Thomas Shinder
Quản trị mạng - 7rong phần đầu của loạt bài này, chúng tôi đã gidi thiéu mot số kiến thức cơ bản về cách làm việc của NAP, sau đó đã cài đặt các dịch vụ DHCP và NPS trên máy chủ NÁP
policy Trong phần này, chúng tôi sẽ giới thiệu về cách sử dụng
NAP policy wizard dé tao tu dong cdc chinh séch Network, Health
va Connection nham kiém sodt su truy cdp cho mang cua ban
Si dung NAP Wizard để tạo một chính sách thực thì NÁP
DHCP
Lúc này chúng ta có thể bắt đâu cho phần chính - tạo chính sách
thuc thi NAP DHCP Sau khi chay wizard, wizard sé tao các chính sách sau:
° Health Policies
° Connection Request Policies
Trang 3° Remediation Server Group policies
Chúng ta hãy xem xét kỹ hơn về mỗi chính sách này sau khi kết
thúc wizard
Mé giao dién diéu khién Network Policy Server tir
menu Administrative Tools Tir day, ban sé thay 6 gitta giao dién xuat hién trang Getting Started Trong phan Standard
Configuration, hay chon tuy chon Network Access Protection
(NAP) tv Select a configuration scenario from the list and then click the link below to open the scenario wizard
Trang 4
~} Network Policy Server - _=|Dl x| Fie Action View Help
@® || &
Getting Started
Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for client health, connection request authentication, and connection request authorization Standard Configuration ^ˆ Select a configuration scenario from the list and then click the link below to open the scenario wizard
|Network Access Protection (NAP) xị
Network Access Protection (NAP)
When you configure NPS as a NAP policy server you create health policies that allow NPS to validate the configuration of NAP-capable client computers before they connect to your network Clients that are not compliant with health policy can be placed on a restricted network and automatically updated to bring them into compliance E3 Configure NAP Leam more Advanced Configuration - «| | > | Hinh 1
Trang 5phương pháp thực thi và đó là những gì chúng ta đang thực hiện ở đây DHCP server trở thành “network access server” trong kịch bản này và DHCTP server chịu trách nhiệm cho mức truy cập mạng
mà NAP client có
Hộp văn bản Policy name sẽ tự động được cư trú với NẠP
DHCCP, phân tên (name) được nối thêm vào một số các chính sách đã tạo bởi wizard Chúng ta sẽ thây điều này sau khi kết thúc NAP
wizard
Trang 6Configure NAP L ị x
7 | Select Network Connection Method For Use with NAP a |
Network connection method:
Select the network connection method that you want to deploy on your network for NAP-capable client computers Created policies will work with this network connection type only To create policies for additional
name:
This default text is used as part of the name for each of the policies created with this wizard You can use the
default text or modify it |NAP DHCP Additional requirements: đầ 000 ee NAP requirements by clicking on the Addtional Requirement Hinh 2
Trén trang Specify NAP Enforcement Server Running DHCP
Server, bạn có thể gộp địa chỉ IP của DHCP server sẽ chịu trách
nhiệm máy chủ truy cập mạng Sử dụng tùy chọn này khi DHCP
Trang 7trên cùng máy chủ
Nếu muốn bồ sung thêm các máy chủ thi hành DHCP NAP từ xa, chúng phải được câu hình như các RADIUS client, điều đó có nghĩa răng bạn cần câu hình các máy này như NPS server Sự khác biệt ở đây là NPS server này không cấu hình các thiết lập chính sách NAP Chúng chỉ ủy quyền các yêu cầu RADIUS đến NPS server đang cầu hình các thiết lập chính sách NAP Cau hình đó nên sử dụng trong môi trường sản xuất lớn, nơi DHCP server
và NAP server cả hai đều tương đối bận Thêm vào đó, rất có thể sẽ có nhiều DHCP server trong công ty bạn, trong khi đó bạn lại
muốn tất cả đều có thê truyền thông với máy chủ chính sách NAP hoặc các máy chủ
Trong ví dụ này, mạng mà chúng tôi đặt các máy chủ DHCP và NPS năm trên cùng một máy tính, vì vậy chúng ta sẽ không cân
bồ sung thêm các máy chủ DHCP từ xa vào danh sách
Trang 8Specify NAP Enforcement Servers Running DHCP Server neEMave Hinh 3
Ban có một tùy chọn đề kích hoạt NAP khi sử dụng thực thi
Trang 9DHCP Scopes Trong mạng ví dụ của chúng tôi, chúng tôi muốn
kích hoạt chính sách NAP trên mọi phạm vị, vì vậy chúng tôi
Trang 10dùng nào đó hoặc các máy tính trong chính sách NAP Trong ví dụ này, chúng tôi áp dụng chính sách cho tất cả các máy và người dùng Kích Next Configure NAP Configure User Groups and Machine Groups „š ‘
Trang 11trong mang Chúng cần đến các máy chu so ha tang chang han nhu Active Directory, DNS, DHCP va WINS server Tat ca cac máy tính cần sự truy cập tới các máy chủ sửa lỗi, đây là các máy mà máy tính không thỏa mãn yêu câu có thê truy cập để đạt được sự đồng thuận
Trong trang Specify a NAP Remediation Server Group and
URL, ban kich nut Group dé mo hộp thoại New Remediation
Server Group Trong hdp thoai New Remediation Server
Group, hãy nhập vào tên nhóm trong hộp văn bản Group Name Trong ví dụ này, chúng tôi đặt tên nhóm là Network Services Kích nút Add trong hộp thoại New Remediation Server Group Khi đó bạn sẽ thấy hộp thoại Add New Server xuất hiện Trong hộp thoại Add New Server, hãy nhập vào tên máy chủ trong
hộp Friendly name Trong ví dụ này chúng tôi nhập vào một tên
Trang 12DNS name Nếu biết tên của máy chủ DNS thì bạn có thể nhập
vào tên đó trong hộp văn bản và sau đó kích nút Resolve Kích OK trong hộp thoại Add New Server
ities ely = xi
Z Specify a NAP Remediation Server Group and URL
i ad ew Remediation Server Grou % p : xị Remedi xi
One OFT Group Name:
Trang 13Lúc này bạn sẽ thấy tên của nhóm máy chủ sửa lỗi và địa chỉ IP của máy chủ mà bạn đã bồ sung vào nhóm Nhớ răng, mục đích của nhóm này là remove nó khỏi những hạn chế của chính sách
NAP Domain controller trong ví dụ này là một máy tính mà tất cả
các thành viên miền cân truyền thông với nó để đăng nhập Nếu bạn không cho phép các máy khách NAP của mình, dù đồng thuận hay không, kết nỗi voi domain controller thì chúng sẽ không thể đăng nhập vào mang để trở thành đông thuận sau khi đăng nhập
Trang 14il Specify a NAP Remediation Server Group and URL
Looted New Remediation Server Group a SIS Hinh 7
Kich Next trén trang Specify a NAP Remediation Server Group and URL Lưu ý răng chúng ta cũng có thể nhập
Trang 15người dùng đến trang hiển thị cho họ cách trở thành đồng thuận sau khi máy tính của họ rơi vào tình trạng không đồng thuận và
không thê tự sửa lỗi
Configure NAP E x!
ữ Specify a NAP Remediation Server Group and URL
*
Remediation Server Group:
Remediation servers store software updates for NAP clients that need them Remediation Server Groups contain
one or more remediation servers
Select a Remediation Server Group that you have already configured or, to create a new group, click New Group
| Network Services >|
Troubleshooting URL-
f you have a Web page that provides users with instructions to users on how to bring computers and devices into
Trang 16sách hợp lệ sức khde hé théng (System Health Validator) nao ma
bạn muốn dé định nghĩa một chính sách sức khỏe cho mạng (Health Policy) Mặc định chỉ có một chính sách System Health
Validator có trong Windows Server 2006, chính sách này là Windows Security Health Validator Các hãng phần mềm khác cũng có thê nhóm các sản phẩm System Health Validator của họ mà bạn cài đặt vào máy chủ NAP policy
Bảo đảm răng có một dấu kiểm trong hộp kiểm Windows Security Health Validator Cũng cân tích một dấu kiểm trong
hdp chon Enable auto-remediation of client computers Tuy
chon nay cho phép các thành phân của NAP client có thể tự sửa
lỗi một số vẫn đề Với ví dụ này, nêu Windows Firewall bị vô hiệu hóa thì NAP agent sé tu kich hoat Windows Firewall
Trang 17° Deny full network access to NAP-ineligible client computers Allow access to a restricted network only
° Allow full network access to NAP-ineligible client
computers
Tuy chon dau tién an toan hon tùy chọn kia, còn tùy chọn thứ hai là tùy chọn tỏ ra hào phóng hơn Sự lựa chọn của bạn phụ thuộc
vào mục tiêu thiết kế cho NAP Bạn có thể cho phép các máy tính
không có khả năng NAP truy cập vào mạng trong suốt quá trình triển khai NAP và sau đó, khi quá trình triển khai hoàn tất, bạn sẽ
Trang 18Configure NAP
ữ Define NAP Health Policy
#
The installed System Health Validators are listed below Select only the System Health Validators that you want to enforce with this health policy Name | [2] Windows Securty Health Vabdator |
IV Enable autotemediation of client computers
f selected NAP-capable client computers that are denied full access to the network because they are not
compliant with health policy can obtain software updates from remediation servers
f not selected, noncompliant NAP-capable client computers are not automatically updated and cannot gain full network access until they are manually updated
Network access restrictions for NAP-ineligible client computers:
(* Deny full network access to NAP4neligible client computers Allow access to a restricted network only
Allow full network access to NAP-neligible client computers
Previous |[ Net | Finish Cancel |
Hinh 9
Trén trang Completing NAP Enforcement Policy and RADIUS Client Configuration, ban cé thé thay Health
Policies, Connection Request Policy, Network
Trang 19Chúng ta sẽ xem xét sâu hơn về các chính sách này
Configure NAP § xi
Completing NAP Enforcement Policy and RADIUS
wl Client Configuration
You have successfully created the following policies and configured the following RADIUS clients * To view the configuration details in your default browser, click Configuration Details
* To change the configuration, click Previous
* To save the configuration and close this wizard, click Finish Health Policies: NAP DHCP Compliant NAP DHCP Noncompliant Connection Request Policy: NAP DHC Network Policies: NAP DHCP Compliant NAP DHCP Noncompliant
NAP DHCP Non NAP-Capable Remediation Server Group: Network Services
Hinh 10
Lưu ý rằng chỉ có một liên kết Configuration Details Khi ban kích vào liên kết này, nó sẽ xuất hiện trang cung cấp các thông tin
Trang 20
Health Policy NAP DHCP Noncompliant |
Sens Authentication Method a Perform Machine Health Check Only
Access Permission Grant Access '
Trang 21Trong phân 2 này, chúng tôi đã giới thiệu cho các bạn về NAP policy wizard và giải thích mỗi tùy chọn được wizard này cung cấp Chúng ta đã thấy được răng NAP policy wizard giúp đơn
giản hơn rất nhiều trong việc tạo một chính sách NAP toàn diện