Một số điều kiện chưa đảm bảo an toàn của máy tính như sau: » Chưa bật tính nang Firewall: Domain, Private, Public * Chua cai dat chuong trinh diét virus « Chưa update chương trình diệt
Trang 1
BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC KINH TẾ
KĨ THUẬT CÔNG NGHIỆP
KHOA CÔNG NGHỆ THÔNG TIN
BÀI TẬP LỚN QUẢN TRỊ MẠNG
ĐỀ TÀI:
Triển khai dịch vụ Network Policy Server
Sinh viên thực hiện:
1 Nguyễn Văn Huy (nhóm trưởng)
2 Nguyễn Thị Diệu Linh
3 Ngô Thị Duyên
4 Trinh Duc Kién
HÀ NỘI - 2024
Trang 2
ĐÈ BÀI:
Triển khai dịch vụ Network Policy Server
1.1.Triển khai cải đặt va câu hình VPN Server kết hợp NPS
Trang 3Mục lục
1.3 Cách thức hoạt động 2 12011221121 112111212111 111111111 1111101111101 111101111111 kg 5
PÄYN.00ìì:)ì6›:-)::iaẰ 6 2.2 Các thành phần cơ bản trong hệ thống mạng LAN - 52 5c t2 12222122 cze 6
3.1 Cài đặt Network Policy Server trên Windows Server 2016 - 2 + 222 7
Trang 4CHUONG 1: Ý NGHĨA ĐÈ TÀI
1.1 Y nghia
Mét trong nhitng phuong phap quan trong dé bao mat thong tin và dữ liệu là kiểm tra tình trạng an toàn của các máy tính trước khi cho phép chúng truy cập vào
mạng LAN Do đặc thù thiết kế của hệ thống DHCP Server, hién nay hầu hết các hệ
thống mạng LAN nói chung tồn tại một thực trạng là một số máy tính (PC, Laptop)
chưa đảm bảo các điều kiện an toàn nhưng khi kết nôi vào mạng LAN vẫn được cấp
phát địa chỉ IP và truy cập mọi tài nguyên trong mạng LAN (nếu được phân quyên)
Một số điều kiện chưa đảm bảo an toàn của máy tính như sau:
» Chưa bật tính nang Firewall: Domain, Private, Public
* Chua cai dat chuong trinh diét virus
« Chưa update chương trình diệt virus lên phiên bản mới nhất
« Chưa cài đặt chương trình bảo vệ chống spyware
« Chua update chương trình chống spyware lên phiên bản mới nhất
» Chưa cho phép máy tính ở chế độ cập nhật các bản vá
« Chưa cập nhật đầy đủ các bản vá về security cho các máy tính Khi một Client không đảm bảo các tiêu chuẩn an toàn khi truy cập vào mạng sẽ dẫn đến các nguy cơ, sự cố như:
« Khi các máy tính bị nhiễm virus sẽ làm cho các file trong may nhu word, excel, power point cũng bị nhiễm virus theo Sau đó, người dùng tải các file đã nhiễm mã độc lên hệ thống cơ sở dữ liệu dùng chung như thư mục FTP, thư mục chung của phòng
ban Lúc này, virus sẽ lây lan qua các máy tính khác trong mạng LAN
» Khi máy tính bị nhiễm spyware, các spyware sẽ thông qua mạng LAN thu thập các thông tin nội bộ trong mạng, từ cấu hình mạng, thông tin các máy chủ, các file tài
liệu
» Khi máy tính đã cài các chương trình diệt virus và spyware nhưng chưa cập nhật lên phiên bản mới nhất thì khả nang bi tan công từ các phần mềm độc hại cũng rất cao vì số lượng các mã độc, virus, spyware liên tục được tăng lên theo từng ngày và
mức độ phức tạp cũng như khả năng phả hoại ngày càng cao hơn
+ Khi các Firewall bị tắt, các tin tặc có thể lợi dụng dé tan công vào các may Client
Do lúc này, các port trên máy Client đã được mở hết và tin tặc có nhiều lựa chọn hơn đề tấn công và xác suất thành công cũng sẽ cao hơn
» Khi máy Client chưa cài đặt đầy đủ các bản vá lỗi, đặc biệt là các bản vá lỗi security, tin tặc sẽ lợi dụng các lỗ hồng bảo mật đó đề tấn công chiếm quyền điều khiển
4
Trang 5(người sử dụng không biết được máy tính mình đã bị chiếm do vẫn thao tác được bình thường) Từ đó, tin tặc có thê thu thập các thông tin về mạng LAN thông qua máy
Client
1.2 Vai trò
Cài đặt một Network Policy Server (NPS) thực hiện kiểm tra các tiêu chuân về
an toàn cho các máy Client trong mạng LAN gồm cac PC da join domain, cac
Laptop kết nối đến mạng LAN có dây và mạng LAN không dây Thiết lập các chính
sách trên NPS như: các tiêu chuẩn về an toàn, các chính sách mạng, chính sách sức
khỏe Thiết lập chính sách NAP trên DHCP Server Thiết lập chính sách trên Domain Controller để áp đặt các PC trong Domain bat chế độ kiểm tra các tiêu chuẩn an toản — NAP
1.3 Cach thirc hoat dong
Cách thực hoạt động của hệ thống như sau:
- au tién các PC và Laptop tham gia hệ thống mạng LAN phải được bật tính
nang cho phép Network Access Protection — NAP
- Cac may PC da join Domain sẽ được bật NAP một cách tự động bằng cách sử
dụng chính sách quản lý nhóm GPM
- _ Các Laptop chưa join Domain kết nỗi vào mạng LAN băng dây hoặc wifi bật
NAP bang cách chạy một script nhận được từ quản trị viên
- Trén Server Domain Controller cai dat hai role services
+ DHCP duoc bat tinh nang NAP dé cap phat dia chi IP +NPS diéu khién truy cap mang
- Các Client khi kết nỗi vào mạng sẽ được kiểm tra tính năng NAP, kiểm tra độ an toàn theo các chính sách sức khỏe — Health Policies trén NPS Tùy vào “sức khỏe” mad Client sé duoc NPS ap dụng các chinh sach mang — Network Policies khac
nhau Cu thé:
- _ Client chưa bật NAP sẽ không nhận được dia chi IP va hoan tòan cô lập với
mạng LAN
- Client bat NAP nhung khéng dat chuẩn về sức khỏe sẽ nhận được địa chỉ IP với quyền truy cập bị giới hạn, chỉ được truy cập đến các Remediation Server đề thực
hiện cập nhật đây đủ các yêu cầu về sức khỏe Sau đó, Client mới được toàn quyền truy cập cho mạng LAN
- Client bat NAP va day đủ các tiêu chuẩn về sức khỏe sẽ nhận được địa chỉ IP với toàn quyền truy cập mạng LAN
Trang 6CHƯƠNG 2: SƠ ĐỎ GIẢI PHÁP
2.1 Mô hình mạng Network Policy Server
PC đã join Domain Wireless
Laptop chưa join Domain
sử dụng mang LAN có dây
Laptop chưa join Domain sử Access Point dụng mang LAN không dây
Mạng Lan
Domain Controller Remediation Server
(DHCP-NPS-GMP) (WSUS Server)
2.2 Các thành phần cơ bản trong hệ thống mạng LAN
» Server giữ chức năng Domain Controller cũng chính là server giữ các chức năng DHCP cap phat IP, chức năng NPS điều khiến truy cập mạng và chức năng GPMI quản
ly chính sách nhóm
« Server giữ chức năng Remediation Server cũng là WSUS Server chứa các bản vá lỗi
hệ điều hành và các phần mềm diệt virus, spyware với phiên bản mới nhất cho các Client trong mạng LAN
* PC cua nhân viên da join Domain
+ Laptop cua nhan vién chwa Join Domain kết nối với mạng có dây LAN
« Laptop của nhân viên chưa Join Domain kết nối với mạng không dây LAN
« Điểm truy cập không day - Wireless Access Point vao mang LAN
Trang 7CHƯƠNG 3: CÁCH THỨC THỰC HIỆN
3.1 Cài đặt Network Policy Server trên Windows Server 2016
- Đầu tiên sẽ mở Server Manager trên Server Sau đó chọn Add Roles and
Feature
Fy Server Manager
WELCOME TO SERVER MANAGER
& Configure this local server
Pies Ỉ
Bf Local Server
Bg All Servers
igi AD Ds
ii File and Storage Services >
Ss Print Services
ROLES AND SERVER GROUPS
oles:5 | Sen 1
igi AD Ds 1 2H DHCP 1
@ Manageability @® Manageability
Events Events
Services Services
Performance Performance BPA results BPA results
3:03 PM
# 5/17/2024 bó
AT
Trang 8
- Tiếp theo click Next >
Ji& Aca Roles and Features Wizerd - 8 x
fh ai DESTINATION SERVER
Before you begi n WIN-GAS9PI1N1VLhuythoc local
This wizard helps you install roles, role services, or features You determine which roles, role services, or features to install based on the computing
needs of your organization, such as sharing documents, or hesting a website
Installation Type
To remove roles, role services, or features:
Start the Remove Roles and Features Ward
Server Selection
Before you continue, verify that the following tasks have been completed:
* The Administrator account has a strong password
* Network settings, such as static IP addresses, are configured
* The most current security updates from Windows Update are installed
If you must verify that any of the preceding prerequisites have been completed, cloze the wizard, complete the steps, and then run the wizard again
To continue, click Next
is page by default }
Cancel
Trang 9
- Cura s6 Installation Type tiếp theo chon Role-based or feature-based
installation va Next
TE Add Roles and Features Wizard = 8 x
Before You Begin Select the installation type You can install roles and features on a running physical computer or virtual machine or on an offline virtua! hard disk
(VHD)
'®' Role-based or feature-based installation
Configure a single server by adding roles, role services, and feetures
Server S
© Remote Desktop Services installation Install required role services for Virtual Desktop Infrastructure (VDI) to create a virtual machine-based or session-basec desktop deployment
< Previous Next > Install Cancel
Trang 10
- Tiép theo chon Select a server from the server pool, và chọn server ở danh
sách Server Pool bên dưới
TEx Add Roles and Features Wizard — a x
— att * Tu - DESTINATION SERVER
Before You Begin Select a server or 2 virtual hard disk on which to install roles and features
Installaton Type Select a server from the server pool
© Selecta virtual hard disk
Server Roles Server Pool
Features
Filter:
Name IP Address Operating System
1 Computer{s) found
This page shows servers that are running Windows Server 2012 or a newer release of Windows Server, and that have been added by using the Add
> Servers command in Server Manager Offline servers and newly-added servers from which data collection is still incomplete are not shown
|< Previous
10
Trang 11- Bước tiếp theo chung ta sé tick chon vao muc Network Policy and Access Service va bam Add Features
d Features Wizard
fee Add Re
Select server roles
Roles
w
Select one or more roles to install on the selected server
Active Directory Certificate Services
Active Directory Domain Services (|nstalled)
Active Directory Federation Services Active Directory Lightweight Directory Serces
Active Directory Rights Management Services
Device Health Attestation DHC? Server (Installed)
DNS Server (Installed)
Fax Server
File and Storage Services (2 of 12 installed) Host Guerdian Service
Remote Access
Remote Desktop Services
Volume Activation Services
Web Server (IIS)
Windows Deployment Services
Windows Server Essentials Experience
Windows Server Update Services
Description
Network Policy and Access Services provides Netw
)ESTINATION SERVER Vuhuythoc local
x
work
Fi Add Roles and Features Wizard Add features that are required for Network Policy and Access Services?
The following tools are required to manage this feature, but do not
have to be installed on the same server
4 Remote Server Administration Tools
4 Role Administration Tools [Tools] Network Policy and Access Services Tools
[¥]_ Include management tools (if applicable)
rity
< Previous Next >
11
Trang 12
- Cửa sô tiếp theo vân bâm Next
& Server Manage
Ee Add Roles and Features Wizard
DESTINATION SERVER, Network Policy and Access Services 'WIN-GAS9PJ1N1/Lhuythoelosal
Before You Begin Network Policy and Access Services allows you to define and enforce policies for network access,
Installation Type authentication and authorization using Network Policy Server (NES)
Server Selection Things to nete:
Server Roles
* You can deploy NPS as a Remote Authentication Dial-in User Service (RADIUS) server and proxy
Features After installing NPS using this wizard, you can configure NPS from the NPAS home page using the
NPS console
Confirmation
Hide
<Previous |] Next > Install Cancel
Events Events
Services Services Performance Performance BPA results BPA results
12
Trang 13- Sau đó chúng ta sẽ click Install dé thực hiện quá trình cải đặt NPS
er Manager 8
Fla, Add Roles and Features Wizard - n x
KT DESTINATION SERVER
Confirm installation selections WIN-GAS9PI1N1VILhuythoclocal
re You Begin To install the following roles, role services, or features on selected server click Install
Installation Type Í_] Restart the destination server automatically if required
ig Server Selection Optional features [such as administration tools) might be displayed on this page because they have
been selected automatically If you do not want to install these optional features, click Previous to clear Server Roles ~
Server Roles their check boxes
Feat
Network Policy and Acces Network Policy and Access Services
Remote Server Administration Tools Role Administration Tools Network Policy and Access Services Tools
Hide
Export configuration settings
Specify an alternate source path
Ned _—
Events Events Services Services | |
Performance Performance
BPA results BPA results
13
Trang 14- Sau đó đợi hệ thống cài đặt phần NPS và sau đó mở của sô Network Policy Server lên
@ Network Policy Server = mo x |
File Action View Help |
« % | 7| H m
Em
> & Policies Getting Started
iB Accounting Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for
> Mi Templates Management request authentication, and ion request authorizati
Standard Configuration ^ˆ
Select a configuration scenario from the list and then click the link below to open the scenario wizard
| RADIUS serverfor Dial-Up or VPN Connections
ee ee át222đ0E-°
you configure NPS asa ee you create network policies that
san asl connections from Dial-Up network access servers (also caled
RADIUS clients)
C fi -
vv |
Trang 153.2 Triển khai cài đặt và cầu hình VPN Server kết hợp NPS
3.2.1 Mô hình mạng
FILE SERVER
BKAP-SRV12-01 IP-192 168.13
DNS:192 168.12
wa VPN Server / NPS =
— a 24
/ ⁄ A “i
<
BKAP-WRK08-02
123.1.1.100/24 |
`x
BKAP-WRK08-01
3.2.2 Cách thức thực hiện
15