Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP Phần 1
Nguồn : quantrimang.com
Thomas Shinder
Quản trị mạng - Network Access Protection (NAP) là một tính năng truy cập
mạng mới trong Windows Server 2008. NAP cho phép bạn điều khiển được máy
tính nào có thể tham gia vào mạng. Khả năng tham gia vào mạng được xác định
bởi máy khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách
của NAP của bạn hay khơng.
NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp trong
việc cấu hình. Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn muốn
kích hoạt. Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cập
vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉ
trạng thái tốt để cho phép nó có thể kết nối với mạng hay khơng.
Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành DHCP
NAP đơn giản. Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ DHCP sẽ trở
thành máy chủ truy cập mạng. Điều này có nghĩa rằng nó sẽ chịu trách nhiệm là
máy chủ DHCP để cung cấp cho các máy khách NAP các thông tin tương xứng
với mức thi hành của chúng. Nếu máy khách NAP có đầy đủ tiêu chuẩn, nó sẽ
nhận các thông tin định địa chỉ IP để cho phép kết nối với máy tính khác trong
mạng. Trong trường hợp nếu máy khách NAP khơng có đủ tiêu chuẩn với chính
sách sức khỏe mạng của bạn thì máy khách NAP sẽ được gán các thông tin
định địa chỉ IP để hạn khả năng kết nối của máy tính này. Điển hình, chính sách
NAP của bạn cho phép các máy tính khơng có đủ tiêu chuẩn sẽ kết nối với các
domain controller và máy chủ cơ sở hạ tầng mạng, cũng như các máy sẽ cho
phép các máy tính khơng đủ tiêu chuẩn điều đình lại và như vậy sẽ trở thành đủ
tiêu chuẩn.
Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu. Nếu
máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần đến một
máy chủ RADIUS để chứa các chính sách NAP. Có một số chính sách được lưu
trong máy chủ RADIUS tương thích NAP, chẳng hạn như chính sách sức khỏe,
chính sách mạng, chính sách yêu cầu kết nối. Trong Windows Server 2008,
Network Policy Server (NPS) được sử dụng như một máy chủ RADIUS để chứa
các chính sách NAP. Máy chủ NPS sẽ làm việc với máy chủ DHCP và khai báo
máy chủ DHCP của bạn xem máy khách có đủ tiêu chuẩn NAP với các chính
sách của bạn hay không.
Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security Health
Validator (SHV) trên máy chủ NPS. Mặc định, Windows Server 2008 sẽ cung cấp
cho bạn bộ Security Health Validator của Windows để bạn có thể sử dụng nhằm
thiết lập chính sách sức khỏe cho mạng của mình.
Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAP
Agent và máy khách thi hành NAP. NAP Agent sẽ thu thập các thông tin về trạng
thái bảo mật của máy khách NAP, còn NAP Enforcement Agent được sử dụng
để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành NAP mà bạn
chọn. Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ kích hoạt NAP
Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản. Nó gồm có ba máy:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Windows Server 2008 Domain Controller. Khơng có dịch vụ nào khác
được cài đặt trên máy chủ này. Địa chỉ IP được gán cho máy tính tính là
10.0.0.2, máy tính này là một domain controller trong miền
msfirewall.org.
Thành viên Windows Server 2008 trong miền msfirewall.org. Địa chỉ IP
của máy tính này là 10.0.0.3. Máy tính này sẽ được cài đặt các dịch vụ
DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt loạt bài
này.
Máy khách Windows Vista là một thành viên của msfirewall.org.
Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:
Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách.
Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên
Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP
Xem lại chính sách yêu cầu kết nối
Xem lại các chính sách mạng
Xem lại các chính sách sức khỏe
Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực thi
NAP
Cấu hình các thiết lập NAP trong Group Policy
Nhập máy tính Vista vào nhóm các máy tính thực thi NAP
Kiểm tra giải pháp
Tạo nhóm bảo mật cho các máy khách NAP
Thứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máy
tính có sử dụng chính sách NAP. Mở giao diện điều khiển Active Directory
Users and Computers, sau đó kích chuột phải vào nút Users. Trỏ tới New và
kích Group.
Hình 1
Trong hộp thoại New Object – Group, bạn hãy nhập NAP Enforced
Computers trong hộp nhập liệu Group Name. Chọn tùy chọn Global từ danh
sách Group scope và chọn tùy chọn Security từ danh sách Group type. Kích
OK.
Hình 2
Cài đặt NPS và DHCP trên máy chủ NPS
Máy tính NPS sẽ duy trì các role Network Policy Server và DHCP server. Lưu ý
rằng, bạn có thể thiết lập máy chủ DHCP trên máy tính khác thay cho máy chủ
NPS sẽ cấu hình các chính sách NAP, nhưng bạn sẽ vẫn cần phải cấu hình máy
chủ DHCP “remote” đó như máy chủ DHCP và máy chủ NPS, và sau đó cấu
hình máy chủ NPS để gửi các u cầu thẩm định đến máy chủ NAP. Để bảo
đảm mọi thứ được dễ dàng hơn, chúng ta chỉ cần thiết lập máy chủ NPS và
DHCP trên cùng một máy.
Trong giao diện Server Manager, kích nút Roles, sau đó kích vào liên kết Add
Roles, xem những gì thể hiện trong hình bên dưới.
Hình 3
Kích Next trong trang Before You Begin.
Hình 4
Trong trang, hãy tích vào các hộp kiểm trong DHCP Server and Network Policy
and Access Services. Kích Next.
Hình 5
Đọc các thơng tin trong trang Network Policy and Access Services, sau đó
kích Next.
Hình 6
Chúng ta khơng cần tất cả các dịch vụ role được cung cấp bởi Network Policy
and Access Services role mà chỉ cần đến role RADIUS (Network Policy
Server). Hãy tích vào hộp kiểm Network Policy Server. Không chọn bất cứ tùy
chọn nào khác, sau đó kích Next.
Hình 7
Đọc các thơng tin trong trang DHCP Server và kích Next.
Hình 8
Server Manager sẽ làm chọn bạn cảm thấy dễ dàng hơn so với các trình quản lý
trước đây, nó cho phép bạn cấu hình máy chủ DHCP trong suốt quá trình cài
đặt. Trong trang Select Network Connection Bindings, chọn địa chỉ IP mà bạn
muốn máy chủ DHCP kiểm tra. Sự lựa chọn mà bạn thực hiện ở đây phụ thuộc
vào độ phức tạp của mơi trường DHCP vì bạn có thể cấu hình một trong nhiều
chuyển tiếp DHCP trong tổ chức, và như vậy sẽ có nhiều địa chỉ IP được gán
cho một máy chủ DHCP. Tuy nhiên điều đó khơng nằm trong kịch bản này vì
chúng ta chỉ có một địa chỉ IP gán cho máy tính này. Hãy tích vào hộp kiểm trong
hộp địa chỉ IP, sau đó kích Next.
Hình 9
Trong trang Specify IPv4 DNS Server Settings, bạn có thể thay đổi cấu hình
một số tùy chọn DHCP. Nhập tên miền vào hộp văn bản Parent Domain và
nhập vào địa chỉ IP của máy chủ DNS trong hộp văn bản Preferred DNS Server
IPv4 Address. Trong ví dụ này, tên miền của chúng ta là msfirewall.org vì vậy
chúng ta sẽ nhập vào tên miền đó. Địa chỉ IP của máy chủ DNS là 10.0.0.2, do
đó chúng ta sẽ nhập địa chỉ IP này. Do chúng ta khơng có máy chủ DNS ln
phiên trong ví dụ này nên hãy kích Next.
Hình 10
Chúng ta khơng có máy chủ WINS trong mạng ví dụ này nên sẽ khơng nhập vào
bất cứ thứ gì trong trang Specify IPv4 WINS Server Settings. Chỉ chọn tùy
chọn WINS is not required for applications on this network và kích Next.
Hình 11
Trong trang Add or Edit DHCP Scopes, kích nút Add. Trong hộp thoại Add
Scope, hãy nhập vào Scope Name, Starting IP Address, Ending IP Address,
Subnet Mask, Default Gateway, và chọn khoảng thời gian phóng thích. Hình
bên dưới thể hiện các entry của chúng ta cho các tùy chọn trong mạng ví dụ này.
Kích OK trong hộp thoại Add Scope.
Hình 12
Kích Next trong hộp thoại Add or Edit DHCP Scopes.
Hình 13
Chúng ta sẽ khơng sử dụng IPv6 trong mạng ví dụ này, chính vì vậy hãy chọn
tùy chọn Disable DHCPv6 stateless mode for this server và kích Next.
Hình 14
Để hoạt động trong miền của chúng ta, máy chủ DHCP này cần được thẩm định
trong Active Directory. Chọn tùy chọn Use current credentials nếu bạn đăng
nhập với tư cách là quản trị viên miền. Nếu không, hãy chọn tùy chọn Use
alternate credentials và kích Specify. Trong ví dụ này, chúng tôi đã đăng nhập
với tư cách một quản trị viên miền và vì vậy sẽ chọn tùy chọn Use current
credentials và tiếp đến kích Next.
Hình 15
Xem lại các thiết lập của bạn trong trang Confirm Installation Selections và
kích Install.
Hình 16
Kích Close trong trang Installation Results sau khi bạn đã thấy quá trình cài đặt
các máy chủ NPS và DHCP đã được thực hiện thành công.
Hình 17
Kết luận
Trong phần một của loạt bài sử dụng sự thi hành của NAP DHCP này, chúng tôi
đã giới thiệu cho các bạn một số các khái niệm NAP cơ bản. Sau đó đã hướng
dấn tạo một nhóm bảo mật cho các máy khách NAP và kết thúc bằng việc cài
đặt các thành phần máy chủ NPS và DHCP trong giải pháp. Trong phần thứ hai
của loạt bài này, chúng tôi sẽ sử dụng NAP wizard để tạo một chính sách thực
thi NAP DHCP, sau đó giới thiệu sâu hơn về các thiết lập được tạo bởi wizard