Tài liệu Giới thiệu bổ sung về Network Access Protection - Phần 4 pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (357.27 KB, 6 trang )
Giới thiệu bổ sung về Network Access Protection - Phần 4
Ngu
ồn : quantrimang.com
Brien M. Pose
y
Trong phần này chúng tôi sẽ tiếp tục giới thiệu về Network Access
Protection bằng cách giới thiệu cho bạn cách cấu hình Network Policy
Server.
Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu
hình thành phần VPN, đây là thành phần sẽ được sử dụng để cho phép người
dùng bên ngoài có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận bằng
cách giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server.
Như đ
ã giới thiệu ở các phần trước trong loạt bài này, công việc của Network
Policy Server là so sánh các báo cáo về tình trạng sức khỏe mà nó nhận được
từ các máy tính đang yêu cầu truy cập vào mạng đối với chính sách sức khỏe
của hệ thống. Chính sách sức khỏe của hệ thống sẽ chỉ thị những gì được yêu
cầu đối với các máy tính để chúng được coi là các máy tính khỏe mạnh (hay đủ
tiêu chuẩn truy cập).
Trong triển khai th
ực, một chính sách sức khỏe của hệ thống yêu cầu các máy
trạm phải chạy một hệ điều hành Windows hiện hành và có tất cả các bản vá
bảo mật mới nhất. Không quan tâm đến những tiêu chuẩn gì bạn sử dụng để
quyết định xem máy trạm đó có đủ sức khỏe hay không, bạn sẽ phải thực hiện
một số công việc.
Với mục đích minh ch
ứng, chúng tôi sẽ tạo một chỉ thị sức khỏe hệ thống rất đơn
giản để kiểm tra xem tường lửa Windows có được kích hoạt hay không. Nếu
tường lửa được kích hoạt thì chúng ta sẽ công nhận máy trạm đó đủ tiêu chuẩn
về sức khỏe.
Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực,
bạn sẽ không cấu hình Network Policy Server trên cùng một máy ch
ủ với máy
chủ VPN. Máy chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn nếu cấu
hình Network Policy Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp
những rủi ro vì Network Policy Server sẽ bị thỏa hiệp. Không có thành phần nào
trong Windows ngăn chặn bạn sử dụng cùng một máy chủ cho cả hai thành
phần VPN và Network Policy Server, vì vậy cho mục đích minh chứng chúng tôi
sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai thành phầ
n này.
Cấu hình Network Policy Server
Bắt đầu quá trình cấu hình bằng cách nhập lệnh MMC vào nhắc lệnh để mở giao
diện quản lý của hoàn toàn trống rỗng của Microsoft. Khi giao diện được mở,
bạn hãy chọn lệnh Add / Remove Snap-in từ menu File. Bạn sẽ gặp một hộp
thoại Add or Remove Snap-Ins. Chọn tùy chọn Network Policy Server từ danh
sách các snap-in có sẵn và kích nút Add. Lúc đó bạn sẽ thấy một nhắc nhở hỏi
bạn xem bạn thích quản lý máy tính nội bộ hay máy tính khác. Hãy bả
o đảm
rằng tùy chọn Local Computer (máy nội bộ) được chọn, sau đó kích OK. Kích
OK thêm một lần nữa và thành phần Network Policy Server sẽ được mở.
Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) |
Network Access Protection | System Health Validators, xem thể hiện trong hình
A. Kích chuột phải vào đối tượng Windows System Health Validator trong panel
trung tâm của giao diện điều khiển và chọn lệnh Properties. Khi đó Windows sẽ
hiển thị cho bạn hộp thoại Windows Security Health Validator Properties, xem
thể
hiện trong hình B.
Hình A: Điều hướng trong cây giao diện đến NPS (Local) | Network
Access Protection | System Health Validators
Hình B: Hộp thoại Windows Security Health
Validator Properties được sử dụng để cấu hình bộ
chỉ thị tình trạng sức khỏe của hệ thống.
Kích nút Configure của hộp thoại, khi đó Windows sẽ hiển thị hộp thoại Windows
Security Health Validator, xem thể hiện trong hình C. Như những gì bạn có thể
thấy trong hình, hộpthoại này sẽ cho phép bạn định nghĩa chính sách của bộ chỉ
thị tình trạng sức khỏe hệ thố
ng. Mặc định hộp thoại này sẽ được cấu hình yêu
cầu tường lửa của Windows, Windows update và các bộ bảo vệ chống virus và
chống spyware cũng phải được kích hoạt và cập nhật thường xuyên. Do chúng
ta chỉ quan tâm vào việc bảo đảm sao cho tường lửa Windows được kích hoạt,
hãy để tùy chọn “A Firewall is Enabled for all Network Connections” được chọn
và hủy chọn tất cả các tùy chọn khác. Kích OK hai lần để tiếp tục.
Hình C: Chọn hộp chọn 'A Firewall is Enabled for all Network
Connections' và hủy chọn tất cả các hộp chọn còn lại.
Tạo một chính sách sức khỏe cho hệ thống
Chúng ta đã cấu hình bộ chỉ thị sức khỏe hệ thống (System Health Validators),
lúc này bạn phải cấu hình chính sách sức khỏe cho hệ thống (System Health
Policy). Chính sách sức khỏe cho hệ thống sẽ định nghĩa các kết quả của việc
hợp lệ hóa trạ
ng thái sức khỏe hệ thống. Về cơ bản, điều đó có nghĩa là định
nghĩa việc cho qua (pass) hay thất bại (fail) khi quá trình hợp lệ hóa trạng thái
sức khỏe được thực hiện trên máy khách.
Để cấu hình chính sách sức khỏe của Network Policy Server, bạn hãy điều
hướng thông qua cây giao diện đến NPS (Local) | Policies | Health Policies. Lúc
này, kích chuột phải vào mục Health Policies, chọn lệnh New. Khi đó Windows
sẽ hiển thị hộp thoại Create New Health Policy, xem thể hiệ
n trong hình D.
Hình D: Bạn phải tạo một chính sách sức khỏe mới
cho hệ thống.
Như những gì bạn thấy trong hình, hộp thoại sẽ nhắc nhở bạn cần phải nhập
vào tên của chính sách mới. Nhập từ Compliant vào trường Name. Lúc này, hãy
bảo đảm rằng danh sách Client SHV Checks được thiết lập ở Client Passes all
SHV Checks. Chọn hộp kiểm Windows System Health Validator và kích OK.
Đến đây chúng ta đã tạo được chính sách để định nghĩa. Tiếp đế
n chúng ta phải
tạo một chính sách thứ hai để định nghĩa ý nghĩa của nó cho hệ thống. Để thực
hiện điều đó, hãy kích chuột phải vào mục Health Policies và chọn lệnh New.
Bạn sẽ thấy một cửa sổ tương tự như bạn đã làm việc lúc trước đấy không lâu.
Lúc này, hãy đặt tên cho chính sách mới là NonCompliant. Thiết lập danh sách
trong hộp chọn Client SHV Checks là Client Fails one hoặc More SHV Checks.
Chọn hộp kiểm Windows Security Health Validator và kích OK. N
ếu bạn trở về
màn hình chính của giao diện điều khiển Network Policy Server, hãy chọn mục
Health Policies, khi đó bạn sẽ thấy cả hai chính sách Compliant và
NonCompliant được hiển thị trong panel trung tâm của giao diện điều khiển, xem
