Network Access Protection (NAP) là một tính năng
truy cập mạng mới trong Windows Server 2008

Network Access Protection (NAP) là một tính năng truy cập mạng mới trong
Windows Server 2008. NAP cho phép bạn điều khiển được máy tính nào có
thể tham gia vào mạng. Khả năng tham gia vào mạng được xác định bởi máy
khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách của
NAP của bạn hay không.
NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp
trong việc cấu hình. Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn
muốn kích hoạt. Cho ví dụ, có một số NAP Enforcement Client điều khiển sự
truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có
chứng chỉ trạng thái tốt để cho phép nó có thể kết nối với mạng hay không.
Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành
DHCP NAP đơn giản. Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ
DHCP sẽ trở thành máy chủ truy cập mạng. Điều này có nghĩa rằng nó sẽ
chịu trách nhiệm là máy chủ DHCP để cung cấp cho các máy khách NAP các
thông tin tương xứng với mức thi hành của chúng. Nếu máy khách NAP có
đầy đủ tiêu chuẩn, nó sẽ nhận các thông tin định địa chỉ IP để cho phép kết
nối với máy tính khác trong mạng. Trong trường hợp nếu máy khách NAP
không có đủ tiêu chuẩn với chính sách sức khỏe mạng của bạn thì máy khách
NAP sẽ được gán các thông tin định địa chỉ IP để hạn khả năng kết nối của
máy tính này. Điển hình, chính sách NAP của bạn cho phép các máy tính
không có đủ tiêu chuẩn sẽ kết nối với các domain controller và máy chủ cơ sở
hạ tầng mạng, cũng như các máy sẽ cho phép các máy tính không đủ tiêu
chuẩn điều đình lại và như vậy sẽ trở thành đủ tiêu chuẩn.

Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu.
Nếu máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần
đến một máy chủ RADIUS để chứa các chính sách NAP. Có một số chính
sách được lưu trong máy chủ RADIUS tương thích NAP, chẳng hạn như
chính sách sức khỏe, chính sách mạng, chính sách yêu cầu kết nối. Trong
Windows Server 2008, Network Policy Server (NPS) được sử dụng như một
máy chủ RADIUS để chứa các chính sách NAP. Máy chủ NPS sẽ làm việc
với máy chủ DHCP và khai báo máy chủ DHCP của bạn xem máy khách có
đủ tiêu chuẩn NAP với các chính sách của bạn hay không.
Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security Health
Validator (SHV) trên máy chủ NPS. Mặc định, Windows Server 2008 sẽ
cung cấp cho bạn bộ Security Health Validator của Windows để bạn có thể sử
dụng nhằm thiết lập chính sách sức khỏe cho mạng của mình.
Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAP
Agent và máy khách thi hành NAP. NAP Agent sẽ thu thập các thông tin về
trạng thái bảo mật của máy khách NAP, còn NAP Enforcement Agent được
sử dụng để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành
NAP mà bạn chọn. Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ
kích hoạt NAP Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản. Nó
gồm có ba máy:
 Windows Server 2008 Domain Controller. Không có dịch vụ nào khác
được cài đặt trên máy chủ này. Địa chỉ IP được gán cho máy tính tính
là 10.0.0.2, máy tính này là một domain controller trong miền
msfirewall.org.
 Thành viên Windows Server 2008 trong miền msfirewall.org. Địa chỉ
IP của máy tính này là 10.0.0.3. Máy tính này sẽ được cài đặt các dịch
vụ DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt
loạt bài này.
 Máy khách Windows Vista là một thành viên của msfirewall.org.
 Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:

 Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách.
 Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên
 Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP
 Xem lại chính sách yêu cầu kết nối
 Xem lại các chính sách mạng
 Xem lại các chính sách sức khỏe
 Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực
thi NAP
 Cấu hình các thiết lập NAP trong Group Policy
 Nhập máy tính Vista vào nhóm các máy tính thực thi NAP
 Kiểm tra giải pháp
Tạo nhóm bảo mật cho các máy khách NAP
Thứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máy
tính có sử dụng chính sách NAP. Mở giao diện điều khiển Active Directory
Users and Computers, sau đó kích chuột phải vào nút Users. Trỏ tới New
và kích Group.

Hình 1
Trong hộp thoại New Object – Group, bạn hãy nhập NAP Enforced
Computers trong hộp nhập liệu Group Name. Chọn tùy chọn Global từ
danh sách Group scope và chọn tùy chọn Security từ danh sách Group
type. Kích OK.

Hình 2
Cài đặt NPS và DHCP trên máy chủ NPS
Máy tính NPS sẽ duy trì các role Network Policy Server và DHCP server.
Lưu ý rằng, bạn có thể thiết lập máy chủ DHCP trên máy tính khác thay cho
máy chủ NPS sẽ cấu hình các chính sách NAP, nhưng bạn sẽ vẫn cần phải
cấu hình máy chủ DHCP “remote” đó như máy chủ DHCP và máy chủ NPS,
và sau đó cấu hình máy chủ NPS để gửi các yêu cầu thẩm định đến máy chủ

NAP. Để bảo đảm mọi thứ được dễ dàng hơn, chúng ta chỉ cần thiết lập máy
chủ NPS và DHCP trên cùng một máy.
Trong giao diện Server Manager, kích nút Roles, sau đó kích vào liên kết
Add Roles, xem những gì thể hiện trong hình bên dưới.

Hình 3
Kích Next trong trang Before You Begin.

Hình 4
Trong trang, hãy tích vào các hộp kiểm trong DHCP Server and Network
Policy and Access Services. Kích Next.

Hình 5
Đọc các thông tin trong trang Network Policy and Access Services, sau đó
kích Next.

Hình 6
Chúng ta không cần tất cả các dịch vụ role được cung cấp bởi Network
Policy and Access Services role mà chỉ cần đến role RADIUS (Network
Policy Server). Hãy tích vào hộp kiểm Network Policy Server. Không chọn
bất cứ tùy chọn nào khác, sau đó kích Next.

Hình 7
Đọc các thông tin trong trang DHCP Server và kích Next.

Hình 8
Server Manager sẽ làm chọn bạn cảm thấy dễ dàng hơn so với các trình
quản lý trước đây, nó cho phép bạn cấu hình máy chủ DHCP trong suốt quá
trình cài đặt. Trong trang Select Network Connection Bindings, chọn địa
chỉ IP mà bạn muốn máy chủ DHCP kiểm tra. Sự lựa chọn mà bạn thực hiện

ở đây phụ thuộc vào độ phức tạp của môi trường DHCP vì bạn có thể cấu
hình một trong nhiều chuyển tiếp DHCP trong tổ chức, và như vậy sẽ có
nhiều địa chỉ IP được gán cho một máy chủ DHCP. Tuy nhiên điều đó không
nằm trong kịch bản này vì chúng ta chỉ có một địa chỉ IP gán cho máy tính
này. Hãy tích vào hộp kiểm trong hộp địa chỉ IP, sau đó kích Next.

Hình 9
Trong trang Specify IPv4 DNS Server Settings, bạn có thể thay đổi cấu hình
một số tùy chọn DHCP. Nhập tên miền vào hộp văn bản Parent Domain và
nhập vào địa chỉ IP của máy chủ DNS trong hộp văn bản Preferred DNS
Server IPv4 Address. Trong ví dụ này, tên miền của chúng ta là
msfirewall.org vì vậy chúng ta sẽ nhập vào tên miền đó. Địa chỉ IP của máy
chủ DNS là 10.0.0.2, do đó chúng ta sẽ nhập địa chỉ IP này. Do chúng ta
không có máy chủ DNS luôn phiên trong ví dụ này nên hãy kích Next.

Hình 10
Chúng ta không có máy chủ WINS trong mạng ví dụ này nên sẽ không nhập
vào bất cứ thứ gì trong trang Specify IPv4 WINS Server Settings. Chỉ chọn
tùy chọn WINS is not required for applications on this network và kích
Next.

Hình 11
Trong trang Add or Edit DHCP Scopes, kích nút Add. Trong hộp thoại Add
Scope, hãy nhập vào Scope Name, Starting IP Address, Ending IP
Address, Subnet Mask, Default Gateway, và chọn khoảng thời gian phóng
thích. Hình bên dưới thể hiện các entry của chúng ta cho các tùy chọn trong
mạng ví dụ này. Kích OK trong hộp thoại Add Scope.

Hình 12
Kích Next trong hộp thoại Add or Edit DHCP Scopes.


Hình 13
Chúng ta sẽ không sử dụng IPv6 trong mạng ví dụ này, chính vì vậy hãy chọn
tùy chọn Disable DHCPv6 stateless mode for this server và kích Next.

Hình 14
Để hoạt động trong miền của chúng ta, máy chủ DHCP này cần được thẩm
định trong Active Directory. Chọn tùy chọn Use current credentials nếu bạn
đăng nhập với tư cách là quản trị viên miền. Nếu không, hãy chọn tùy chọn
Use alternate credentials và kích Specify. Trong ví dụ này, chúng tôi đã
đăng nhập với tư cách một quản trị viên miền và vì vậy sẽ chọn tùy chọn Use
current credentials và tiếp đến kích Next.

Hình 15
Xem lại các thiết lập của bạn trong trang Confirm Installation Selections và
kích Install.

Hình 16
Kích Close trong trang Installation Results sau khi bạn đã thấy quá trình cài
đặt các máy chủ NPS và DHCP đã được thực hiện thành công.

Hình 17
Kết luận
Trong phần một của loạt bài sử dụng sự thi hành của NAP DHCP này, chúng
tôi đã giới thiệu cho các bạn một số các khái niệm NAP cơ bản. Sau đó đã
hướng dấn tạo một nhóm bảo mật cho các máy khách NAP và kết thúc bằng
việc cài đặt các thành phần máy chủ NPS và DHCP trong giải pháp. Trong
phần thứ hai của loạt bài này, chúng tôi sẽ sử dụng NAP wizard để tạo một
chính sách thực thi NAP DHCP, sau đó giới thiệu sâu hơn về các thiết lập
được tạo bởi wizard.