GiớithiệubổsungvềNetworkAccessProtection–Phần8
Trong phần trước của loạt bài này, chúng tôi đã giớithiệu cho các bạn cách yêu cầu
chứng chỉ máy tính và cách kết hợp chứng chỉ đó với máy chủ VPN của bạn. Trong phần
này, chúng tôi sẽ giớithiệu sâu về cách máy khách sẽ kết nối với máy chủ VPN. Chú ý là
các máy khách này phải sử dụng hệ điều hành Windows Vista hoặc Windows XP SP3 và
phải là thành viên miền. Thêm vào đó bạn cần phải cấu hình để có thể chạy một thành
phần thực thi máy khách. Chúng tôi sẽ kích hoạt thành phần này thông qua chính sách
nhóm và trong bài này sẽ giớithiệu đến cách thực hiện đó.
Tạo nhóm bảo mật
Thứ đầu tiên trong quá trình tạo NetworkAccessProtection có liên quan đến nhóm chính
sách là bạn không muốn áp dụng nó cho tất cả các máy tính trên mạng của mình. Các
máy chủ mạng là một ví dụ, sẽ không bao giờ kết nối thông qua VPN, vì vậy sẽ không
được cấu hình như các máy khách NetworkAccess Protection. Vì chúng ta cần phân biệt
giữa các máy tính hành động như các máy khách NetworkAccessProtectionphần còn lại
nên hãy bắt đầu quá trình bằng cách tạo một nhóm bảo mật để có thể áp dụng các thiết
lập chính sách.
Để tạo một nhóm bảo mật cần thiết, mở giao diện điều khiển Active Directory Users và
Computers. Khi giao diện điều khiển mở, kích chuột phải vào miền của bạn và chọn New
| Group. Khi thực hiện xong thao tác đó, Windows sẽ mở hộp thoại New Object –
Groups. Tiếp tục và chỉ định NAP Clients là tên của nhóm. Bảo đảm rằng phạm vi của
nhóm được thiết lập là Global và bảo đảm rằng kiểu nhóm cũng được thiết lập là
Security. Sau đó kích OK để tạo nhóm.
Cài đặt tính năng quản lý chính sách nhóm
Thứ tiếp theo bạn cần phải thực hiện là cài đặt tính năng quản lý nhóm chính sách Group
Policy Management để có thể điều chỉnh các thiết lập chính sách nhóm khác nhau. Để
thực hiện điều đó, mở
Server Manager và vào phần Features Summary. Kích liên kết
Add Features, khi đó bạn sẽ thấy xuất hiện màn hình hiển thị tính năng nào hiện đã được
cài đặt. Nếu tính năng mình cần chọn này chưa được cài đặt, hãy tích vào hộp kiểm tương
ứng Group Policy Management. Cuối cùng, kích Next, và Install. Khi quá trình cài đặt
được hoàn tất, hãy kích
Close để đóng cửa sổ cài đặt. Bạn cũng có thể đóng cả Server
Manager lúc này.
Tạo các thiết lập chính sách nhóm
Lúc này với nhóm bảo mật cần thiết thích hợp, chúng ta cũng đã cài đặt tính năng Group
Policy Management, hãy tiếp tục và cấu hình các thiết lập nhóm chính sách cần thiết. Bắt
đầu quá trình bằng cách nhập lệnh
GPME.MSC vào nhắc lệnh Run. Khi bạn thực hiện
điều đó, Windows sẽ hiển thị một hộp thoại cho phép bạn chọn ra trong các chính sách
nhóm đang tồn tại mà bạn muốn soạn thảo. Thay cho việc chỉnh sửa một trong các nhóm
chính sách tồn tại, chúng ta cần phải tạo một đối tượng chính sách nhóm mới.
Bạn có thể thực hiện điều đó bằng cách kích nút Create New Group Policy Object ở
bên phải của danh sách liệt kê cho miền của bạn. Khi kích nút này, bạn sẽ được nhắc nhở
nhập vào tên của đối tượng chính sách nhóm mà bạn đang tạo. Cho mục đích của bài này,
chúng ta hãy gọi đối tượng chính sách nhóm mới là NAP Client Settings.
Lúc này đối tượng chính sách nhóm mới đã được tạo, hãy chọn nó và kích OK. Khi đó
Windows sẽ mở Group Policy Management Editor. Bạn phải tìm trong cây giao diện điều
khiển đến phần
Computer | Configuration | Policies | Windows Settings | Security
Settings | System Services.
Kích đúp vào NetworkAccessProtection Agent trong phần
panel chi tiết.
Windows lúc này sẽ mở hộp thoại NetworkAccessProtection Agent Properties. Chọn
hộp kiểm “Define This Policy Setting” sau đó chọn tùy chọn Automatic startup. Kích
OK để đóng hộp kiểm.
Điều hướng thông qua cây giao diện vào Computer Configuration | Policies | Windows
Settings | Security Settings | NetworkAccessProtection | NAP Client Configuration |
Enforcement Clients. Khi đó panel chi tiết sẽ hiển thị danh sách các máy khách thực thi
có sẵn. Kích chuột phải vào Remote Access Quarantine Enforcement Client, sau đó
chọn Enable. Quay trở lại mục NAP Client Configuration, kích chuột phải vào nó và
chọn Apply.
Quay trở lại Computer Configuration | Policies | Administrative Templates |
Windows Components | Security Center. Kích đúp vào mục “Turn on Security
Center (Domain PCs Only)” trong phần panel chi tiết. Khi bạn thực hiện điều đó,
Windows sẽ hiển thị hộp thoại “Turn on Security Center (Domain PCs Only)”. Chọn tùy
chọn Enabled và kích OK để bảo đảm rằng Security Center có thể truy cập từ các máy
tính khách. Điều này rất quan trọng vì chúng ta sẽ test NetworkAccessProtectionvề khả
năng phát hiện xem Windows firewall đã được kích hoạt hay chưa.
Để hoàn tất quá trình, kích
OK sau đó đóng Group Policy Management Editor. Trong
một số trường hợp, bạn có thể nhận được một nhắc nhở hỏi bạn có muốn áp dụng các
thay đổi vừa thực hiện cho đối tượng chính sách nhóm hay không. Nếu nhận được nhắc
nhở như vậy, bạn phải chọn “Apply”.
Cấu hình các bộ lọc bảo mật
Thứ tiếp theo bạn phải thực hiện là áp dụng một số bộ lọc bảo mật nhằm ngăn chặn
không cho các thiết lập của máy khách NetworkAccessProtection đang được sử dụng
cho các máy chủ mạng. Để cấu hình các bộ lọc cần thiết, hãy nhập vào lệnh
GPMC.MSC tại cửa sổ Run. Khi đó Windows sẽ mở Group Policy Management
Console. Tìm đến Domain | your domain | Group Policy Objects | NAP Client
Settings.
Nếu quan sát vào phần panel chi tiết, bạn sẽ thấy phần có dán nhãn Security Filtering
hướng về phía dưới của màn hình. Mặc định, chính sách sẽ áp dụng cho những người
dùng đã được thẩm định. Chúng ta cần thay đổi để chính sách không áp dụng cho những
ai đã đăng nhập vào lần trước đó. Kích Authenticated Users, sau đó kích nút Remove.
Kích OK khi Windows hỏi bạn có chắc chắn hay không.
Lúc này kích nút
Add. Windows sẽ yêu cầu bạn chọn người dùng, máy tính hoặc nhốm
muốn sử dụng như một bộ lọc bảo mật. Nhập
NAP Clients vào phần không gian được
cung cấp, kích nút Check Names. Giả dụ rằng tên đó được tạo thành công, kích OK.
Kết luận
Lúc này tất cả những thiết lập chính sách nhóm cần thiết đều đã thích hợp. Trong phần
tiếp theo của loạt bài này, chúng tôi sẽ giớithiệu cho các bạn cách bổsung thêm máy
tính khác vào nhóm bảo mật đã được tạo trong bài này. Từ đó chúng tôi sẽ giớithiệu cách
thực hiện một số bài test để bảo đảm rằng các thiết lập chính sách nhóm đã định nghĩa
hiện được áp dụng theo cách thích hợp. Tiếp đó sẽ test NetworkAccessProtection và bảo
đảm rằng nó có thể phát hiện Windows firewall có được kích hoạt trên máy tính khách
hay không.
. Giới thiệu bổ sung về Network Access Protection – Phần 8
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách. các máy khách Network Access Protection. Vì chúng ta cần phân biệt
giữa các máy tính hành động như các máy khách Network Access Protection phần còn lại