Triển khai IPsec Server và Domain Isolation bằng
Windows Server 2008 Group Policy
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máy
khách và cách các chứng chỉ bảo mật được gán, được gỡ bỏ tự động cũng
như cách các máy khách được kết nối hoặc hủy kết nối với mạng như thế
nào.Trong phần 3 của loạt bài gồm 4 phần về cấu hình NAP bằng thực thi
chính sách Ipsec, chúng ta đã cấu hình chính sách NAP Ipsec và sau đó đã
cấu hình các máy khách cho việc test thử. Trong phần cuối cùng này, chúng
ta sẽ tiến hành test các máy khách và nghiên cứu cách các chứng chỉ bảo mật
được gán hay được gỡ bỏ một cách tự động cũng như nghiên cứu cách máy
khách được kết nối và hủy kết nối với mạng như thế nào.
Chúng ta sẽ tập trung vào 2 nhiệm vụ chính sau:
 Test Health Certificate và Auto-remediation configuration
 Thẩm định sự thực thi chính sách NAP trên VISTASP1
Test Health Certificate và Auto-remediation Configuration
Trong phần này chúng ta sẽ thực hiện các nhiệm vụ dưới đây:
 Xác nhận rằng cả hai VISTASP1 và VISTASP1-2 đều có các chứng chỉ
sức khỏe (Health Certificate)
 Nhập VISTASP1-2 vào Domain
 Thẩm định Auto-remediation trên VISTASP1
Xác nhận cả VISTASP1 và VISTASP1-2 đều có Health Certificate
Sử dụng thủ tục dưới đây để thẩm định sự kết nạp chứng chỉ sức khỏe của
VISTASP1 trong môi trường miền đã được thẩm định và VISTASP1-2 trong
môi trường nhóm làm việc (workgroup).
Thực hiện các bước dưới đây trên cả VISTASP1 và VISTASP1-2:
1. Mở hộp thoại Run và nhập mmc, sau đó nhấn ENTER.
2. Trên menu File, kích Add/Remove Snap-in.
3. Kích Certificates, kích Add và chọn Computer account, sau đó kích
Next.
4. Thẩm định rằng Local computer: (the computer this console is
running on) được chọn, kích Finish, và sau đó kích OK.

5. Trong panel bên trái của giao diện điều khiển, kích đúp vào
Certificates (Local Computer), kích đúp Personal, sau đó kích
Certificates.
6. Trong panel chi tiết, bên dưới Issued By, thẩm định CA cấp dưới,
msfirewall-WIN2008SRV1-CA, được hiển thị. Thẩm định rằng
Intended Purposes hiển thị System Health Authentication. Vì
VISTASP1-2 chưa được thẩm định đối với miền msfirewall.org, nên
tên máy khách sẽ không được hiển thị bên dưới Issued To, và ý nghĩa
chứng chỉ của Client Authentication không xuất hiện. Thẩm định rằng
chứng chỉ trên VISTASP1-2 có Intended Purposes của System
Health Authentication. Đây là một chứng chỉ sức khỏe NAP hợp lệ
cho các máy khách trong môi trường nhóm làm việc. Một chứng chỉ
sức khỏe miền đã được thẩm định tương tự như chứng chỉ đạt được tên
VISTASP1.

Hình 1

Hình 2
7. Đóng giao diện Certificates
Nhập VISTASP1-2 vào miền
Sử dụng thủ tục tương tự như bạn đã sử dụng ở trên để nhập VISTASP1 và
miền msfirewall.org, nhập VISTASP1-2 vào miền msfirewall.org. Đăng
nhập với đặc quyền quản trị viên miền sau khi máy tính khởi động lại.
Thẩm định Auto-remediation trên VISTASP1
NAP Ipsec với chính sách mạng HRA Noncompliant chỉ rõ rằng các máy tính
không đồng thuận (Noncompliant) sẽ tự động được điều đình lại. Thủ tục
dưới đây sẽ thẩm định rằng VISTASP1 được điều đình lại tự động khi
Windows Firewall bị tắt.
1. Trên VISTASP1, mở hộp thoại Run và nhập vào firewall.cpl, sau đó
nhấn ENTER.

2. Trong panel điều khiển của Windows Firewall, kích hange settings,
kích Off (not recommended), sau đó kích OK.
3. Bạn có thể thấy một tin trong vùng thông báo chỉ thị rằng máy tính
không có đủ các yêu cầu sức khỏe. Tin này được hiển thị vì Windows
Firewall đã bị tắt. Kích vào tin này để xem thêm các thông tin chi tiết
về trạng thái sức khỏe của of VISTASP1. Xem ví dụ bên dưới.

Hình 3
4. Máy khách NAP sẽ tự động bật Windows Firewall để trở thành đồng
thuận với các yêu cầu về sức khỏe của mạng. Tin dưới đây sẽ xuất hiện
trong vùng thông báo: This computer meets the requirements of this
network.

Hình 4
5. Do Suto-remediation xuất hiện khá nhanh nên bạn có thể không thấy
các tin này. Để xem lại biểu tượng thông báo NAP, bạn hãy đánh
napstat tại nhắc lệnh, sau đó nhấn ENTER.
Thẩm định sự thực thi chính sách NAP trên VISTASP1
Chúng ta hãy xem cách thẩm định sự thực thi chính sách NAP đang được sử
dụng trên hệ thống khách như thế nào. Bắt đầu bằng cách test với
VISTASP1. Để thực hiện bài test, chúng ta thực hiện các thủ tục dưới dây:
 Cấu hình Windows SHV ở mức hạn chế hơn bằng cách yêu cầu các
máy tính phải cài đặt các phần mềm chống virus. Khi chúng ta chưa cài
đặt bất kỳ phần mềm chống virus nào trên các máy khách nên các máy
khách sẽ không có đủ yêu cầu này.
 Refresh SoH (tuyên bố sức khỏe) trên VISTAP1. Thao tác này sẽ làm
cho máy khách gửi một Statement of Health mới đến Health
Registration Authority và sẽ báo cáo rằng máy khách không có được sự
đồng thuận.
 Xác nhận rằng chứng chỉ sức khỏe của máy khách được gỡ bỏ. Health

Certificate được gỡ bỏ vì máy khách không có đủ sự đồng thuận.
 Khôi phục chính sách sức khỏe về trạng thái ít hạn chế hơn để máy
khách có thể đồng thuận. Chúng ta sẽ gỡ bỏ yêu cầu phần mềm chống
virus để máy khách trở thành đồng thuận trở lại.
 Refresh SoH trên VISTASP1 sẽ hiển thị máy tính hiện đã đồng thuận
với chính sách mới.
 Xác nhận rằng chứng chỉ sức khỏe máy khách được khôi phục.
Cấu hình WSHV để yêu cầu ứng dụng chống virus
Trước hết, cấu hình chính sách NAP để yêu cầu ứng dụng chống virus, làm
cho CLIENT1 trở nên không đồng thuận.
Thực hiện theo các bước dưới đây trên WIN2008SRV1:
1. Trên WIN2008SRV1, kích Start, kích Run, đánh nps.msc và nhấn
ENTER.
2. Trong panel bên trái của giao diện điều khiển, mở Network Access
Protection, sau đó kích System Health Validators.

Hình 5
3. Trong panel chi tiết, kích đúp vào Windows Security Health
Validator, sau đó kích Configure.

Hình 6
4. Trong hộp thoại Windows Security Health Validator, bên dưới Virus
Protection, chọn hộp kiểm bên cạnh An antivirus application is on.

Hình 7
5. Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows
Security Health Validator Properties.
6. Để mở giao diện NPS cho các thủ tục sau.
Refresh SoH trên VISTASP1
Vì các chính sách sức khỏe đã được thay đổi sau khi VISTASP1 nhận một

chứng chỉ sức khỏe nên chúng ta cần phải kích hoạt việc gửi đi một tuyên bố
sức khỏe (SoH) mới từ VISTASP1 để đánh giá với các chính sách sức khỏe
hạn chế hơn. Vấn đề này sẽ xuất hiện khi chứng chỉ sức khỏe trên
VISTASP1 hết hạn, hoặc khi một sự thay đổi trong trạng thái sức khỏe của
máy khách bị xóa. Chúng ta có thể tạo một thay đổi trong trạng thái sức khỏe
bằng cách tắt Windows Firewall.
Thực hiện các bước dưới đây trên VISTASP1:
1. Trên VISTASP1, kích Start, sau đó kích Control Panel.
2. Kích Security, kích Windows Firewall, sau đó kích Change settings.
3. Trong hộp thoại Windows Firewall Settings, kích Off (not
recommended), sau đó kích OK.

Hình 8
4. Windows Firewall được bật trở lại tự động vì auto-remediation được
kích hoạt. Mặc dù vậy, do các chính sách NAP hiện yêu cầu ứng dụng
chống virus nên VISTASP1 sẽ xuất hiện trong trạng thái không đồng
thuận và sẽ không thể đạt được chứng chỉ sức khỏe.
Xác nhận chứng chỉ sức khỏe đã bị gỡ bỏ
Tiếp đến, xem các chứng chỉ máy tính trên CLIENT1 để thẩm định chứng chỉ
sức khỏe đã bị gỡ bỏ.
1. Trên VISTASP1, mở hộp thoại Run và đánh mmc, sau đó nhấn
ENTER.
2. Trên menu File, kích Add/Remote Snap-in
3. Kích Certificates, kích Add, chọn Computer account, sau đó kích
Next
4. Thẩm định rằng Local computer: (the computer this console is
running on) được chọn, kích Finish, sau đó kích OK.
5. Trong cây giao diện, mở Certificates (Local Computer)\Personal.
6. Thẩm định rằng không có chứng chỉ sức khỏe nào được hiện diện.


Hình 9
7. Để giao diện Certificates mở để thực hiện các thủ tục sau.
Gỡ bỏ yêu cầu sức khỏe chống virus để VISTASP1 trở thành đồng thuận
Thay đổi các chính sách NAP để VISTASP1 trở thành đồng thuận.
1. Trên WIN2008SRV1, trong panel trái của giao diện NAP, mở
Network Access Protection, sau đó kích System Health Validators.
2. Kích đúp vào Windows Security Health Validator và kích
Configure.
3. Trong hộp thoại Windows Security Health Validator, bên dưới Virus
Protection, xóa hộp kiểm bên cạnh An antivirus application is on.

Hình 10
4. Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows
Security Health Validator Properties.
5. Đóng giao diện NPS.
Refresh SoH trên VISTASP1
Thực hiện thủ tục trước để refresh SoH trên VISTASP1 bằng cách tắt
Windows Firewall. Một SoH mới sẽ được kích hoạt và Windows Firewall sẽ
được bật. Vì VISTASP1 lúc này đồng thuận với các chính sách NAP nên nó
sẽ được dự trữ sẵn một chứng chỉ sức khỏe.
Xem các chứng chỉ máy tính trên VISTASP1 để thẩm định rằng chứng chỉ
sức khỏe đã được khôi phục.
1. Trên VISTASP1, trong giao diện điều khiển , cây giao diện, kích
Personal.
2. Kích chuột phải vào panel chi tiết và sau đó kích Refresh. Thẩm định
rằng chứng chỉ sức khỏe đã hiện diện.

Hình 11

Hình 12

Kết luận
Trong loạt bài này chúng tôi đã cung cấp cho các bạn nhiều phần có liên quan
đến giải pháp thực thi NAP Ipsec. Như những gì các bạn được giới thiệu
trong bài, có nhiều thành phần trong giải pháp và mỗi một thành phần đó phải
được cấu hình đúng cách để giải pháp làm việc. Nhiều quản trị viên Windows
lo ngại về sự phức tạp của NAP với sự thực thi chính sách Ipsec và do đó đã
không áp dụng công nghệ bảo mật hiệu quả và mạnh này. Trước khi thực
hiện thử nghiệm các bạn hãy tạo một bản sao minh chứng của mình trong
phòng thứ nghiệm trước khi thực hiện thực thi này tên mạng sản xuất.