Giới thiệu về Network Access Protection (Phần 5)
Ngu
ồn : quantrimang.com
Trong loạt các bài trước về chủ đề này, chúng tôi đã giới thiệu cho các bạn
cách cấu hình một chính sách an toàn để Windows kiểm tra xem các client
đang yêu cầu truy cập vào mạng có tường lửa đã được kích hoạt chưa.
Tiếp sau đó là cách tạo các mẫu hợp lệ về hệ thống để định nghĩa những g
ì
là hợp và không hợp với chính sách an toàn của một mạng.
Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về làm thế nào để tạo các
chính sách cấp phép an toàn. Các chính sách này dùng để kiểm soát những gì
xảy ra khi có một client cần kiểm tra hay không cần kiểm tra đối với chính sách
an toàn mạng. Đây cũng là các chính sách đề chỉ ra mức truy cập đối với các
client khi chúng truy cập vào mạng.
Bắt đầu quá trình bằng việc mở giao diện sử d
ụng Network Policy Server và
chọn Authorization Policies. Quan sát cửa sổ Details xem có tồn tại các chính
sách cấp phép nào chưa. Trong hệ thống test của chúng tôi, có bốn chính sách
cấp phép đã tồn tại từ trước, tuy nhiên không ai giám chắc các chính sách này
sẽ tồn tại đến tận phiên bản cuối cùng của Longhorn Server. Đối với các chính
sách đang tồn tại, bạn hoàn toàn có thể xóa chúng bằng cách kích chuột phải và
chọn lệnh Delete.
Sau khi đã xóa sạch các chính sách tồn tại trước đ
ó bạn hoàn toàn có thể tạo
một chính sách cấp phép mới. Để thực hiện, bạn kích chuột phải vào mục chứa
Authorization Policy và chọn các lệnh New | Custom bằng cách kích chuột phải.
Windows sẽ hiển thị cho bạn cửa sổ New Authorization Policy Properties.
Thứ đầu tiên bạn sẽ phải thực hiện đó là phải gán một tên cho một chính sách.
Hãy lấy tên như tên trong hình A đã hiển thị Compliant-Full-Access. Bình
thường bạn sẽ
phải nhập vào tên của chính sách vào trường tên có trong tab
Overview. Sau đó bạn chọn tùy chọn Grant Access trong mục Policy Type để
không cho phép người dùng có thể có đầy đủ toàn bộ quyền truy cập đối với
mạng của bạn.
Hình A: Thiết lập loại chính sách ở chế độ Grant Access
Bây giờ hãy chọn tab Conditions của cửa sổ properties. Như tên được ngụ ý
của nó, tab Conditions cho phép bạn thiết lập các điều kiện cho client. Tìm kiếm
thông qua danh sách điều kiện được cung cấp cho NAP sau đó chọn SHV
Templates. Khi bạn thực hiện xong việc chọn đó, pane chi tiết sẽ hiển thị một số
các điều kiện con trong mục này
ở danh sách sổ xuống. Chọn Compliant từ
danh sách các điều kiện đó và nhấn nút Add. Các điều kiện được sử dụng trong
cửa sổ Policy này sẽ chỉ thị Computer Health matches “Compliant” như trong
hình B. Điều này có nghĩa là để xem xét các client, chúng phải hợp với các tiêu
chuẩn đã định nghĩa trong phần Compliant policy đã tạo trong phần trước. Cụ
thể hơn điều đó có nghĩa là các client phải có t
ường lửa Windows đã được kích
hoạt.
Hình B: Để tuân thủ theo nguyên tắc, các client phải có yêu cầu
đã được định nghĩa trong Compliant policy bạn đã tạo.
Bây giờ bạn chọn tab Settings của cửa sổ Properties. Tab này gồm có một loạt
thiết lập có thể áp dụng cho các máy tính đang có điều kiện đã định nghĩa trước
đó. Đây là một chính sách được áp dụng cho các máy tính đã tuân thủ theo
nguyên tắc bảo mật mạng, chính vì vậy chúng ta cần phả
i gỡ những hạn chế có
trong Settings để các máy tính này có thể tăng mức truy cập vào mạng.
Để làm được điều đó, bạn vào phần Protection | NAP Enforcement. Chọn nút
Do Not Enforce như hình C.
Hình C: Những thi hành của NAP không nên áp dụng với các máy tính cần kiểm
tra
Sau khi chọn tùy chọn Do Not Enforce, bạn vào Constraints | Authentication
Method. Cửa sổ này sẽ hiển thị cho bạn một loạt các checkbox, mỗi một
checkbox tương ứng với một phương thức cấp phép khác nhau. Bỏ chọn tất cả
các hộp chọn này và chỉ chọn một checkbox EAP. Tích vào check box EAP
Methods sau đó nhấn Add. Chọn tùy chọn Secured Password (EAP-MSCHAP
v2) và nhấn
OK hai lần để đóng các hộp thoại khác đã được mở. Nhấn OK một
lần nữa để lưu mẫu mà bạn đã tạo.
Khi tạo được mẫu cho các máy tính cần kiểm tra, chúng ta phải tạo một mẫu
tương tự cho các máy tính không cần kiểm tra. Để làm được điều này, bạn chỉ
cần kích chuột phải vào mục chứa Authorization Policies của giao diện hình
cây và chọn
New | Custom từ menu tắt. Windows sẽ hiển thị cho bạn cửa sổ
New Authorization Policy Properties.
Cũng như trường hợp trước đó, thứ đầu tiên bạn phải thực hiện đó là nhập vào
tên của chính sách mới muốn tạo. Hãy lấy là Noncompliant-Restricted để
thuận tiện trong thử nghiệm của chúng ta. Dù là chúng ta đang tạo một chính
sách được hạn chế, nhưng bạn vẫn phải thiết lập loại chính sách là Grant
Access. Nhớ rằng nó là để không cho phép truy cập vào mạng, nhưng cho phép
xử lý chi tiết hơn đối với chính sách.
Bây giờ chọn tab Conditions. Khi bạn đã tạo chính sách cấp phép đối với các
máy tính cần kiểm tra, nghĩa là chúng ta đã tạo một điều kiện yêu cầu đối với
máy tính để tuân theo mẫu cần kiểm tra
đã được tạo trong phần trước. Khi chính
sách này được sử dụng cho những máy tính không cần kiểm tra đã thì bạn phải
kiểm tra xem cấu hình của các client có hợp với các điều kiện trong mẫu
NonCompliant hay không, điều này cũng có nghĩa là kiểm tra xem tường lửa
Windows có phải là không được kích hoạt không.
Tìm trong danh sách các điều kiện sẵn có trong NAP, chọn mục SHV
Templates. Chọn tùy chọn NonCompliant trong danh sách các mẫu đang có
sau đ
ó nhấn nút Add.
Tiếp theo chọn tab Settings và vào Constraints | Authentication Method. Cửa
sổ chi tiết sẽ hiển thị cho bạn một loạt các check box, mỗi check box này tương
ứng với một phương thức khác nhau. Bỏ chọn tất cả các check box, chỉ chọn
check box EAP. Tích vào check box EAP Methods sau đó nhấn nút Add. Chọn
tùy chọn Secured Password (EAP-MSCHAP v2) và nhấn OK hai lần để đóng
các hộp thoại khác đã được mở.
Mọi thứ mà chúng ta đã làm đối với chính sách cho các máy tính không cần kiểm
tra cũng hoàn toàn giống hệt như với các máy tính cần kiểm tra ngoại trừ việc
định rõ mẫu SHV khác nhau. Nếu chúng ta bỏ chính sách này thì các máy tính
không cần kiểm tra có thể truy cập thoải mái vào mạng. Chỉ khi không muốn điều
đó xảy ra thì chúng ta cần phải sử dụng NAP để ngăn chặn sự truy cập mạng
như vậy.
Để thực hiện đ
iều đó, chọn mục NAP Enforcement có trong danh sách ở
Available Settings. Cửa sổ Details sẽ hiển thị cho bạn các tùy chọn bắt buộc.
Chọn tùy chọn Enforce sau đó chọn check box Update Non Compliant
Computers Automatically như hình D. Nhấn OK để lưu chính sách mà bạn đã
tạo.