Network Access Protection là một công nghệ mới có trong Windows Server2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết nối với các máy tính khác trong mạng của mình.
Trang 1Network Access Protection là một công nghệ mới có trong Windows Server
2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết nối với các máy tính khác trong mạng của mình Network Access Protection
(hoặc NAP) cho phép bạn thiết lập các chính sách “sức khỏe” mà các máy tính trong mạng phải có đủ các yếu tố này trước khi được phép truy cập mạng Các máy tính có đầy đủ các yêu cầu cần thiết đối với chính sách truy cập mạng sẽ được phép truy cập vào mạng Còn trong trường hợp khác, máy tính có thể không hoặc bạn có thể cấu hình các chính sách để cho phép máy tính kết nối với máy chủ “điều đình lại” nhằm cho phép máy tính tính đó có thể dàn xếp và cố gắng kết nối trở lại mạng sau khi “sự điều đình” thành công
Có nhiều cách bạn có thể thi hành một chính sách NAP Cách đơn giản nhất là
sử dụng NAP với sự thi hành DHCP Tuy nhiên, phương pháp này cũng là một phương pháp kém an toàn nhất vì người dùng có thể cấu hình một cách thủ công địa chỉ IP trên máy tính và vòng tránh được chính sách thực thi DHCP của NAP Phương pháp an toàn nhất cho sự thi hành NAP chính là IPsec Khi sử dụng thực thi IPsec NAP và đồng thuận với chính sách truy cập NAP thì máy tính sẽ được cấp phát một chứng chỉ sức khỏe để cho phép tạo một kết nối IPsec an toàn với các máy tính khác trên mạng “ảo” NAP Tuy nhiên, NAP với thực thi IPsec lại là một cấu hình phức tạp nhất trong các phương pháp
Bản thân NAP cũng là một công nghệ khá phức tạp với hàng trăm thành phần Khi sử dụng NAP với thực thi IPsec, bạn sẽ thấy có nhiều phần và việc khắc phục sự cố trở nên đơn giản hơn rất nhiều Cũng có một sự phụ thuộc đối với Group Policy, điều đó làm tăng sự phức tạp của giải pháp, nguyên nhân gây ra điều đó là bạn thường cần phải khắc phục các vấn đề với Group Policy khi triển khai NAP
Tất cả các khó khăn và thách thức ở trên không khiến chúng ta nản chí mà ý chúng tôi muốn nhấn mạnh ở đây là khi thực hiện triển khai này bạn phải biết về các thiết lập phức tạp và cấu hình của nó, để từ đó kiên nhẫn và test thật cẩn thận trong quá trình triển khai Càng dành nhiều thời gian để test và tìm hiểu cách làm việc của giải pháp thì bạn sẽ càng thành công trong quá trình triển khai của mình
NAP với sự thực thi chính sách IPsec sẽ là một phương pháp rất mạnh trong triển khai giải pháp NAP của bạn bạn sẽ có hai giải pháp trong một: giải pháp thứ nhất là có được sự kiểm soát truy cập mạng NAP để cho phép bạn có thể khóa các máy tính không đảm bảo đủ các tiêu chí về “sức khỏe” kết nối vào mạng và thứ hai đó là bạn sẽ lợi dụng trong việc cách ly miền IPsec để từ đó có
Trang 2thể ngăn chặn các máy tính lừa bịp kết nối vào mạng của mình NAP với việc cách ly miền IPsec sẽ cho phép bạn tạo một mạng ảo bên trong biên giới các mạng vật lý của bạn Các máy tính trong mạng riêng ảo IPsec có thể nằm trên cùng một đoạn mạng hoặc đoạn VLAN nhưng được chia đoạn ảo với nhau bằng IPsec Các máy tính không có chứng chỉ “sức khỏe” IPsec sẽ không thể truyền thông với các máy tính “khỏe mạnh” trong mạng
Trong phần này chúng tôi sẽ giới thiệu cho các bạn từ việc khởi đầu đến kết thúc quá trình triển khai giải pháp NAP bằng thực thi chính sách IPsec Môi trường ban đầu rất đơn giản, các bạn có thể thấy trong hình bên dưới
Hình 1 Các máy tính mà chúng ta đang sử dụng trong mạng ví dụ là:
WIN2008DC
Đây là máy tính Windows Server 2008 phiên bản Enterprise, máy tính này đóng
vai trò bộ điều khiển miền msfirewall.org Chỉ có một role máy chủ đã cài đặt
trên máy tính này là Certificate Authority server role Chúng tôi đã tạo trên máy tính này một Enterprise Root CA Nếu các bạn muốn mirror cấu hình này, trước
Trang 3mirror một cấu hình CA doanh nghiệp, hãy đặt tên của nó là CA WIN2008DC-CA
msfirewall-WIN2008SRV1
Đây là máy tính chạy hệ điều hành Windows Server 2008 phiên bản Enterprise
và là một máy chủ thành viên trong miền msfirewall.org Không có role máy chủ
nào cấu hình trên máy này Chúng ta sẽ cài đặt NPS server role trên nó và làm cho nó trở thành máy CA cấp thấp hơn, tuy nhiên nếu bạn muốn xây dựng lab này, hãy cài đặt Windows Server 2008 trên máy tính và thực hiện theo các
hướng dẫn như chúng tôi giới thiệu trong loạt bài này
VISTASP1
Đây là máy tính chạy hệ điều hành Vista SP1 Máy tính này được gia nhập vào
miền msfirewall.org Chúng tôi đã sử dụng một cài đặt Vista mặc định và sau
đó cài đặt SP1 Nếu bạn đã có một cài đặt SP1 từ trước thì điều đó không có gì phải đề cập
VISTASP1-2
Đây là máy tính chạy hệ điều hành Vista, giống như VISTASP1 Máy tính này
được cài đặt trong một nhóm làm việc có tên WORKGROUP Chúng ta sẽ nhập máy tính này vào một miền nào đó sau khi test các chính sách NAP và IPsec Các bước chính chúng ta sẽ thực hiện trong loạt bài này gồm có:
• Cấu hình bộ điều khiển miền
Trang 4• Cấu hình và test các chính sách IPsec
Mục tiêu của chúng tôi trong loạt bài này là giới thiệu cho các bạn về cách cấu hình một giải pháp và chứng tỏ rằng giải pháp đã làm việc
Cấu hình bộ điều khiển miền
Trong phần này, chúng ta sẽ thực hiện các bước dưới đây:
• Xác nhận cấu hình Enterprise Root CA trên bộ điều khiển miền
Trang 53 Kích tab Policy Module, sau đó kích Properties
Trang 6Hình 3
4 Thẩm định rằng tùy chọn Follow the settings in the certificate template, if applicable Otherwise, automatically issue the certificate đã được chọn
Trang 75 Kích OK hai lần, sau đó đóng giao diện điều khiển Certification Authority Tạo nhóm NAP CLIENTS
Tiếp đến, tạo một nhóm lọc bảo mật Group Policy Những gì chúng ta sẽ thực hiện lúc này là tạo một Group Policy Object để sử dụng các máy chính sách NAP
sẽ sử dụng, sau đó cấu hình GPO chỉ cho các thành viên của nhóm Theo cách này, chúng ta không cần tạo một OU cho các máy khách NAP Tất cả những gì chúng ta cần thực hiện ở đây là add các máy khách NAP vào nhóm bảo mật VISTASP1 và VISTASP1-2 sẽ được add vào nhóm này sau khi chúng ta gia nhập miền
Thực hiện các bước dưới đây trên máy tính WIN2008DC:
1 Trong phần panel bên trái của giao diện Active Directory Users and
Computers, kích chuột phải vào msfirewall.org, trỏ đến New và sau đó kích Group
Trang 8Hình 5
2 Trong hộp thoại New Object - Group, trong Group name, đánh NAP Clients Trong Group scope, chọn Global, còn trong Group type chọn Security, sau đó kích OK
Trang 93 Để giao diện điều khiển Active Directory Users and Computers mở cho thủ tục dưới đây
Tạo nhóm NAP Exempt
Sẽ có các máy trong mạng của bạn cần truyền thông với các thành viên của mạng bảo mật, những người này không thể có đủ các yêu cầu bảo mật NAP cần thiết Có các máy tính cơ sở hạ tầng mạng, chẳng hạn như các bộ điều khiển miền, máy chủ DHCP và các thành phần khác cần truyền thông với các máy tính trong mạng an toàn
Trong ví dụ của chúng tôi, WIN2008SRV1 cần kết nối với các thành viên của mạng an toàn để cung cấp cho chúng các chứng chỉ sức khỏe, các chứng chỉ đó
sẽ được sử dụng để thiết lập truyền thông IPsec an toàn giữa các thành viên trong mạng an toàn Chính vì vậy chúng ta sẽ đặt máy tính này là một nhóm riêng và sau đó cấu hình chứng chỉ sức khỏe sẽ được triển khai tự động cho máy tính này Chứng chỉ sức khỏe sẽ được triển khai cho máy tính này bằng cách sử dụng sự kết nạp tự động
Thực hiện các bước dưới đây trên máy tính WIN2008DC:
1 Trong giao diện điều khiển Active Directory Users and Computers, kích
Trang 10chuột phải vào msfirewall.org và trỏ đến New, sau đó kích Group
Hình 7
2 Trong Group name, đánh IPsec NAP Exemption Trong Group scope, chọn Global và trong Group type chọn Security, sau đó kích OK
Trang 113 Để lại giao diện điều khiển Active Directory Users and Computers cho thủ tục dưới đây
Hình 9
Tạo và cấu hình mẫu chứng chỉ cho NAP Exempt Computer
Một mẫu chứng chỉ phải được tạo cho các máy tính được cấp miễn các kiểm tra sức khỏe NAP Mẫu chứng chỉ này sẽ được cấu hình hai chính sách ứng dụng: thẩm định máy khách và thẩm định sức khỏe hệ thống Mẫu chứng chỉ này sẽ được cấu hình với System Health Authentication OID để nó có thể được sử dụng nhằm truyền thông với các máy tính đồng thuận NAP trong mạng an toàn
Sau khi tạo mẫu chứng chỉ, chúng ta sẽ công bố mẫu chứng chỉ để nó trở lên hiện hữu đối với Active Directory cho các máy tính là các thành viên của nhóm NAP Exempt Sau khi công bố mẫu chứng chỉ cho Active Directory, chúng ta sẽ cấu hình Group Policy để chứng chỉ sẽ tự động gán cho các thành viên của
Trang 12nhóm NAP Exempt bằng tính năng tự động kết nạp (Autoenrollment)
Thực hiện các bước dưới đây trên máy tính WIN2008DC:
1 Kích Start, kích Run và đánh certtmpl.msc sau đó nhấn ENTER
2 Trong phần panel ở giữa của Certificate Template Console, kích chuột phải vào Workstation Authentication, sau đó kích Duplicate Template Mẫu này
được sử dụng vì nó đã được cấu hình với chính sách thẩm định ứng dụng máy khách
Trang 13Hình 12
5 Kích tab Extensions, sau đó kích Application Policies Tiếp đó kích nút Edit
Trang 14Hình 13
6 Trong hộp thoại Edit Application Policies Extension, kích Add
Trang 157 Trong hộp thoại Add Application Policy, chọn chính sách System Health Authentication và kích OK
Hình 15
Trang 168 Kich OK trong hộp thoại Edit Application Policy Extension
Trang 1710 Kích IPsec NAP Exemption, sau đó tích vào hộp kiểm bên cạnh Allow, Enroll và Autoenroll sau đó kích OK
Trang 18Hình 18
11 Đóng giao diện điều khiển các mẫu chứng chỉ
Làm cho mẫu chứng chỉ hiện hữu cho việc công bố trong Group Policy
Thực hiện theo các bước dưới đây để kích hoạt mẫu chứng chỉ mới trở thành hiện hữu trong Active Directory Group Policy Sau khi thực hiện điều đó, chúng
ta sẽ có thể làm cho chứng chỉ trở lên hiện hữu đối với các thành viên của nhóm NAP Exempt thông qua việc tự động kết nạp
Thực hiện các bước dưới đây trên máy tính WIN2008DC:
1 Kích Start, kích Run, đánh certsrv.msc sau đó nhấn ENTER
2 Mở phần tên máy chủ trong panel bên trái của giao diện điều khiển, trong cây
giao diện, kích vào Certificate Templates, trỏ tới New, sau đó kích Certificate
Trang 19Hình 19
3 Kích System Health Authentication, sau đó kích OK
Hình 20
Trang 204 Trong panel bên trái của giao diện điều khiển, kích Certificate Templates, trong phần panel chi tiết nằm trong phần Name, hãy thẩm định rằng System Health Authentication đã được hiển thị
Hình 21
5 Đóng giao diện Certification Authority
Phân phối chứng chỉ sức khỏe NAP Exemption trong Group Policy
Autoenrollment
Chúng ta đã công bố mẫu chứng chỉ, chính vì vậy lúc này có thể làm cho nó trở thành hiên hữu đối với các máy thuộc về nhóm NAP Exempt Chúng ta sẽ thực hiện điều đó bằng cách sử dụng sự kết nạp tự động (autoenrollment)
Thực hiện theo các bước dưới đây trên máy để kích hoạt sự kết nạp tự động (autoenrollment) của chứng chỉ này:
1 Kích Start và sau đó kích Run Nhập gpmc.msc vào hộp văn bản Open và kích OK
2 Trong giao diện điều khiển Group Policy Management, hãy kích để mở phần
tên miền msfirewall.org và kích chuột phải vào Default Domain Policy và kích Edit
Trang 213 Trong panel bên trái của Group Policy Management Editor, mở Computer Configuration\Windows Settings\Security Settings\Public Key Policies Trong phần giữa của giao diện điều khiển, hãy kích đúp Certificate Services Client – Auto-Enrollment
Trang 22Hình 23
4 Trong hộp thoại Certificate Services Client – Auto-Enrollment Properties, bạn hãy chọn tùy chọn từ danh sách Configuration Model Tích vào các hộp thoại Renew Expired certificates, update pending certificates, and remove revoked certificates và Update certificates that use certificate templates Kích OK
Hình 24
5 Đóng Group Policy Management Editor
6 Đóng giao diện điều khiển Group Policy Management
Kết luận
Trong phần 1 này chúng tôi đã giới thiệu cho các bạn các yêu cầu về cấu hình cho máy tính được sử dụng làm bộ điều khiển miền Trong bài là giới thiệu về việc xác nhận cấu hình root CA của doanh nghiệp, việc tạo các nhóm bảo mật NAP CLIENTS và NAP Exempt, tạo và cấu hình mẫu chứng chỉ cho các máy tính ví dụ NAP, làm cho mẫu chứng chỉ hiện hữu để công bố trong Group Policy,
Trang 23và các quyền Health Registration cũng như tạo một chính sách NAP
