MCSA -Upgrade Server 2008 - Network Access Protection (NAP) DHCP

Như các bạn đã biết DHCP Server là một dịch vụ cấp phát IP tự động
cho các máy tham gia vào hệ thống mạng.
Như vậy với bất kỳ yêu cầu cấp phát IP nào từ Client, DHCP Server đều
đáp ứng đầy đủ các yêu cầu này.
Vấn đề phát sinh là nếu một máy Client nào đó trong hệ thống mạng
được cấp IP hoàn chỉnh và có thể truy cập Internet rất tốt và giả sử khi
đó máy Client này không được cài đặt các chương trình Anti Virus hoặc
người dùng không có ý thức về bảo mật làm cho máy này vô tình bị
nhiễm Virus từ Internet…
Như vậy vô tình cả hệ thống chúng ta bị lây nhiễm Virus do máy Client
này phát tán một cách vô ý. Vì vậy do nhu cầu thực tế hệ thống mạng đòi
hỏi phải có một cơ chế chặt chẽ hơn đó chính là dịch vụ Network Access
Protection (NAP).
Thực tế NAP ứng dụng rất nhiều lĩnh vực tuy nhiên trong bài chúng ta sẽ
khảo sát NAP cho DHCP để DHCP Server cấp phát IP cho các Client
một cách tự động nhưng với một tiêu chuẩn nào đó, nghĩa là các máy
Client nếu thỏa đầy đủ các tiêu chuẩn mà DHCP Server đặt ra thì mới
được cấp IP ngược lại sẽ được cấp IP nhưng không được cấp Default
Gateway
Như vậy với các máy Client không thỏa các tiêu chuẩn mà DHCP
Server đặt ra sẽ được phép truy cập trong mạng nội bộ mà thôi và không
thể ra Internet được nhằm giảm đến mức tối đa khả năng lây nhiễm
Virus từ Internet.
Như vậy trong mô hình này tôi sử dụng 2 máy trong đó
- Máy PC01 là máy đã lên DC có domain là gccom.net và sẽ cài đặt
thêm dịch vụ NAP
- Máy PC02 máy Client
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02

IP Address

Card Lan
Subnet Mask
Default
gateway

Preferred
DNS


IP Address
172.16.1.1
Subnet Mask
255.255.255.0
Default
gateway

Card Cross

Preferred
DNS

Obtain
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Giả sử tôi đã có một DHCP Server rồi và DHCP Server này sẽ cấp phát
IP tự động cho các máy trong mạng 172.16.1.0/24. Bây giờ tôi sẽ tiến
hành cài NAP lên DHCP Server
Tại Server Manager bạn chọn Roles -> Add Roles
Trong màn hình Select Server Roles bạn chọn Network Policy and

Access Services để cài đặt dịch vụ NAP

Trong cửa sổ Select Role Services bạn click chọn Network Policy
Server

Màn hình sau khi cài đặt hoàn tất


Tiếp tục bạn vào Start -> Programs -> Administrative Tools ->
Network Policy Server (NPS)


Trước tiên ta phải định nghĩa cho NPS một tiêu chuẩn về sức khỏe của hệ
thống. Với định nghĩa này nếu các Client thỏa mọi điều kiện thì được
xem là đạt chuẩn ngược lại được xem là không đạt
Tại Network Access Protection chọn System Health Validators, nhấp
phải vào Windows Sercurity Health Validators chọn Properties


Tiếp tục nhấp chọn Configure

Trong bài giả sử tôi định nghĩa các máy Client nào có Firewall đã được
bật thì xem như đạt chuẩn nên trong cửa sổ Windows Sercurity Health
Validator tôi chọn A firewall is enable for all network connections


Sau khi tạo một định nghĩa về chuẩn mực ta tiếp tục tạo các Policy để
kiểm tra tình trạng sức khỏe cho các Client. Tại Policies chọn Health
Policies nhấp phải vào Health Policies chọn New


Trước tiên tôi tạo một Policy đặt tên là Full Access với qui định là bất cứ
máy Client nào đạt đủ chuẩn về sức khỏe do Windows Sercirity Health
Validator đặt ra sẽ được DHCP Server cấp phát IP hoàn chỉnh nên tại
mục Client SHV checks tôi chọn là Clients passes all SHV checks

Tiếp theo tôi tạo một Policy đặt tên là Limit Access với qui định là bất cứ
máy Client nào không đạt chuẩn về sức khỏe do Windows Sercurity
Health Validator đặt ra sẽ được DHCP Server cấp phát IP nhưng không
có Default Gateway nên tại mục Client SHV checks tôi chọn là Clients
fails one or more SHV checks

Màn hình sau khi hoàn tất

Bây giờ ta tạo tiếp các Network Policies để làm đường dẫn cho các
Health Policies thực thi khi thỏa hoặc không thỏa các tiêu chuẩn mà
Windows Sercurity Health Validator đã đặt ra
Tại Policies chọn Network Policies, mặc định trong này Windows đã tạo
2 Policy tuy nhiên tôi sẽ không sử dụng chúng vì vậy tôi phải tiến hành
Disable chúng đi

Tiếp tục nhấp phải vào Network Policies chọn New

Đặt tên cho Policy thứ 1 là Full Access Policy nhằm làm đường dẫn cho
Health Policy Full Access

Tại cửa sổ Specify Conditions nhấp Add


Chọn Health Policies



Trong cửa sổ Health policies bạn chọn Health Policy là Full Access

Màn hình sau khi chọn hoàn tất

Trong màn hình Specify Access Permission bạn chọn Access granted


Tại cửa sổ Configure Authentication Methods bạn chọn Perform
machine health check only


Giữ nguyên giá trị mặc định trong Configure Constraints


Tiếp theo trong màn hình Configure Settings bạn chọn NAP
Enforcement
Trong cửa sổ bên phải bạn chọn Allow full network access để đồng ý
gán quyền không giới hạn cho Health Policy là Full Access


Tương tự bạn tạo một Network là Limit Access Policy nhằm gán quyền
nhưng có giới hạn cho Health Policy là Limit Access

Trong màn hình Specify Access Permission bạn chọn Access granted


Tại cửa sổ Configure Authentication Methods bạn chọn Perform
machine health check only



Tiếp theo trong màn hình Configure Settings bạn chọn NAP
Enforcement
Trong cửa sổ bên phải bạn chọn Allow limited access để đồng ý gán
quyền có giới hạn cho Health Policy là Limit Access


Màn hình sau khi tạo 2 Network Policy hoàn tất


Đến đây ta đã hoàn tất việc cấu hình NAP trên DHCP Server
Tuy nhiên mặc định tại DHCP Server sẽ không hiểu được các qui định
này. Nên tại DHCP bạn chọn Scope tiếp tục nhấp phải vào Scope chọn
Properties

Tiếp tục chọn Tab Network Access Protection (NAP) và chọn Enable
for this scope

Tiếp tục nhấp phải vào Scope Options chọn Configure Options

Chọn Tab Advanced chọn Default Network Access Protection Class
trong User Class
Trong Available Options chọn 015 DNS Domain Name nhập giá trị là
None

Màn hình sau khi hoàn tất

Như vậy đến đây các máy Client nếu thỏa đủ điều kiện Windows
Sercurity Health Validator thì được DHCP Server cấp IP một cách
hoàn chỉnh nhờ dựa vào Network Policy là Full Access Policy được qui

định bởi Health Policy là Full Access
Các máy Client không thỏa đủ điều kiện Windows Sercurity Health
Validator thì được DHCP Server cấp IP nhưng không cấp Default
Gateway nhờ dựa vào Network Policy là Limit Access Policy được qui
định bởi Health Policy là Limit Access
Bây giờ ta tiếp tục cấu hình NAP cho các máy Client
Tại máy PC02 bạn vào Run nhập lệnh napclcfg.msc

Trong màn hình NAP Client Configuration bạn Enable thuộc tính
DHCP Quarantine Enforcement Client lên


Vào tiếp Services chọn Network Access Protection Agent và chuyển
sang chế động Automatic đồng thời Start dịch vụ này lên

Bây giờ ta sẽ tiến hành kiểm tra bằng cách tắt tính năng Firewall của máy
Client đi

Bật DOS Command lên sẽ thấy máy Client nhận được IP từ DHCP
Server tuy nhiên do không bật tính năng Firewall (không thỏa đủ điều
kiện do Windows Sercurity Health Validator đặt ra) nên máy Client
này không nhận được Default Gateway
Như vậy máy Client này chỉ có thể truy cập được torng mạng LAN mà
thôi, không thể truy cập Internet được


Màn hình thông báo quyền của Client bị hạn chế

Bây giờ tôi bật tính năng Firewall của máy Client lên


Vào lại DOS Command sẽ thấy máy nhận IP một cách hoàn chỉnh


OK mình vừa trình bày xong phần Network Access Protection (NAP)
DHCP trong 70-648, 70-649 của MCSA.