Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung Network Access Protection phần Brien M Posey Quản trị mạng - Có thể bạn đọc nhiều tài liệu viết Network Access Protection (NAP) Đó tính thiết kế Windows Server 2008 (trước có tên mã Longhorn Server) có số viết NAP xuất từ Windows Server 2008 chưa phát hành Còn Windows Server 2008 phát hành rộng rãi đến nhà sản xuất, tác giả viết muốn nhìn nhận lại toàn loạt mà ông viết NAP Mặc dù hầu hết khái niệm giới thiệu viết hợp lệ có số bước có liên quan tới trình thực thi có thay đổi đáng kể Mục tiêu việc giới thiệu ý định update loạt viết NAP trước tác giả Trong phần loạt này, giới thiệu cho bạn NAP giải thích cách làm việc Từ đây, hướng dẫn bước cho bạn toàn trình thực thi Network Access Protection gì? Network Access Protection NAP tên vắn tắt gọi nó, tạo để giải số nhược điểm gây thất vọng mà quản trị viên mạng thường gặp phải Như quản trị viên mạng, bảo đảm bạn tốn nhiều thời gian cố gắng vào việc cho mạng an toàn Tuy nhiên vấn đề mắc phải số máy tính mạng lại nằm bên kiểm soát trực tiếp bạn có nhiều khó khăn hay bảo đảm an toàn Ở nói người dùng từ xa Quả thực hoàn toàn dễ dàng việc bảo vệ an toàn cho máy trạm cư trú hai dạng trên, bạn tránh việc bảo mật cho máy laptop người dùng miễn laptop tài sản công ty Mặc dù nhiều tổ chức, người dùng lại thích đăng nhập từ máy tính gia đình họ kết nối VPN để họ làm số việc sau làm việc mà không cần phải đến văn phòng Do công ty không sở hữu máy tính nên nhân viên quản Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com trị quyền điều khiển trực tiếp máy tính Trước có Network Access Protection, tổ chức phải chiến đấu để cho máy tính kiểm soát trực tiếp nhân viên quản trị kết nối vào mạng Lý điều họ gặp phải số máy tính gia đình thực “scary” Rất khó để tìm máy tính gia đình bị tiêm nhiễm virus spyware sử dụng hệ điều hành không update cách kịp thời Và ngày có nhiều người hỏi vấn đề mà họ gặp phải với Windows 98 Network Access Protection thiết kế để khắc phục vấn đề Khi người dùng kết nối vào mạng, máy tính người dùng mang so sánh với sách “sức khỏe” mà bạn thiết lập Các nội dung bên sách khác tùy theo tổ chức, bạn yêu cầu hệ điều hành người dùng phải có đầy đủ vá bảo mật máy tính phải chạy phần mềm chông virus cập nhật cách kịp thời,…và nhiều vấn đề tương tự Nếu máy tính có hội tụ đủ tiêu chuẩn cần thiết mà bạn thiết lập sách máy tính hoàn toàn kết nối vào mạng theo cách thông thường Nếu máy tính không hội tụ đủ yếu tố cần thiết bạn chọn để từ chối truy cập mạng cho người dùng, sửa vấn đề tiếp tục cho người dùng truy cập lưu ý trạng thái máy tính người dùng Một số thuật ngữ Trước bắt đầu giới thiệu cách làm việc NAP, bạn cần phải biết số thuật ngữ mà Microsoft sử dụng cho NAP Thuật ngữ mà bạn cần biết Enforcement Client, viết tắt EC Một Enforcement Client máy khách thực kết nối vào mạng bạn Cần phải lưu ý tất máy trạm tương thích với Network Access Protection Để xem xét Enforcement Client, máy trạm phải chạy thành phần System Health Agent, thành phần mà giới thiệu cho bạn phần Chỉ Windows Vista Windows XP SP3 có khả chạy System Health Agent có hệ điều hành máy trạm tương thích với Network Access Protection Thuật ngữ mà bạn cần biết đến System Health Agent SHA System Health Agent tác nhân chạy dịch vụ máy trạm kiểm tra Windows Security Center Tác nhân chịu trách nhiệm cho việc báo cáo thông tin trạng thái sức khỏe hệ thống máy chủ Enforcement Server nhờ kết nối Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Khái niệm mà muốn giới thiệu cho bạn Enforcement Server Enforcement Server máy chủ dùng để thi hành sách định nghĩa NAP Một thuật ngữ khác cần phải biết đến System Health Validator SHV System Health Validator sử dụng thông tin mà thu lượm từ System Health Agent so sánh với thông tin trạng thái “sức khỏe” định nghĩa Thuật ngữ cuối mà muốn giới thiệu Remediation Server Một remediation server máy chủ để tạo khả truy cập cho máy khách đủ tiêu chuẩn truy cập mạng thiết lập Một máy chủ remediation server (tạm dịch máy chủ dùng để điều đình lại) chứa tất chế cần thiết cho việc tạo đồng thuận máy khách với sách Cho ví dụ, máy chủ sử dụng vá bảo mật cho máy khác thực thi Các hạn chế NAP Có thứ mà muốn đề cập NAP cung cấp cho bạn cách nâng cao bảo mật cho tổ chức, nhiên lại không thay chế bảo mật khác mà bạn sử dụng Network Access Protection không thỏa mãn hài lòng trường hợp bảo đảm máy khách từ xa tuân theo sách an ninh mạng Trong thực tế, thực công việc tốt việc thực thi sách theo thời gian dựa chuẩn mở Điều có nghĩa hãng phần mềm thứ ba viết module sách cho riêng bạn, sách cho phép bạn tạo sách bảo mật để sử dụng cho phần mềm nhóm thứ ba chạy enforcement client Những Network Access Protection thực chỗ, tránh kẻ xâm phạm bừa bãi vào mạng Network Access Protection bảo đảm máy trạm sử dụng cho việc truy cập từ xa có đủ tiêu chuẩn Chính vậy, Network Access Protection ngăn hacker máy tính không thỏa mãn sách an ninh mạng bạn trường hợp máy tính hacker đồng thuận theo sách khó để thiết lập truy cập hacker truy cập bị từ chối Kết luận Trong phần giới thiệu cho bạn Network Access Protection cung cấp cách bảo vệ máy trạm việc kết nối với mạng thông qua sách bảo mật mạng Trong phần Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com này, tiếp tục giới thiệu cho bạn thực thi bổ sung tính Network Access Protection Cơ sở hạ tầng mạng cho Network Access Protection Việc thực thi sở hạ tầng mạng yêu cầu đến vài máy chủ, máy chủ thực vai trò Như bạn thấy hình bên dưới, sử dụng Routing Remote Access Server, domain controller Network Policy Server Hình A: Thực thi NAP yêu cầu tới vài máy chủ Như bạn thấy hình trên, Windows Vista client kết nối với máy chủ Windows Server 2008 (máy chủ chạy dịch vụ Remote Access (RRAS)) Máy chủ đóng vai trò VPN server cho mạng Windows Vista client thiết lập kết nối với máy chủ VPN theo cách thức thông thường Khi người dùng từ xa kết nối với máy chủ VPN, chứng họ phải hợp lệ RADIUS protocol Máy chủ sách mạng xác định sách “sức khỏe” bị gây ảnh hưởng điều xảy máy khách từ xa không thỏa mãn sách Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong môi trường thí nghiệm, máy chủ vật lý sử dụng để cấu hình cho Routing and Remote Access Service role Network Policy Server role Trong máy chủ VPN thực tế tồn mạng vành đai độ bảo mật với mạng bạn cấu hình máy chủ sách mạng máy chủ Domain ControllerNếu quan sát vào sơ đồ thể hình A bạn thấy máy chủ yêu cầu domain controller Máy chủ máy chủ đơn mà toàn sở hạ tầng Active Directory Như bạn biết, Active Directory hoạt động mà máy chủ DNS Nếu sơ đồ trường hợp mạng thực domain controller phải cấu hình dịch vụ DNS Các tổ chức thường sử dụng nhiều điều khiển miền máy chủ DNS chuyên dụng Những yêu cầu sở hạ tầng phụ hình vẽ Enterprise Certificate Authority Tuy nhiên, Windows cấu hình để thực theo khả Trong loạt này, cấu hình domain controller để thực phận thẩm định chứng doanh nghiệp Nếu triển khai thực bạn bạn sử dụng máy chủ chuyên dụng để thẩm định chứng doanh nghiệp với lý chứng số Cài đặt thẩm định chứng doanh nghiệp (Enterprise Certificate Authority) Thủ tục cho việc triển khai thẩm định chứng doanh nghiệp khác tùy thuộc vào bạn cài đặt dịch vụ Windows 2003 server Windows 2008 server Do mục đích viết thân thiện với bạn đọc với Windows 2008 Server nên thủ tục dự định cho việc cài đặt dịch vụ chứng Windows Server 2008 Trước giới thiệu cho bạn cách cài đặt dịch vụ chứng chỉ, bạn cần lưu ý triển khai thực bạn sử dụng thông số cực độ để bảo đảm cho thẩm định chứng doanh nghiệp bạn an toàn Nếu thỏa hiệp với nó, họ sở hữu mạng bạn Vì viết tập trung vào Network Access Protection hoàn toàn không tập trung vào dịch vụ chứng nên giới thiệu cho bạn chút dịch vụ chứng Trong triển khai thực, bạn muốn có khả cấu hình cho máy chủ Bắt đầu trình triển khai việc mở Server Manager Windows 2008 Server chọn tùy chọn Roles từ giao diện điều khiển Tiếp đến, kích vào liên kết Add Roles phần Roles Summary giao diện điều khiển Thao Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com tác làm cho Windows khởi chạy Add Roles Wizard Kích Next để qua cửa sổ Welcome wizard Lúc bạn thấy danh sách tất role thể hình B Chọn tùy chọn Active Directory Certificate Server từ danh sách Kích Next để tiếp tục Hình B: Windows liệt kê tất role có sẵn cho bạn Ở đây, bạn gặp cửa sổ giới thiệu cho bạn dịch vụ chứng cung cấp số ý cần thiết Kích Next để bỏ qua cửa sổ này, bạn gặp cửa sổ khác, cửa sổ hỏi bạn thành phần muốn cài đặt Chọn hộp kiểm Certification Authority Certificate Authority Web Enrollment Bạn thấy cửa sổ tương tự cửa sổ xuất hiên hình C, cửa sổ thông báo cho bạn số role bổ sung phải cài đặt trước để cài đặt Certificate Authority Web Enrollment Role Kích nút Add Required Role Service, sau kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình C: Certificate Services Web Enrollment Role làm việc mà IIS Một cửa sổ xuất hỏi bạn xem có thích tạo certificate authority doanh nghiệp certificate authority chuẩn Chọn tùy chọn Enterprise Certificate Authority kích Next Khi bạn nhắc nhở sử dụng máy chủ Root CA hay Subordinate CA Do certificate authority thí nghiệm nên bạn chọn tùy chọn Root CA Kích Next để tiếp tục Wizard hỏi bạn có muốn tạo private key hay sử dụng private key có hay không Cũng thực cài đặt thử nghiệm nên chọn tùy chọn tạo private key kích Next để tiếp tục Cửa sổ mà bạn bắt gặp hỏi bạn tạo private key sử dụng private key có Do private key tồn từ trước nên bạn chọn tùy chọn tạo private key kích Next Lúc bạn thấy cửa sổ giống thể hình D, cửa sổ hỏi bạn chọn nhà cung cấp dịchvụ mã hóa, độ dài khóa thuật toán “hash” Vì thiết lập certificate authority với mục đích minh chứng nên chọn tùy chọn mặc định kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình D: Chọn tùy chọn mã hóa thích hợp cho triển khai thực để đảm bảo vấn đề bảo mật Cửa sổ bạn gặp cho bạn lựa chọn để định nghĩa tên chung hậu tố tên phân biệt cho certificate authority, bạn chọn mặc định kích Next Bạn thấy cửa sổ hỏi khoảng thời gian mà chứng hợp lệ Chu kỳ thời gian mặc định năm, thực hành không quan trọng vấn đề nên cần kích Next Cửa sổ tíêp theo hỏi bạn địa điểm đặt sở liệu ghi phiên liên lạc tương ứng Trong môi trường sản xuất, việc chọn địa điểm thích hợp quan trọng việc chuyển đổi dự phòng bảo mật Do thực hành thử nghiệm nên cần chọn theo mặc định kích Next Cho đến đây, phải bổ sung vào dòng role để hỗ trợ cho Certificate Services Web Enrollment role Chính cửa sổ mà bạn thấy giới thiệu IIS Kích Next để qua cửa sổ này, bạn gặp tiếp cửa sổ hỏi bạn thành phần Web Server muốn cài đặt Tuy nhiên bạn cần phải hiểu Windows tạo lựa chọn thích hợp cho bạn, cần kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bạn thấy cửa sổ chi tiết tùy chọn chọn Kích nút Install, Windows copy file cần thiết cấu hình dịch vụ bên Khi trình hoàn tất, kết thể hình cho bạn thấy role cài đặt thành công, xem thể hình E Kích Close để hoàn tất trình Hình E: Khi trình cài đặt hoàn tất, kích nút Close Kết luận Trong phần giới thiệu cho bạn cách cấu hình certificate authority cho doanh nghiệp, từ phần ba trở bắt đầu bước vào cấu hình VPN server   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung Network Access Protection - Phần Trong phần hai loạt này, giới thiệu cho bạn cách cài đặt Enterprise Certificate Authority cách chuẩn bị phần lại sở hạ tầng mạng cần thiết trình triển khai sử dụng Network Access Protection Trong phần này, giới thiệu cho bạn cách cấu hình VPN Server Với mục đích viết, cài đặt Network Policy Server máy tính vật lý sử dụng cho VPN Server Tuy nhiên triển khai bảo mật thực, bạn nên sử dụng hai máy tính riêng biệt để cấu hình role cho mục đích bảo mật Việc cấu hình role máy tính nên thực môi trường lab Các nhiệm vụ cấu hình Trước giới thiệu cho bạn cách cấu hình máy chủ để thực máy chủ VPN, bạn phải thực số nhiệm vụ cấu hình Về bản, nghĩa bạn phải cài đặt Windows Server 2008 cấu hình để sử dụng địa IP tĩnh Địa IP tĩnh phải nằm dải địa với domain controller mà bạn cấu hình trước Thêm vào đó, thiết lập máy chủ DNS máy chủ cấu hình TCP/IP cần phải trỏ đến domain controller mà bạn thiết lập từ trước loạt này, điều hoạt động máy chủ DNS Sau hoàn thành việc thực cấu hình ban đầu cho máy chủ, bạn nên sử dụng lệnh PING để thẩm định máy chủ VPN truyền thông với domain controller Gia nhập miền Cho đến bạn định xong cấu hình TCP/IP máy test thử kết nối nó, lúc bắt đầu với nhiệm vụ cấu hình thực Thứ mà bạn cần phải thực gia nhập vào miền mà tạo từ trước loạt máy chủ Quá trình gia nhập vào miền Windows Server 2008 gần giống Windows Server 2003 Để gia nhập vào miền, bạn kích chuột phải vào lệnh Computer có menu Start máy chủ chọn lệnh Properties từ menu xuất Bằng cách thực vậy, Windows mở cho bạn applet hệ thống Control Panel, bạn kích vào nút Change Settings Computer Name, Domain phần Workgroup Settings cửa sổ Bạn thấy xuất trang thuộc Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com sách yêu cầu kết nối cư trú máy chủ Bạn có sách mang tên NAP VPN mà bạn cấu hình từ trước Kích phải vào sách yêu cầu kết nối NAP VPN chọn Properties Khi Windows hiển thị trang thuộc tính NAP VPN Vào tab Settings trang thuộc tính kích tùy chọn Authentication Methods Lúc bạn thấy “Microsoft: Protected EAP (PEAP)” liệt kê danh sách EAP Types thể hình A Nếu bạn không thấy danh sách này, kích nút Add để bổ sung thêm Hình A: Microsoft Protected EAP liệt kê danh sách EAP Types Chọn Microsoft Protected EAP (PEAP), kích nút Edit Thẩm định chứng mà bạn yêu cầu từ trước lựa chọn Bạn cần thẩm định hộp kiểm “Enable Fast Reconnects” hộp kiểm “Enable Quarantine Checks” chọn Trường EAP Types phần hnhf cần phải thiết lập Secure Password (EAP MSCHAP V2) Nếu không, kích nút Add để bổ sung Khi bạn kết thúc, kích OK Kích OK lần để hoàn tất trình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Kết luận Trong phần giới thiệu cho bạn cách yêu cầu chứng máy tính cách liên kết nói với máy chủ VPN Trong phần loạt giới thiệu cho bạn thêm số bước trình cấu hình Tạo nhóm bảo mật Thứ trình tạo Network Access Protection có liên quan đến nhóm sách bạn không muốn áp dụng cho tất máy tính mạng Các máy chủ mạng ví dụ, không kết nối thông qua VPN, không cấu máy khách Network Access Protection Vì cần phân biệt máy tính hành động máy khách Network Access Protection phần lại nên bắt đầu trình cách tạo nhóm bảo mật để áp dụng thiết lập sách Để tạo nhóm bảo mật cần thiết, mở giao diện điều khiển Active Directory Users Computers Khi giao diện điều khiển mở, kích chuột phải vào miền bạn chọn New | Group Khi thực xong thao tác đó, Windows mở hộp thoại New Object – Groups Tiếp tục định NAP Clients tên nhóm Bảo đảm phạm vi nhóm thiết lập Global bảo đảm kiểu nhóm thiết lập Security Sau kích OK để tạo nhóm Cài đặt tính quản lý sách nhóm Thứ bạn cần phải thực cài đặt tính quản lý nhóm sách Group Policy Management để điều chỉnh thiết lập sách nhóm khác Để thực điều đó, mở Server Manager vào phần Features Summary Kích liên kết Add Features, bạn thấy xuất hình hiển thị tính cài đặt Nếu tính cần chọn chưa cài đặt, tích vào hộp kiểm tương ứng Group Policy Management Cuối cùng, kích Next, Install Khi trình cài đặt hoàn tất, kích Close để đóng cửa sổ cài đặt Bạn đóng Server Manager lúc Tạo thiết lập sách nhóm Lúc với nhóm bảo mật cần thiết thích hợp, cài đặt tính Group Policy Management, tiếp tục cấu hình thiết lập nhóm sách cần thiết Bắt đầu trình cách nhập lệnh GPME.MSC vào nhắc lệnh Run Khi bạn thực điều đó, Windows hiển thị hộp thoại cho phép bạn chọn sách nhóm tồn mà bạn muốn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com soạn thảo Thay cho việc chỉnh sửa nhóm sách tồn tại, cần phải tạo đối tượng sách nhóm Bạn thực điều cách kích nút Create New Group Policy Object bên phải danh sách liệt kê cho miền bạn Khi kích nút này, bạn nhắc nhở nhập vào tên đối tượng sách nhóm mà bạn tạo Cho mục đích này, gọi đối tượng sách nhóm NAP Client Settings Lúc đối tượng sách nhóm tạo, chọn kích OK Khi Windows mở Group Policy Management Editor Bạn phải tìm giao diện điều khiển đến phần Computer | Configuration | Policies | Windows Settings | Security Settings | System Services Kích đúp vào Network Access Protection Agent phần panel chi tiết Windows lúc mở hộp thoại Network Access Protection Agent Properties Chọn hộp kiểm “Define This Policy Setting” sau chọn tùy chọn Automatic startup Kích OK để đóng hộp kiểm Điều hướng thông qua giao diện vào Computer Configuration | Policies | Windows Settings | Security Settings | Network Access Protection | NAP Client Configuration | Enforcement Clients Khi panel chi tiết hiển thị danh sách máy khách thực thi có sẵn Kích chuột phải vào Remote Access Quarantine Enforcement Client, sau chọn Enable Quay trở lại mục NAP Client Configuration, kích chuột phải vào chọn Apply Quay trở lại Computer Configuration | Policies | Administrative Templates | Windows Components | Security Center Kích đúp vào mục “Turn on Security Center (Domain PCs Only)” phần panel chi tiết Khi bạn thực điều đó, Windows hiển thị hộp thoại “Turn on Security Center (Domain PCs Only)” Chọn tùy chọn Enabled kích OK để bảo đảm Security Center truy cập từ máy tính khách Điều quan trọng test Network Access Protection khả phát xem Windows firewall kích hoạt hay chưa Để hoàn tất trình, kích OK sau đóng Group Policy Management Editor Trong số trường hợp, bạn nhận nhắc nhở hỏi bạn có muốn áp dụng thay đổi vừa thực cho đối tượng sách nhóm hay không Nếu nhận nhắc nhở vậy, bạn phải chọn “Apply” Cấu hình lọc bảo mật Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Thứ bạn phải thực áp dụng số lọc bảo mật nhằm ngăn chặn không cho thiết lập máy khách Network Access Protection sử dụng cho máy chủ mạng Để cấu hình lọc cần thiết, nhập vào lệnh GPMC.MSC cửa sổ Run Khi Windows mở Group Policy Management Console Tìm đến Domain | your domain | Group Policy Objects | NAP Client Settings Nếu quan sát vào phần panel chi tiết, bạn thấy phần có dán nhãn Security Filtering hướng phía hình Mặc định, sách áp dụng cho người dùng thẩm định Chúng ta cần thay đổi để sách không áp dụng cho đăng nhập vào lần trước Kích Authenticated Users, sau kích nút Remove Kích OK Windows hỏi bạn có chắn hay không Lúc kích nút Add Windows yêu cầu bạn chọn người dùng, máy tính nhốm muốn sử dụng lọc bảo mật Nhập NAP Clients vào phần không gian cung cấp, kích nút Check Names Giả dụ tên tạo thành công, kích OK Kết luận Lúc tất thiết lập sách nhóm cần thiết thích hợp Trong phần loạt này, giới thiệu cho bạn cách bổ sung thêm máy tính khác vào nhóm bảo mật tạo Từ giới thiệu cách thực số test để bảo đảm thiết lập sách nhóm định nghĩa áp dụng theo cách thích hợp Tiếp test Network Access Protection bảo đảm phát Windows firewall có kích hoạt máy tính khách hay không   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung Network Access Protection - Phần Brien M Posey Quản trị mạng - Trong phần giới thiệu hoàn tất cho bạn trình cấu hình minh chứng chức hoạt động Network Access Protection Giới thiệu Trong phần trước loạt này, giới thiệu cho bạn cách thiết lập nhóm bảo mật để sử dụng nhằm mục đích máy tính hoạt động cách sử dụng Network Access Protection Trong phần này, kết thúc loạt cách giới thiệu cho bạn cách nhập máy tính vào nhóm bạn tạo từ trước thực số test để bảo đảm thực thi bảo vệ truy cập từ xa kích hoạt Cuối cùng, giới thiệu cách kết nối đến VPN từ xa bạn Bổ sung thêm máy tính vào nhóm Nhiệm vụ mà phải thực bổ sung thêm máy tính khách vào nhóm bảo mật tạo phần trước loạt Bắt đầu trình việc mở giao diện điều khiển “Active Directory Users and Computers”, sau bạn chọn mục có chứa tên miền Lý cần phải chọn mục tạo nhóm bảo mật mức miền, đặt nằm mục Users Khi bạn chọn mục mức miền, bạn thấy nhóm NAP Clients hiển Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com thị panel chi tiết Kích đúp vào nhóm này, Windows mở trang thuộc tính nhóm Hãy vào tab Members trang thuộc tính kích nút Add Lúc này, nhập tên máy tính khách vào phần không gian trống cấp Tiếp đến, kích nút Locations chọn mục Computers kích OK Khi Windows trả cho bạn hình Select Users, Contacts, Computers Groups, kích nút Check Names để thẩm định Windows tìm thấy máy tính khách bạn thành công Kích OK hai lần để hoàn tất trình Kiểm tra thiết lập Group Policy Bạn thêm máy khách vào nhóm bảo mật tạo từ trước, lúc bạn cần phải test máy tính khách để bảo đảm thiết lập sách nhóm có liên quan đến NAP có hiệu lực Trước thực điều đó, bạn khởi động lại máy tính, sau đăng nhập với đặc quyền quản trị viên Khi bạn đăng nhập xong, mở cửa sổ nhắc lệnh nhập vào lệnh sau: NETSH NAP CLIENT SHOW GROUPPOLICY Sau nhập xong lệnh này, bạn thấy loạt kết giống kết thể hình A bên Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình A: Nhập vào lệnh NETSH NAP CLIENT SHOW GROUPPOLICY cửa sổ nhắc lệnh Như bạn thấy hình A trên, có vài kiểu máy khách thực thi khác xây dựng kèm với Windows Điều có vài cách để triển khai NAP Chúng ta sử dụng NAP để điều khiển truy cập máy khách VPN nên có máy khách thực thi mà quan tâm Remote Access Quarantine Enforcement Client Quan sát bên phần Remote Access Quarantine Enforcement Client bảo đảm dòng Admin thiết lập Enabled thể hình A Các máy khách thực thi khác bị vô hiệu hóa cấu hình Với test tiếp theo, bạn nhập vào lệnh sau: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com NETSH NAP CLIENT SHOW STATE Như bạn thấy hình B bên dưới, đầu lệnh dài Bạn kéo cuộn tìm đến phần Remote Access Quarantine Enforcement Client Thẩm định Remote Access Quarantine Enforcement Client khởi tạo Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình B: Thẩm định Remote Access Quarantine Enforcement Client khởi tạo Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Nếu hai test thành công thiết lập sách nhóm có liên quan đến NAP áp dụng cách thành công máy khách Nếu bạn nằm trường hợp này, đóng cửa sổ nhắc lệnh không bạn cần phải quay trở lại kiểm tra cấu hình Tạo kết nối VPN Bước cuối trình cấu hình có liên quan đến việc thiết lập kết nối VPN đến Remote Access Server Quá trình thực điều đơn giản Trong Windows Vista, mở Control Panel, kích đúp vào biểu tượng Network and Sharing Center Khi cửa sổ Network and Sharing Center mở, kích vào liên kết Setup a Connection or Network panel Tasks Ở đây, bạn thấy hình tương tự hình thể hình C, hỏi bạn kiểu kết nối mà bạn muốn tạo Hình C: Chọn tùy chọn “Connect to Workplace”, tiếp kích Next Chọn tùy chọn Connect to a Workplace, kích Next Nếu có kết nối mạng hữu sẵn, Windows hỏi bạn có muốn tạo kết nối Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com không hay muốn sử dụng kết nối tồn Chọn tùy chọn để tạo kết nối mới, sau kích Next Màn hình hỏi bạn có muốn sử dụng kết nối Internet hay không hay muốn tạo kết nối quay số trực tiếp Chọn tùy chọn Use My Internet Connection (VPN) Khi bạn nhắc nhở nhập vào địa Internet tên đích đến Nhập địa IP máy chủ RRAS URL vào trường địa Internet, sau nhập vào phần mô tả kết nối trường Destination Name Bạn thấy ví dụ vấn đề hình D Khi bạn chọn hộp kiểm Don’t Connect Now Hình D: Nhập vào địa IP máy chủ RRAS phần mô tả máy chủ mà bạn kết nối đến Kích Next, bạn đưa tới hình cho bạn tùy chọn để nhập vào yêu cầu thẩm định Khi thực nhập yêu cầu xong, kích nút Create, lúc kết nối tạo, kích Close để đóng hộp thoại lại Đến bạn tạo kết nối VPN, cần phải cấu hình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com số thiết lập bảo mật Để thực điều đó, kích chuột phải vào kết nối mà bạn tạo, sau chọn Properties Khi cửa sổ chứa trang thuộc tính kết nối mở, bạn vào tab Security, chọn tùy chọn Advanced Tiếp đến, kích nút Settings Lúc Windows hiển thị hộp kiểm Advanced Security Settings thể hình E bên Chọn tùy chọn Require Encryption (Disconnect if Server Declines) từ danh sách sổ xuống Data Encryption Tiếp đến, chọn tùy chọn Use Extensible Authentication Protocol (EAP), sau chọn tùy chọn Protected EAP (PEAP) (Encryption Enabled) từ phần Logon Security Hình E: Bạn phải cấu hình kết nối để sử dụng PEAP Ở đây, bạn phải kích nút Properties Khi thực thao tác này, Windows hiển thị hộp thoại Protected EAP Properties thể hình F Bảo đảm hộp kiểm Validate Server Certificate Connect to these Servers chọn Bạn cần bảo đảm hộp văn bên tùy chọn Connect to These Servers có chứa danh cách máy chủ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình F: Phương pháp thẩm định phải thiết lập (EAP-MSCHAP V2) Phần hộp thoại gồm có danh sách quyền chứng khác Với mục đích đơn giản hóa, chọn hộp kiểm bên cạnh quyền chứng liệt kê Ở phần bên hộp thoại, bạn nên thiết lập tùy chọn Select Authentication Method Secure Password (EAP-MSCHAP v2) tích vào hộp kiểm Enable Quarantine Checks Bước trình kích vào nút Configure, sau chọn hộp kiểm Automatically Use My Windows Logon Name and Password (and Domain if Any) Kích OK bốn lần để đóng hộp thoại Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com khác Kiểm tra NAP Đến đây, hoàn toàn sẵn sàng cho việc test NAP Như giới thiệu phần trước, bạn yêu cầu máy khách có đủ số lượng tiêu chuẩn sức khỏe, nhiên với mục đích minh chứng, yêu cầu vấn đề tường lửa Windows bật máy khách Trong trường hợp này, bạn mở Windows Security Center máy khách tắt bỏ tường lửa Windows Firewall Khi thực xong thao tác này, bạn nên để lại cửa sổ hình Windows Security Center, thể hình G bên dưới, mục đích để bạn thẩm định trạng thái Windows Firewall Hình G: Bảo đảm tường lửa Windows tắt Lúc này, mở Control Panel kích đúp vào biểu tượng Network and Sharing Center Khi mục Network and Sharing Center mở, kích vào liên kết Connect to a Network, kích kết nối VPN mà bạn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com tạo từ trước, sau kích nút Connect Khi nhắc nhở, bạn nhập yêu cầu thẩm định kích nút Connect Khi Windows đăng ký máy tính bạn mạng, Windows Firewall tự động bật lên, xem thể hình H Hình H: NAP kích hoạt tự động Windows Firewall kết nối VPN thiết lập Kết luận Như bạn thấy phần này, việc cấu hình Remote Access Server để sử dụng Network Access Protection trình phức tạp Mặc dù vậy, thực xứng đáng với cố gắng bạn, việc cấu hình giúp bạn bảo đảm an ninh cho mạng tốt   [...]... is NAP Capable Kết luận Trong phần này, chúng tôi đã giới thiệu cho các bạn về sự cấu hình của Network Policy Server Trong phần 17 sắp tới, chúng tôi sẽ giới thiệu cho các bạn về cách thực hiện phần cấu hình máy khách của quá trình cài đặt   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung về Network Access Protection – Phần 5 Brien M Posey Quản trị mạng - Trong... tiếp tục giới thiệu về Network Access Protection bằng cách giới thiệu cho bạn cách cấu hình Network Policy Server Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu hình thành phần VPN, đây là thành phần sẽ được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn cách cấu hình thành phần Network. .. cửa sổ nhắc bạn về role nào muốn cài đặt trên máy chủ Tích vào hộp kiểm tương ứng với tùy chọn Network Policy và Access Services Kích nút Next, bạn sẽ được đưa đến cửa sổ chứa các thông tin giới thiệu về Network Policy và Access Services Kích Next lần nữa, bạn sẽ thấy một cửa sổ nhắc bạn về chọn các thành phần của Network Policy và Access Services để cài đặt Chọn hộp kiểm tương ứng với Network Policy... kiểu máy đồng thuận và không đồng thuận Trong phần tiếp theo của loạt bài này chúng ta sẽ kết luận về cấu hình máy chủ   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung về Network Access Protection – Phần 4 Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách tạo các chính sách thẩm định cho cả các máy không đồng thuận và đồng thuận... bài này chúng tôi đã giới thiệu cho các bạn cách cài đặt và cấu hình Routing và Remote Access Services theo cách cho phép máy chủ thực hiện như một VPN server Trong phần tiếp theo của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Network Access Protection - Phần 3 Brien... Routing và Remote Access Service để chấp nhận các kết nối VPN Bắt đầu bằng cách mở Server Manager và điều hướng thông qua giao diện cây đến Server Manager | Roles | Network Policy và Access Service | Routing and Remote Access Lúc này, hãy kích chuột phải vào mục Routing and Remote Access và chọn Configure and Enable Routing and Remote Access Khi đó Windows sẽ mở Routing and Remote Access Server Set... dẫn trong bài, chúng ta hãy gọi chính sách là RRAS Sau khi nhập RRAS vào trường Policy Name, bạn hãy chọn tùy chọn Remote Access Server (VPN-Dial up) từ mục chọn Type of Network Access Server, xem thể hiện trong hình B Hình B: Thiết lập kiểu cho Network Access Server là Remote Access Server (VPN-Dial up) Kích Next, khi đó wizard sẽ đưa bạn đến màn hình Specify Conditions Wizard sẽ không cho phép bạn... hiển thị màn hình Specify Access Permission Chọn nút Access Granted”, sau đó tích vào hộp kiểm Access is Determined by User Dial In Properties”, xem thể hiện trong hình D Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình D: Chọn nút Access Granted”, sau đó chọn Access is Determined by User Dial In” Màn hình tiếp theo mà các bạn sẽ gặp sẽ hỏi bạn về kiểu EAP nào bạn muốn... chúng tôi đã giới thiệu cho các bạn cách cấu hình bộ chỉ thị trạng thái sức khỏe của hệ thống để Windows sẽ kiểm tra xem các máy khách đang truy cập và mạng có kích hoạt tường lửa Windows hay không Giới thiệu cho các bạn cách tạo một chính sách sức khỏe hệ thống để định nghĩa những gì là thỏa mãn và không thỏa mãn với chính sách sức khỏe mạng Phần tiếp theo trong loạt bài này, chúng tôi sẽ giới thiệu cho... công nhận máy trạm đó đủ tiêu chuẩn về sức khỏe Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực, bạn sẽ không cấu hình Network Policy Server trên cùng một máy chủ với máy chủ VPN Máy chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn nếu cấu hình Network Policy Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp những rủi ro vì Network Policy Server sẽ bị thỏa hiệp ... http://www.simpopdf.com Network Access Protection - Phần Brien M Posey Trong phần tiếp tục giới thiệu Network Access Protection cách giới thiệu cho bạn cách cấu hình Network Policy Server Trong phần trước loạt giới. .. Version - http://www.simpopdf.com này, tiếp tục giới thiệu cho bạn thực thi bổ sung tính Network Access Protection Cơ sở hạ tầng mạng cho Network Access Protection Việc thực thi sở hạ tầng mạng yêu... and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung Network Access Protection - Phần Trong phần hai loạt này, giới thiệu cho bạn cách cài đặt Enterprise Certificate Authority