Giới thiệu về Network Access Protection (Phần 1)
Ngu
ồ
n:quantrimang.com
Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là
việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng
của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để
ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã
bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời.

Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truy
cập mạng trong Longhorn Server và cách thức mà nó làm việc.

Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là có
quá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh của
tổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ các
vị trí khác nhau bên ngoài v
ăn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôi
đã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôi
vẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng.

Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từ
xa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụng
máy tính bị
nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hành
phiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngại
đối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hại
đến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tin
do máy tính của họ bị nhiễm Trojan.

Vài nă

m trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hành
Windows Server 2003 R2, trong đó có một tính năng mới là Network Access
Protection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năng
bảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2.

Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sau
thời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng b
ảo mật
chính trong Longhorn Server. Mặc dù phiên bản Network Access Protection của
Longhorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server
2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viết
này chủ yếu cung cấp cho các bạn một chút giới thiệu về Network Access
Protection và cách làm việc của nó trước khi Longhorn Server được phát hành.

Trước khi bắt đầu

Trước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tính
Simpo PDF Merge and Split Unregistered Version -
năng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảm
máy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chức
bạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu một
người xâm phạm có một máy tính đáp ứng được các chính sách bảo mật của
công ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truy
cập của người này. Việ
c ngăn chặn truy nhập của người này là công việc của
các kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn người
dùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm.

Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tính
năng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng)

có trong Windows Server 2003. Chức năng có trong Windows Server 2003 này
cung cấp kiểm soát chính sách b
ảo vệ giới hạn cho các máy tính từ xa nhưng
hoàn toàn thua kém so với NAP.

Nền tảng cơ bản về NAP

NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầu
khi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịch
vụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ có
chính sách mạng sẽ kiểm tra tính hợp lệ
về “sức khỏe” hay độ an toàn của hệ
thống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tính
từ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậy
những gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiết
lập.

Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặc
cách ly. Nế
u một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào với
một thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyên
mạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sách
bảo mật của công ty hay không.

Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việc
tạo chuyển tiếp đối với môi trường NAP. Nếu b
ạn có một số người dùng từ xa
cần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thể
không muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đó
thì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đó

bạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này cho
phép đánh giá được ảnh hưởng c
ủa các chính sách truy cập mạng mà không
phải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã được
kiểm tra tốt thì bạn có thể chuyển chính sách sang chế độ cách ly.

Như đã dự tính, chế độ cách ly làm việc bằng cách định vị các máy tính từ xa
Simpo PDF Merge and Split Unregistered Version -
không tuân thủ đúng chính sách bảo mật của công ty và sẽ bị cách biệt với tài
nguyên của mạng. Nhưng cuối cùng thì quản trị viên cũng phải điều khiển những
gì mà máy tính không tuân thủ này có thể truy cập. Thông thường, một quản trị
viên sẽ trao cho các máy tính nào quyền vào một đoạn mạng đã được cách ly
(vấn đề này sẽ đươc nói sau) và hạn chế việc truy cập tới những tài nguyên
quan trọng nào đ
ó hay ngăn chặn việc truy cập đến tất cả tài nguyên mạng.

Có lẽ bạn đang phân vân là có những thuận lợi gì đối với việc đồng ý cho các
máy tính không tuân thủ chính sách của quản trị viên này truy cập vào phần
mạng đã được cách ly. Khi một máy tính không tuân thủ gắn vào mạng và NAP
đang hoạt động trong chế độ cách ly, máy tính không tuân thủ sẽ bị cách ly đối
với mạng lớn. Thông thường, sự cách ly này được kéo dài trong suốt khoảng
thời gian kết nối của người dùng. Đơn giản việc cách ly một máy không tuân thủ
có thể giúp ngăn chặn những xâm nhập gây ra bởi virus hoặc những lỗ hổng bảo
mật trên mạng của bạn, nhưng nó cũng không hoàn toàn tốt cho những người
truy cập từ xa vì những người dùng này không thể kết nối vào được tài nguyên
mạng và chính vì vậy mà họ không thể làm được công việc của họ.

Và khi gặp v
ấn đề này thì đoạn mạng cách ly trở nên có vai trò quan trọng. Một
quản trị viên có thể đặt các tài nguyên đã được nâng cấp về an toàn vào những

đoạn cách ly. Những tài nguyên nâng cấp về an toàn là các server được bảo vệ
khi làm cho máy tính truy cập từ xa không tuân thủ thành tuân thủ. Chúng có thể
cài đặt các bản vá bảo mật hoặc các phần mềm virus nâng cấp.

Một thứ cần phải chú ý ở đây là NAP không có bất kỳ một kỹ thuậ
t nào có khả
năng thẩm tra độ an toàn của máy tính từ xa hay áp dụng các nâng cấp đối với
máy tính từ xa. Vấn đề này là công việc của System Health Agents và System
Health Validators. Có thông tin cho rằng các thành phần này sẽ được tích hợp
vào phiên bản tới của SMS Server.

Kết luận

Trong bài viết này, chúng tôi đã giới thiệu cho các bạn về tính năng NAP của
Longhorn Server. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu
cho bạn quá trình cấu hình của nó như th
ế nào.

Simpo PDF Merge and Split Unregistered Version -
Giới thiệu về Network Access Protection (Phần 2)
Ngu
ồ
n:quantrimang.com
Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn
một số khái niệm liên quan đến Network Access Protection. Trong phần hai
này chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bản
và các điều kiện quyết định khác. Sau đó là quá trình cấu hình như thế nào.

Cơ sở hạ tầng Network Access Protection


Việc thi hành NAP cần sử dụ
ng một số máy chủ, mỗi một máy chủ có một vai trò
riêng. Bạn có thể xem ở hình A để có cái nhìn tổng quát về vấn đề này.

Hình A: Việc thi hành NAP yêu cầu một số máy chủ để sử dụng
Như bạn thấy trong sơ đồ, client Windows Vista đang kết nối đến một Longhorn
Server đang chạy dịch vụ truy cập từ xa (RRAS). Máy chủ này làm việc như máy
chủ VPN cho mạng. Client Windows Vista thiết lập mộ
t kết nối đến máy chủ VPN
này theo cách thông thường.

Khi người dùng từ xa kết nối đến máy chủ VPN thì bộ kiểm tra miền sẽ kiểm tra
tính hợp lệ của máy tính người dùng xem nó có đáp ứng được với chính sách
mạng và chỉ ra những chính sách an toàn nào đã được đáp ứng, một máy chủ
Simpo PDF Merge and Split Unregistered Version -
được sử dụng để cấu hình cả Remote Access Service và Network Policy Server.
Trong thế giới thực, các máy chủ VPN hoạt động ở lớp vành đai mạng và không
nên cấu hình máy chủ chính sách mạng trên máy chủ vành đai.

Bộ điều khiển miền

Nếu nhìn vào sơ đồ hiển thị trong hình A thì bạn sẽ thấy được rằng một trong
những máy chủ yêu cầu là bộ điều khiển miền. Không nên nghĩ nó chỉ
là một
máy chủ riêng lẻ, nó có thể khá như một cơ sở hạ tầng Active Directory trọn vẹn.
Một Active Directory không thể hoạt động mà không có máy chủ DNS, nếu sơ đồ
đã trình bày biểu diễn đúng một mạng thì bộ điều khiển miền sẽ đang cấu hình
các dịch vụ DNS. Tất nhiên trong các tổ chức thế giới thực sử dụng điển hình
nhiều bộ
điều khiển miền và các máy chủ DNS chuyên dụng.


Nhân tố khác cần xem xét cho sự không rõ ràng ở sơ đồ là quyền cấp chứng chỉ
hoạt động kinh doanh cũng được yêu cầu. Trong trường hợp sơ đồ này, các dịch
vụ cấp chứng chỉ có thể dễ dàng được cấu hình trên bộ điều khiển miền. Trong
thế giới thực, một máy chủ chuyên dụng thường được sử dụ
ng như quyền cấp
chứng chỉ bởi vì tính chất nhạy cảm của các chứng chỉ số.

Trong trường hợp bạn đang phân vân, lý do tại sao quyền cấp chứng chỉ hoạt
động kinh doanh được yêu cầu là bởi vì máy chủ VPN sử dụng giao thức PEAP-
MSCHAPv2 để thẩm định. Giao thức PEAP là chứng chỉ gốc. Máy chủ VPN sẽ
sử dụng một chứng chỉ máy bên cạnh máy chủ, nhưng ng
ược lại các client lại
sử dụng các chứng chỉ người dùng.

Cài đặt quyền cấp chứng chỉ hoạt động kinh doanh

Thủ tục cho việc triển khai một quyền cấp chứng chỉ hoạt động kinh doanh thay
đổi phụ thuộc vào việc bạn đang cài đặt các dịch vụ trên Windows 2003 Server
hay Longhorn Server. Một trong những mục đích của tôi trong bài viết này
hướng tới cho các bạn đọc đã khá thân thiện v
ới Longhorn Server. Các thủ tục
dưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên Longhorn
Server.

Trước khi trình bày cách làm thế nào để cài đặt các dịch vụ chứng chỉ thì bạn
cần phải ghi nhớ 2 điều. Đầu tiên đó là, Longhorn Server vẫn là bản chạy thử
nghiệm, do vậy nó có thể thay đổi cho tới khi sản phẩm cuối cùng được phát
hành, một thay đổi lớn trong quá trình phát triển ứng d
ụng này là khó có thể xảy

ra.

Điều thứ hai cần phải lưu ý đó là khi triển khai trong thế giới thực thì bạn luôn
muốn có được các phép đo hiệu quả để bảo đảm quyền cấp chứng chỉ hoạt
Simpo PDF Merge and Split Unregistered Version -
động kinh doanh là an toàn. Hơn tất cả, nếu ai đó đã đoạt được quyền cấp
chứng chỉ hoạt động kinh doanh của bạn thì họ có thể làm chủ được mạng. Do
bài viết này chỉ tập trung vào NAP nên chúng tôi sẽ giới thiệu cho các bạn một
chút về dịch vụ cấp chứng chỉ này và hoạt động của nó. Trong triển khai thế giới
thực, bạn sẽ muốn có được v
ề cấu hình của máy chủ.

Bắt đầu quá trình triển khai bằng việc mở Server Manager của Longhorn Server
và chọn tùy chọn Manage Roles. Tiếp theo, nhấn liên kết Add Roles đã tìm thấy
trong phần Roles Summary. Việc này sẽ là cho Windows khởi động Add Roles
Wizard. Nhấn Next để bỏ qua của sổ này. Bạn sẽ thấy một danh sách chứa tất
cả các thành phần sẵn có. Chọn tùy chọn Active Directory Certificate Server
từ danh sách. Đ
ôi khi có thể không xuất hiện các thành phần được liệt kê theo
thứ tự alphabe, chính vì vậy bạn có thể phải đọc thông qua toàn bộ danh sách
để tìm dịch vụ thích hợp. Nhấn Next để tiếp tục.

Cửa sổ này sẽ giới thiệu cho bạn về các dịch vụ cấp chứng chỉ và cung cấp một
số chú ý. Nhấn Next, bạn sẽ thấy một cửa sổ khác hỏi về thành phầ
n nào muốn
cài đặt. Chọn các hộp checkbox Certification Authority và Certificate
Authority Web Enrollment và nhấn Next.

Bây giờ bạn sẽ thấy một cửa sổ hỏi có muốn tạo một quyền cấp chứng chỉ hoạt
động kinh doanh hay không hay một quyền chứng chỉ độc lập. Chọn tùy chọn

Enterprise Certificate Authority và nhấn Next. Bạn sẽ được nhắc nhở xem
máy chủ này có nên thực hiện như một Root CA hay Subordinate CA
không.
Nếu đây là lần đầu tiên quyền cấp chứng chỉ trong phòng thì bạn nên chọn tùy
chọn Root CA. Nhấn Next để tiếp tục.

Wizard sẽ hỏi xem có muốn tạo một khóa riêng mới hay sử dụng khóa riêng
đang tồn tại. Nếu đây lại là một thử nghiệm thì bạn chọn tùy chọn tạo một khóa
riêng mới và nhấn Next để tiếp tục.

Cửa sổ ti
ếp theo sẽ yêu cầu bạn chọn một nhà cung cấp dịch vụ bằng mật mã,
chiều dài khóa và thuật toán hash. Trong triển khai thế giới thực, có nhiều thứ
cần phải xem xét cẩn thận. Khi chúng ta đang thiết lập quyền cấp chứng chỉ này
cho mục đích chứng minh thì chúng ta nên để mặc định và nhấn Next.

Cửa sổ tiếp theo để bạn định nghĩa một tên chung và hậu tố tên đặ
c biệt đối với
quyền cấp chứng chỉ. Lại tiếp tục chọn mặc định và nhấn Next.

Bây giờ bạn nên xem cửa số đang yêu cầu thời gian chứng chỉ hợp lệ là bao lâu,
mặc định chu kỳ này là 5 năm, điều đó khá tốt đối với các mục đích của chúng
ta, vì vậy hãy nhấn Next để tiếp tục. Cửa số tiế
p theo sẽ hỏi xem các cơ sở dữ
liệu chứng chỉ và các bản ghi phiên liên lạc tương ứng của chúng sẽ được đặt ở
Simpo PDF Merge and Split Unregistered Version -
đâu. Trong môi trường sản xuất, việc chọn một vị trí thích hợp có tác dụng giới
hạn cho khả năng chống sai sót và bảo mật. Nếu được tiến hành thử nghiệm,
bạn hãy để mặc định và nhấn Next.


Cuối cùng là cửa sổ diễn tả chi tiết về các tùy chọn mà bạn đã chọn. Nhấn nút
Install sau đó Windows sẽ copy những file cần thiết và cấu hình các dịch vụ
bên
dưới.

Kết luận

Vậy là chúng tôi đã trình bày cho các bạn cách cấu hình quyền cấp chứng chỉ
hoạt động kinh doanh, và là thời điểm bạn bắt đầu cấu hình máy chủ VPN. Mời
các bạn đón xem phần 3.

Simpo PDF Merge and Split Unregistered Version -
Giới thiệu về Network Access Protection (Phần 3)
Ngu
ồ
n:quantrimang.com
Trong phần 2 của loạt bài viết này, chúng ta đã đi qua toàn bộ quá trình cài
đặt Enterprise Certificate Authority (ECA) được sử dụng bởi một máy chủ.
Trong phần 3 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách làm
thế nào đề cấu hình máy chủ VPN cần thiết. Với các mục đích trong loạt bài
viết này, chúng tôi sẽ cài đặt Network Policy Server vào một máy tính cùng cấu
hình như máy tính sử dụng cho máy chủ VPN. Trong triển khai của thế giớ
i thực
bạn luôn muốn sử dụng hai máy tính riêng biệt để cấu hình các vai trò của nó.
Việc cấu hình cả hai vai trò trên cùng một máy tính chỉ nên thực hiện trong
phòng thí nghiệm.

Các nhiệm vụ cấu hình cơ bản

Trước khi trình bày về cách cấu hình máy chủ này như một máy chủ VPN, bạn

phải thực hiện một số nhiệm vụ cấu hình cơ bản. Về bản chất, điều đ
ó nghĩa là
bạn phải cài đặt Longhorn Server và cấu hình nó để sử dụng một địa chỉ IP tĩnh.
Địa chỉ IP phải được đặt trong cùng một dãy bộ điều khiển miền mà bạn đã cấu
hình từ trước. Thiết lập Preferred DNS Server của máy chủ trong cấu hình
TCP/IP của nó cần phải chỉ rõ bộ điều khiển miền mà bạn thiết lập trong loạt bài
này khi nó cũng đang th
ực hiện như một máy chủ DNS. Sau khi kết thúc việc
thực hiện cấu hình khởi tạo của máy chủ VPN, bạn nên sử dụng lệnh “ping” để
xác minh lại xem máy chủ VPN đã truyền thông với bộ điều khiển miền chưa.

Nối tới một miền

Bạn đã chỉ định cấu hình TCP/IP của máy và đã kiểm tra kết nối của nó còn bây
giờ là lúc bạ
n bắt đầu với các nhiệm vụ cấu hình thực. Thứ đầu tiên phải làm đó
là nhập tên miền vào máy chủ mà bạn đã tạo trong phần trước. Quá trình nhập
vào một tên miền trên Longhorn Server cũng tương tự như trong Windows
Server 2003. Bạn nhấn chuột phải vào lệnh Computer tìm thấy trên menu Start
của máy chủ. Làm như vậy, với Longhorn Server bạn sẽ mở System applet của
Control Panel. Bây giờ kích vào nút Change Settings trong Computer Name,
Domain và phần Workgroup Settings trong màn hình này. Bằng cách đó bạ
n sẽ
khám phá được các thuộc tính của hệ thống System Properties. System
Properties không có gì khác mấy so với trong Windows Server 2003. Nhấn vào
nút Change để vào hộp thoại Computer Name Changes. Nhấn nút Domain, nhập
vào tên của miền vào trường Domain và nhấn OK.

Bạn nên xem hộp thoại đang nhắc nhở thiết lập một số chức năng. Nhập vào tên
người dùng và mật khẩu cho tài khoản quản trị miền, nhấn nút Submit. Sau đó

Simpo PDF Merge and Split Unregistered Version -
một lúc bạn sẽ thấy hộp thoại chào mừng. Nhấn OK bạn sẽ thấy hộp thoại cho
biết phải khởi động lại máy tính. Nhấn OK một lần nữa, sau nút Close. Khi khởi
động lại máy tính, bạn sẽ là một thành viên của miền đã chỉ định.

Cài đặt sự truy cập từ xa và định tuyến

Bây giờ bạn phải tiến hành cài đặt dịch vụ truy cập t
ừ xa và định tuyến Routing
and Remote Access. Sau đó chúng ta sẽ tiến hành cấu hình dịch vụ này làm việc
như trên một máy chủ VPN. Bắt đầu quá trình bằng việc mở Server Manager.
Bạn có thể tìm thấy một shortcut cho Server Manager trên menu Administrative
Tools. Khi Server Manager mở, bạn kéo phần trong cửa sổ chi tiết sau đó nhấn
vào Add Roles liên kết để khởi tạo Add Roles Wizard.

Khi wizard mở, bạn nhấn Next để bỏ qua cửa sổ ban đầu. Bạn nên quan sát cửa
sổ đang nhắ
c nhở bạn chọn vai trò nào để cài đặt trên máy chủ. Nhấn hộp
checkbox ứng với tùy chọn Network Access Services. Nhấn nút Next bạn sẽ thấy
một cửa sổ giới thiệu về các dịch vụ truy cập mạng Network Access Services.
Nhấn Next thêm một lần nữa bạn gặp một cửa sổ hỏi chọn các thành phần
Network Access Services nào muốn cài đặt. Chọn các hộp checkbox ứng với
Network Policy Server và Routing and Remote Access Services.

Khi bạn chọn các dịch v
ụ truy cập mạng và định tuyến Routing and Remote
Access Services, dịch vụ truy cập từ xa Remote Access Service, định tuyến
Routing và bộ quản trị kết nối Connection Manager Administration Kit thì các hộp
checkbox sẽ tự động được tích. Bạn phải bỏ chọn checkbox Remote Access
Service đã được chọn đi vì nếu chọn nó sẽ cài đặt các thành phần sẽ cần thiết

cho máy chủ để làm việc như một VPN. Hai hộp checkbox khác có thể tùy chọn.
Nếu muố
n máy chủ có chức năng như một bộ định tuyến NAT hay sử dụng các
giao thức như IGMP proxy hay RIP, thì bạn cần bỏ chọn phần Routing.

Nhấn Next bạn sẽ thấy một cửa sổ hiển thị các loại dịch vụ sẽ được bạn đã cài
đặt. Nếu mọi thứ đều diễn ra tốt đẹp, nhấn nút Install để bắt đầu quá trình cài
đặt. Có thể điều b
ạn muốn biết ở đây sẽ tốn mất thời gian là bao lâu trong việc
cài đặt này đối với phiên bản cuối cùng của Longhorn Server phát hành. Bài test
của chúng tôi được tiến hành trên phiên bản thử nghiệm của Longhorn Server và
quá trình cài đặt mất vài phút để hoàn tất. Trong thực tế, máy chủ sẽ cho bạn
cảm giác rằng nó bị khóa trong suốt quá trình cài đặt. Khi quá trình cài đặt hoàn
tất, bạn nhấn nút Close.

Sau khi bạn cài đặt Network Access Services, bạn cấu hình Routing and Remote
Access Services để chấ
p nhận các kết nối VPN. Bắt đầu bằng việc nhập lệnh
MMC vàp cửa sổ lệnh RUN của máy chủ. Bằng cách làm như vậy bạn sẽ mở
một Microsoft Management console (MMC) trống. Chọn Add/Remove Snap-in từ
Simpo PDF Merge and Split Unregistered Version -
menu File. Windows sẽ hiển thị cho bạn một danh sách các mô đun phần mềm
có sẵn. Chọn mô đun phần mềm Routing and Remote Access trong danh sách
đó và nhấn nút Add sau đó nhấn OK. Mô đun phần mềm này sẽ được nạp ra
giao diện làm việc.

Nhấn chuột phải vào phần chứa Server Status của giao diện sử dụng và chọn
Add Server từ kết quả của menu tắt. Khi được nhắc, bạn chọn tùy chọn máy tính
này và nhấn OK. Giao diệ
n sử dụng sẽ hiển thị một danh sách máy chủ của bạn.

Nhấn chuột phải vào danh sách với máy chủ và chọn Configure and Enable
Routing and Remote Access từ menu đó. Cửa sổ Routing and Remote Access
Server Setup Wizard sẽ được mở.

Nhấn Next để bỏ qua màn hình welcome của wizard. Bạn nên quan sát cửa sổ
sau đó, cửa sổ này hỏi xem bạn muốn sử dụng cấu hình nào. Chọn tùy chọn
Remote Access (dial-up hoặc VPN) và nhấn Next. Cửa sổ dưới đây sẽ
cho bạn
một sự lựa chọn giữa việc cấu hình truy cập dial-up hoặc VPN. Chọn checkbox
VPN và nhấn Next.

Wizard sẽ đưa bạn đến phần kết nối VPN, chọn giao diện mạng sẽ được sử
dụng bởi các client để kết nối đến máy chủ VPN và bỏ chọn Enable Security trên
Selected Interface bằng checkbox Setting up Static Packet Filters. Nhấn next và
sau đó chọn From a Specified Address, sau đó nhấn Next lần nữa.

Ở đây, bạn sẽ th
ấy một cửa sổ hỏi nhập dãy địa chỉ IP có thể được gán cho các
client VPN. Nhấn nút Next và nhập địa chỉ đầu và địa chỉ cuối cho dãy địa chỉ IP.
Nhấn OK, sau đó là Next. Windows sẽ mở cửa sổ của Managing Multiple
Remote Access Server

Bước tiếp theo trong quá trình này là chọn tùy chọn Yes để cấu hình máy chủ
làm viêc với một máy chủ Radius. Bạn sẽ được nhắc nhở nhập vào địa chỉ IP
cho máy chủ Radius. Vì NPS sẽ chạy cùng v
ới Routing and Remote Access
Services, nên bạn chỉ cần nhập các máy chủ có địa chỉ IP chính và địa chỉ
Radius thứ cấp. Bạn cũng sẽ bị nhắc nhở để nhập vào đó một bí mật được cấp
tương đương nhau. Với mục đích chứng minh, bạn chỉ cần nhập vào rras. Nhấn
Next sau đó là Finish. Bạn sẽ thấy một vài cảnh báo. Hãy nhấn OK để đóng các

cảnh báo này.

Bước cuố
i cùng trong quá trình cấu hình RRAS là thiết lập sơ đồ thẩm định. Để
làm việc này, bạn nhấn chuột phải vào danh sách máy chủ và chọn Properties.
Khi thấy các thuộc tính của máy chủ, bạn hãy vào tab Security. Thêm EAP-
MSCHAPv2 và PEAP vào phần Authentication Methods và nhấn OK.

Kết luận
Simpo PDF Merge and Split Unregistered Version -

Trong phần này, chúng tôi đã giới thiệu cho các bạn làm thế nào để cài đặt và
cấu hình các dịch vụ truy cập từ xa và định tuyến Routing and Remote Access
Services theo cách để cho phép máy chủ làm việc như một máy chủ VPN. Trong
phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn làm
thế nào để cấu hình thành phần Network Policy Server.

Simpo PDF Merge and Split Unregistered Version -
Giới thiệu về Network Access Protection (Phần 4)
Ngu
ồ
n:quantrimang.com
Trong phần trước của loạt bài này, chúng tôi đã trình bày cho các bạn làm
thế nào để cấu hình thành phần VPN được sử dụng để cho phép người
dùng bên ngoài có thể truy cập vào mạng của chúng ta. Trong phần 4 này,
chúng tôi sẽ tiếp tục giới thiệu với các bạn về làm thế nào để cấu hình
thành phần Network Policy Server.

Như tôi đã giải thích trong loạt bài này, công việc của Network Policy Server là
so sánh về tình trạng an toàn của các máy tính đang cần truy c

ập vào mạng
bằng chính sách đã được định trước của mạng. Chính sách này đưa ra những
yêu cầu cần thiết của các máy truy cập để đảm bảo độ an toàn cho mạng.

Nói theo cách khác, chính sách bảo vệ của một hệ thống yêu cầu các trạm làm
việc đang sử dụng hệ điều hành Windows hiện tại và có tất cả các bản vá mới
nhất. Không quan tâm đến tiêu chuẩn gì sử dụng để quy
ết định trạm làm việc
này có an toàn hay không, bạn sẽ phải thực hiện một số công việc. Tiêu chuẩn
an toàn rất khác nhau đối với mỗi một công ty chính vì vậy mà Microsoft đã để
chính sách này trống (ít nhất là cho đến phiên bản beta này). Như vậy, nó sẽ bắt
buộc phải được cấu hình những chính sách an toàn của riêng bạn.

Để minh chứng, chúng tôi sẽ tạo một ví dụ đơn giản để xem xem tường lửa của
Windows có được kích hoạt không. Nếu tường lửa được kích hoạt thì chúng ta
sẽ xem xét đến độ an toàn của máy trạm làm việc.

Như những gì tôi đã đề cập đến trong các phần trước, trong thế giới thực, bạn
không nên cấu hình Network Policy Server trên cùng một máy chủ VPN. Máy
chủ VPN được lộ diện cho thế giới bên ngoài và việc cấu hình NPS trên cùng
một máy là tự rước các vấn đề phức tạp về mình. Không có gì trong Windows có
thể ngăn ch
ặn bạn sử dụng cùng máy chủ cho cả hai thành phần VPN và
Network Policy Server, do chỉ để minh chứng mà chúng tôi sẽ sử dụng trên cùng
một máy chủ để cấu hình cho cả hai thành phần này.

Bắt đầu quá trình cấu hình bằng việc nhập lệnh MMC tại cửa sổ lênh RUN để
mở một MMC trống. Khi giao diện này được mở, bạn chọn Add / Remove Snap-
in từ menu File của giao diện. Trong cửa sổ Add / Remove Snap-in bạn chọn tùy
chọn Network Policy Server từ danh sách có sẵn và nhấn nút Add. Bạn nên

quan sát cửa sổ đang hỏi xem có thích quản lý máy tính cục bộ hay máy tính
khác hay không. Phải bảo đảm rằng tùy chọn Local Computer được chọn và
sau đó nhấn OK. Nhấn OK thêm lần nữa và thành phần Network Policy Server
sẽ được mở.
Simpo PDF Merge and Split Unregistered Version -

Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) |
Network Access Protection | System Health Validators, như trong hình A.
Bây giờ bạn nhấn chuột phải vào đối tượng Windows System Health
Validators được tìm thấy trong phần giữa của giao diện sử dụng, chọn
Properties từ menu kết quả. Windows sẽ hiển thị hộp thoại Windows Security
Health Validator Properties như trong hình B.

Hình A: Điều hướng thông qua giao diện cây đến
NPS (Local) | Network Access Protection | System Health Validators
Simpo PDF Merge and Split Unregistered Version -

Hình B: Hộp thoại Windows Security Health Validator Properties
được sử dụng để cấu hình tiêu chuẩn an toàn hợp lệ.
Nhấn nút Configure của hộp thoại, Windows sẽ hiển thị cho bạn hộp thoại
Windows Security Health Validator như hình C. Như những gì có thể thấy
được trong hình, hộp thoại này cho phép bạn định nghĩa chính sách sức khỏe
hợp lệ của hệ thống. Mặc định hộp thoại này được cấu hình với tườ
ng lửa
Windows, có thể nâng cấp Windowsvà bảo vệ chương trình diệtVirus-Spyware
được cài đặt và nâng cấp. Nếu chỉ quan tâm đến việc bảo đảm tường lửa
Windows được kích hoạt, hãy chọn checkbox A Firewall is Enabled for all
Network Connections và hủy chọn tất cả các checkbox khác. Nhấn OK hay lần
để tiếp tục.
Simpo PDF Merge and Split Unregistered Version -


Hình C: Chọn phần A Firewall is Enabled for all Network Connections
và hủy chọn các thành phần khác.
Bây giờ bạn đã cấu hình System Health Validators, tiếp sau bạn phải cấu hình
mẫu System Health Validator. Các mẫu System Health Validator định nghĩa các
kết quả máy khách hợp lệ của hệ thống. Về bản chất, điều này nghĩa là định
nghĩa những gì cấu thành một loại bỏ hay cho qua khi thực hiện trên một client.

Để cấu hình mẫu bảo vệ
NPS, bạn kích chuột phải vào mẫu System Health
Validator Template và chọn lệnh New từ menu. Sau đó Windows sẽ hiển thị
một hộp thoại mẫu tạo mới Create New SHV Template được hiển thị như hình
D.
Simpo PDF Merge and Split Unregistered Version -

Hình D: Bạn phải tạo một mẫu mới
Như những gì thấy trong hình vẽ, hộp thoại nhắc nhở bạn nhập vào tên của một
mẫu mới. Nhập Compliant vào trường Name. Phải bảo đảm rằng danh sách sổ
xuống của Template Type được thiết lập là Client Passes all SHV Checks.
Chọn checkbox Windows System Health Validator và nhấn OK.

Bây giờ chúng ta đã tạo một mẫu định nghĩ
a những gì cần phải tuân thủ. Chúng
ta phải tạo mẫu thứ hai để định nghĩa ý nghĩa của chúng như thế nào cho một hệ
thống với sự tuân thủ đó. Để thực hiện công việc này, bạn nhấn chuột phải vào
System Health Validator Templates và chọn New. Bạn nên quan sát màn hình
đã làm việc vừa mới đây.

Lúc này, đặt tên cho mẫu NonCompliant. Thiết lập Template Type cho Client
Fails hoặc More SHV Checks. Ch

ọn Windows Security Health Validator và
nhấn OK. Nếu quay trở lại màn cửa sổ chính của giao diện Network Policy
Server và chọn System health Validator Templates thì bạn sẽ quan sát thấy cả
hai mẫu Compliant và NonCompliant được hiển thị trong cửa sổ trung tâm của
giao diện như hình E.
Simpo PDF Merge and Split Unregistered Version -

Hình E
Nếu quay trở lại màn cửa sổ chính của giao diện Network Policy Server và chọn
System health Validator Templates thì bạn sẽ quan sát thấy cả hai mẫu
Compliant và NonCompliant được hiển thị trong cửa sổ trung tâm của giao
diện.

Kết luận

Trong bài viết này, chúng tôi đã trình bày cho các bạn cách cấu hình để
Windows có thể kiểm tra để xác định xem các client đang yêu cầu truy cập vào
mạng có tường lửa được kích hoạt hay không. Mời các bạn tiếp t
ục đón xem
phần sau.

Simpo PDF Merge and Split Unregistered Version -
Giới thiệu về Network Access Protection (Phần 5)
Ngu
ồ
n:quantrimang.com
Trong loạt các bài trước về chủ đề này, chúng tôi đã giới thiệu cho các bạn
cách cấu hình một chính sách an toàn để Windows kiểm tra xem các client
đang yêu cầu truy cập vào mạng có tường lửa đã được kích hoạt chưa.
Tiếp sau đó là cách tạo các mẫu hợp lệ về hệ thống để định nghĩa những g

ì

là hợp và không hợp với chính sách an toàn của một mạng.

Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về làm thế nào để tạo các
chính sách cấp phép an toàn. Các chính sách này dùng để kiểm soát những gì
xảy ra khi có một client cần kiểm tra hay không cần kiểm tra đối với chính sách
an toàn mạng. Đây cũng là các chính sách đề chỉ ra mức truy cập đối với các
client khi chúng truy cập vào mạng.

Bắt đầu quá trình bằng việc mở giao diện sử d
ụng Network Policy Server và
chọn Authorization Policies. Quan sát cửa sổ Details xem có tồn tại các chính
sách cấp phép nào chưa. Trong hệ thống test của chúng tôi, có bốn chính sách
cấp phép đã tồn tại từ trước, tuy nhiên không ai giám chắc các chính sách này
sẽ tồn tại đến tận phiên bản cuối cùng của Longhorn Server. Đối với các chính
sách đang tồn tại, bạn hoàn toàn có thể xóa chúng bằng cách kích chuột phải và
chọn lệnh Delete.

Sau khi đã xóa sạch các chính sách tồn tại trước đ
ó bạn hoàn toàn có thể tạo
một chính sách cấp phép mới. Để thực hiện, bạn kích chuột phải vào mục chứa
Authorization Policy và chọn các lệnh New | Custom bằng cách kích chuột phải.
Windows sẽ hiển thị cho bạn cửa sổ New Authorization Policy Properties.

Thứ đầu tiên bạn sẽ phải thực hiện đó là phải gán một tên cho một chính sách.
Hãy lấy tên như tên trong hình A đã hiển thị Compliant-Full-Access. Bình
thường bạn sẽ
phải nhập vào tên của chính sách vào trường tên có trong tab
Overview. Sau đó bạn chọn tùy chọn Grant Access trong mục Policy Type để

không cho phép người dùng có thể có đầy đủ toàn bộ quyền truy cập đối với
mạng của bạn.
Simpo PDF Merge and Split Unregistered Version -

Hình A: Thiết lập loại chính sách ở chế độ Grant Access
Bây giờ hãy chọn tab Conditions của cửa sổ properties. Như tên được ngụ ý
của nó, tab Conditions cho phép bạn thiết lập các điều kiện cho client. Tìm kiếm
thông qua danh sách điều kiện được cung cấp cho NAP sau đó chọn SHV
Templates. Khi bạn thực hiện xong việc chọn đó, pane chi tiết sẽ hiển thị một số
các điều kiện con trong mục này
ở danh sách sổ xuống. Chọn Compliant từ
danh sách các điều kiện đó và nhấn nút Add. Các điều kiện được sử dụng trong
cửa sổ Policy này sẽ chỉ thị Computer Health matches “Compliant” như trong
hình B. Điều này có nghĩa là để xem xét các client, chúng phải hợp với các tiêu
chuẩn đã định nghĩa trong phần Compliant policy đã tạo trong phần trước. Cụ
thể hơn điều đó có nghĩa là các client phải có t
ường lửa Windows đã được kích
hoạt.
Simpo PDF Merge and Split Unregistered Version -

Hình B: Để tuân thủ theo nguyên tắc, các client phải có yêu cầu
đã được định nghĩa trong Compliant policy bạn đã tạo.
Bây giờ bạn chọn tab Settings của cửa sổ Properties. Tab này gồm có một loạt
thiết lập có thể áp dụng cho các máy tính đang có điều kiện đã định nghĩa trước
đó. Đây là một chính sách được áp dụng cho các máy tính đã tuân thủ theo
nguyên tắc bảo mật mạng, chính vì vậy chúng ta cần phả
i gỡ những hạn chế có
trong Settings để các máy tính này có thể tăng mức truy cập vào mạng.

Để làm được điều đó, bạn vào phần Protection | NAP Enforcement. Chọn nút

Do Not Enforce như hình C.
Simpo PDF Merge and Split Unregistered Version -

Hình C: Những thi hành của NAP không nên áp dụng với các máy tính cần kiểm
tra
Sau khi chọn tùy chọn Do Not Enforce, bạn vào Constraints | Authentication
Method. Cửa sổ này sẽ hiển thị cho bạn một loạt các checkbox, mỗi một
checkbox tương ứng với một phương thức cấp phép khác nhau. Bỏ chọn tất cả
các hộp chọn này và chỉ chọn một checkbox EAP. Tích vào check box EAP
Methods sau đó nhấn Add. Chọn tùy chọn Secured Password (EAP-MSCHAP
v2) và nhấn
OK hai lần để đóng các hộp thoại khác đã được mở. Nhấn OK một
lần nữa để lưu mẫu mà bạn đã tạo.

Khi tạo được mẫu cho các máy tính cần kiểm tra, chúng ta phải tạo một mẫu
tương tự cho các máy tính không cần kiểm tra. Để làm được điều này, bạn chỉ
cần kích chuột phải vào mục chứa Authorization Policies của giao diện hình
cây và chọn
New | Custom từ menu tắt. Windows sẽ hiển thị cho bạn cửa sổ
New Authorization Policy Properties.

Cũng như trường hợp trước đó, thứ đầu tiên bạn phải thực hiện đó là nhập vào
tên của chính sách mới muốn tạo. Hãy lấy là Noncompliant-Restricted để
thuận tiện trong thử nghiệm của chúng ta. Dù là chúng ta đang tạo một chính
Simpo PDF Merge and Split Unregistered Version -
sách được hạn chế, nhưng bạn vẫn phải thiết lập loại chính sách là Grant
Access. Nhớ rằng nó là để không cho phép truy cập vào mạng, nhưng cho phép
xử lý chi tiết hơn đối với chính sách.

Bây giờ chọn tab Conditions. Khi bạn đã tạo chính sách cấp phép đối với các

máy tính cần kiểm tra, nghĩa là chúng ta đã tạo một điều kiện yêu cầu đối với
máy tính để tuân theo mẫu cần kiểm tra
đã được tạo trong phần trước. Khi chính
sách này được sử dụng cho những máy tính không cần kiểm tra đã thì bạn phải
kiểm tra xem cấu hình của các client có hợp với các điều kiện trong mẫu
NonCompliant hay không, điều này cũng có nghĩa là kiểm tra xem tường lửa
Windows có phải là không được kích hoạt không.

Tìm trong danh sách các điều kiện sẵn có trong NAP, chọn mục SHV
Templates. Chọn tùy chọn NonCompliant trong danh sách các mẫu đang có
sau đ
ó nhấn nút Add.

Tiếp theo chọn tab Settings và vào Constraints | Authentication Method. Cửa
sổ chi tiết sẽ hiển thị cho bạn một loạt các check box, mỗi check box này tương
ứng với một phương thức khác nhau. Bỏ chọn tất cả các check box, chỉ chọn
check box EAP. Tích vào check box EAP Methods sau đó nhấn nút Add. Chọn
tùy chọn Secured Password (EAP-MSCHAP v2) và nhấn OK hai lần để đóng
các hộp thoại khác đã được mở.

Mọi thứ mà chúng ta đã làm đối với chính sách cho các máy tính không cần kiểm
tra cũng hoàn toàn giống hệt như với các máy tính cần kiểm tra ngoại trừ việc
định rõ mẫu SHV khác nhau. Nếu chúng ta bỏ chính sách này thì các máy tính
không cần kiểm tra có thể truy cập thoải mái vào mạng. Chỉ khi không muốn điều
đó xảy ra thì chúng ta cần phải sử dụng NAP để ngăn chặn sự truy cập mạng
như vậy.

Để thực hiện đ
iều đó, chọn mục NAP Enforcement có trong danh sách ở
Available Settings. Cửa sổ Details sẽ hiển thị cho bạn các tùy chọn bắt buộc.

Chọn tùy chọn Enforce sau đó chọn check box Update Non Compliant
Computers Automatically như hình D. Nhấn OK để lưu chính sách mà bạn đã
tạo.
Simpo PDF Merge and Split Unregistered Version -

Hình D: Bạn phải kích hoạt bảo vệ NAP cho các máy tính không cần kiểm tra
Kết luận

Trong bài viết này, chúng tôi đã giới thiệu cho các bạn cách làm thế nào để tạo
các chính sách cấp phép đối với các máy tính cần kiểm tra và không cần kiểm
tra. Trong phần tiếp theo của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các
bạn về cấu hình máy chủ.

Simpo PDF Merge and Split Unregistered Version -
Giới thiệu về Network Access Protection (Phần 6)
Ngu
ồ
n:quantrimang.com
Trong các bài trước chúng tôi đã giới thiệu cho các bạn cách tạo chính
sách thẩm định cho cả máy tính cần kiểm tra lẫn không cần kiểm tra. Trong
bài này, chúng tôi sẽ tiếp tục giới thiệu thủ tục cấu hình máy chủ. Bước
đầu tiên trong việc này là tạo một chính sách thẩm định mặc định có thể áp
dụng cho bất kỳ máy tính nào được thẩm định thông qua máy chủ RRAS.

Bắt đầu quá trình bằng việc m
ở cửa sổ Network Policy Server và vào NPS
(Local) | Authentication Processing | Authentication Policies. Khi đã vào đến đây,
cửa sổ chi tiết phải hiển thị bất kỳ chính sách thẩm định đã tồn tại trước đó. Xóa
các chính sách đã tồn tại bằng cách kích chuột vào chúng và chọn lệnh Delete
từ menu chuột phải.


Bây giờ chúng ta tạo một chính sách thẩm định mặc định. Để thực hiện, chúng ta
kích chuột vào liên kết New trong cửa sổ Actions, sau đó chọn tùy ch
ọn Custom.
Windows sẽ hiển thị cho bạn cửa số thuộc tính của New Authentication Policy
như hình A.
Simpo PDF Merge and Split Unregistered Version -

Hình A: Nhập RRAS như một tên chính sách sau đó thẩm định chính sách đó đã
được kích hoạt
Nhập RRAS như một tên chính sách sau đó thẩm định hộp kiểm Policy Enabled
đã được lựa chọn. Tiếp theo, bảo đảm rằng nút Available Sources cũng phải
được chọn, sau đó chọn tùy chọn Remote Access Server (VPN-Dialup) trong
danh sách có sẵn của Available Sources.

Bây giờ, chuyển sang tab Setting và chọn Authentication từ cây điều khiển. Chọn
Override Authentication Settings từ hộp kiểm Authorization Policy. Sau khi thự
c
hiện điều đó, một cửa sổ chi tiết sẽ xuất hiện một loạt phương pháp thẩm định,
như trong hình B. Chọn hộp kiểm EAP sau đó kích nút EAP Methods.
Simpo PDF Merge and Split Unregistered Version -