sẽ thấy một loạt các kết quả giống như các kết quả được thể hiện trong hình A bên dưới
Trang 3Hình A: Nhập vào lệnh NETSH NAP CLIENT SHOW GROUPPOLICY tại
cửa sổ nhắc lệnh Như những gì bạn có thể thấy trong hình A ở trên, có một vài kiểu máy khách thực thi khác nhau được xây dựng kèm với Windows Điều này
là vì có một vài cách để có thể triển khai NAP Chúng ta đang sử dụng NAP để điều khiển sự truy cập đối với máy khách VPN nên chỉ có máy khách thực thi mà chúng ta quan tâm mới là Remote Access
Quarantine Enforcement Client Quan sát bên dưới phần Remote
Access Quarantine Enforcement Client và bảo đảm rằng dòng Admin được thiết lập là Enabled như thể hiện trong hình A trên Các máy
khách thực thi khác sẽ bị vô hiệu hóa trong cấu hình này
Với test tiếp theo, bạn hãy nhập vào lệnh sau:
Trang 4NETSH NAP CLIENT SHOW STATE
Như những gì các bạn thấy trong hình B bên dưới, đầu ra của lệnh này
là khá dài Bạn hãy kéo thanh cuộn và tìm đến phần Remote Access Quarantine Enforcement Client Thẩm định rằng Remote Access
Quarantine Enforcement Client đã được khởi tạo
Trang 5Hình B: Thẩm định rằng Remote Access Quarantine Enforcement Client
đã được khởi tạo
Trang 6Nếu cả hai test này đều thành công thì các thiết lập chính sách nhóm
có liên quan đến NAP đang được áp dụng một cách thành công đối với máy khách Nếu bạn nằm trong trường hợp này, hãy đóng cửa sổ nhắc lệnh bằng không bạn cần phải quay trở lại và kiểm tra cấu hình của mình
Tạo một kết nối VPN
Bước cuối cùng trong quá trình cấu hình có liên quan đến việc thiết lập kết nối VPN đến Remote Access Server Quá trình thực hiện điều đó khá đơn giản Trong Windows Vista, mở Control Panel, kích đúp vào biểu tượng Network and Sharing Center Khi cửa sổ Network and
Sharing Center được mở, kích vào liên kết Setup a Connection or
Network trong panel Tasks Ở đây, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình C, hỏi bạn về kiểu kết nối mà bạn muốn tạo là gì
Hình C: Chọn tùy chọn “Connect to Workplace”, tiếp đó kích Next Chọn tùy chọn Connect to a Workplace, kích Next Nếu có các kết nối
mạng hiện hữu sẵn, Windows sẽ hỏi bạn có muốn tạo một kết nối mới
Trang 7nữa không hay muốn sử dụng kết nối đang tồn tại Chọn tùy chọn để
tạo kết nối mới, sau đó kích Next
Màn hình tiếp theo hỏi bạn có muốn sử dụng kết nối Internet hay
không hay muốn tạo một kết nối quay số trực tiếp Chọn tùy chọn Use
My Internet Connection (VPN) Khi đó bạn sẽ được nhắc nhở nhập vào địa chỉ Internet và tên đích đến Nhập địa chỉ IP của máy chủ RRAS hoặc URL của nó vào trường địa chỉ Internet, sau đó nhập vào phần
mô tả kết nối trong trường Destination Name Bạn có thể thấy một ví
dụ về vấn đề này trong hình D Khi đó bạn hãy chọn hộp kiểm Don’t Connect Now
Hình D: Nhập vào địa chỉ IP của máy chủ RRAS và phần mô tả của
máy chủ
mà bạn sẽ kết nối đến Kích Next, bạn sẽ được đưa tới màn hình cho bạn tùy chọn để nhập vào các yêu cầu thẩm định Khi thực hiện nhập các yêu cầu xong, kích nút Create, lúc này một kết nối mới sẽ được tạo, kích Close để đóng hộp thoại còn lại
Đến đây bạn đã tạo được một kết nối VPN, chúng ta cần phải cấu hình
Trang 8một số thiết lập bảo mật Để thực hiện điều đó, hãy kích chuột phải vào kết nối mà bạn đã tạo, sau đó chọn Properties
Khi cửa sổ chứa trang thuộc tính của kết nối được mở, bạn hãy vào tab Security, chọn tùy chọn Advanced Tiếp đến, kích nút Settings
Lúc này Windows sẽ hiển thị hộp kiểm Advanced Security Settings như thể hiện trong hình E bên dưới Chọn tùy chọn Require Encryption
(Disconnect if Server Declines) từ danh sách sổ xuống Data
Encryption Tiếp đến, chọn tùy chọn Use Extensible Authentication Protocol (EAP), sau đó chọn tùy chọn Protected EAP (PEAP)
(Encryption Enabled) từ phần Logon Security
Hình E: Bạn phải cấu hình kết nối để sử dụng PEAP
Ở đây, bạn phải kích nút Properties Khi thực hiện thao tác này,
Windows sẽ hiển thị hộp thoại Protected EAP Properties như thể hiện trong hình F Bảo đảm rằng các hộp kiểm Validate Server Certificate
và Connect to these Servers đều được chọn Bạn cũng cần bảo đảm rằng hộp văn bản bên dưới tùy chọn Connect to These Servers có chứa đúng danh cách các máy chủ
Trang 9Hình F: Phương pháp thẩm định phải được thiết lập là (EAP-MSCHAP
V2)
Phần ở giữa của hộp thoại gồm có danh sách các quyền chứng chỉ khác Với mục đích đơn giản hóa, chúng tôi đã chọn các hộp kiểm bên cạnh mỗi quyền chứng chỉ được liệt kê Ở phần bên dưới của hộp
thoại, bạn nên thiết lập tùy chọn Select Authentication Method là
Secure Password (EAP-MSCHAP v2) và tích vào hộp kiểm Enable
Quarantine Checks
Bước tiếp theo trong quá trình này là kích vào nút Configure, sau đó chọn hộp kiểm Automatically Use My Windows Logon Name and
Password (and Domain if Any) Kích OK bốn lần để đóng các hộp thoại
Trang 10khác
Kiểm tra NAP
Đến đây, chúng ta hoàn toàn sẵn sàng cho việc test NAP Như những
gì đã được giới thiệu trong các phần trước, bạn có thể yêu cầu máy khách có đủ số lượng các tiêu chuẩn về sức khỏe, tuy nhiên với mục đích minh chứng, chúng tôi chỉ yêu cầu một vấn đề ở đây đó là tường lửa Windows được bật trên máy khách Trong trường hợp này, bạn hãy
mở Windows Security Center trên máy khách và tắt bỏ tường lửa
Windows Firewall Khi thực hiện xong thao tác này, bạn nên để lại cửa
sổ màn hình Windows Security Center, như thể hiện trong hình G bên dưới, mục đích như vậy là để bạn có thể thẩm định trạng thái của
Windows Firewall
Hình G: Bảo đảm rằng tường lửa Windows đã được tắt
Lúc này, mở Control Panel và kích đúp vào biểu tượng Network and Sharing Center Khi mục Network and Sharing Center được mở, hãy kích vào liên kết Connect to a Network, kích kết nối VPN mà bạn đã
Trang 11tạo từ trước, sau đó kích nút Connect Khi được nhắc nhở, bạn hãy nhập các yêu cầu thẩm định và kích nút Connect Khi Windows đăng
ký máy tính của bạn trên mạng, Windows Firewall sẽ tự động được bật lên, xem thể hiện trong hình H
Hình H: NAP sẽ kích hoạt tự động Windows Firewall khi kết nối VPN
được thiết lập
Kết luận
Như những gì các bạn đã thấy trong phần 9 này, việc cấu hình Remote Access Server để sử dụng Network Access Protection là một quá trình khá phức tạp Mặc dù vậy, nó thực sự xứng đáng với những cố gắng của bạn, vì việc cấu hình này có thể giúp bạn bảo đảm an ninh cho mạng của mình tốt hơn
