Tài liệu Giới thiệu bổ sung về Network Access Protection - Phần 5 pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (283.31 KB, 6 trang )
Giới thiệu bổ sung về Network Access Protection - Phần 5
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cấu hình
thành phần hợp lệ hóa trạng thái “sức khỏe” của hệ thống để xem các máy khách đang
yêu cầu truy cập vào mạng đã kích hoạt tường lửa Windows hay chưa. Cũng trong phần
đó chúng ta đã biết được cách tạo các chính sách “sức khỏe” của hệ thống để định nghĩa
thế nào là một máy khách có trạng thái sức khỏe tốt và không tốt.
Trong phần này, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn cách tạo
các chính sách mạng. Các chính sách mạng là các chính sách dùng để điều khiển những
gì sẽ xảy ra khi một máy khách đồng thuận hay không đồng thuận với chính sách sức
khỏe khi muốn truy cập vào mạng. Đây cũng là các chính sách xác định mức truy cập đối
với các máy khách trong việc truy cập mạng.
Tạo các chính sách mạng
Bắt đầu quá trình bằng cách mở giao diện điều khiển Network Policy Server và chọn mục
Network Policies. Bằng cách thực hiện đó, nếu quan sát trên panel Details bạn sẽ thấy các
chính sách mạng ở đây. Trong hệ thống test của chúng tôi, có hai chính sách mạng, cả hai
chính sách này đều đã được kích hoạt một cách mặc định. Một chính sách là Connections
to Microsoft Routing and Remote Access Server policy còn chính sách kia là Connections
to Other Access Servers policy. Các bạn nên vô hiệu hóa các chính sách này bằng cách
kích chuột phải vào chúng, sau đó chọn lệnh Disable.
Lúc này bạn đã hoàn toàn biết rõ về các chính sách hiện có trước đó và có thể tạo một
chính sách mới. Để thực hiện điều đó, hãy kích chuột phải vào mục Network Policy và
chọn lệnh New. Khi đó Windows sẽ khởi chạy New Network Policy Wizard.
Thứ đầu tiên mà bạn sẽ phải thực hiện là gán tên cho chính sách. Hãy gọi chính sách mà
chúng ta đang thực hiện là Compliant-Full-Access. Bạn có thể nhập vào tên chính sách
vào trường
Policy Name trong cửa sổ đầu tiên của tiện ích. Chọn Unspecified trong hộp
chọn Type of Network Access Server, xem thể hiện trong hình A và kích Next.
Hình A: Gán tên cho chính sách mới và kích Next
Cửa sổ kế tiếp mà bạn sẽ bắt gặp sẽ yêu cầu bạn chỉ định các điều kiện được sử dụng bởi
chính sách mạng mới. Bạn có thể kích nút Add để mở hộp thoại Specify Conditions. Tìm
đến tùy chọn Health Policies trong hộp thoại và chọn tùy chọn này, sau đó kích nút Add.
Khi đó bạn sẽ được nhắc nhở chọn chính sách sức khỏe để thi hành. Chọn tùy chọn
Compliant từ danh sách như thể hiện trong hình B.
Hình B: Chọn tùy chọn Compliant từ danh sách các chính sách sức khỏe
Kích OK để đóng hộp thoại Select Conditions sau đó kích Next. Khi đó Windows sẽ hiển
thị một cửa sổ Specify Access Permission. Chọn tùy chọn Grant Access và kích Next.
Việc thiết lập điều khoản truy cập cho Grant Access không ban cho người dùng mức truy
cập toàn bộ vào mạng. Tất cả điều đó có nghĩa rằng các yêu cầu với chính sách này cần
xử lý thêm nữa.
Đến đây, bạn sẽ thấy cửa sổ
Configure Authentication Methods. Cửa sổ này hiển thị một
loạt các hộp kiểm, mỗi một trong các hộp kiểm đó lại tương ứng với một phương pháp
thẩm định khác nhau. Hãy sử dụng các tùy chọn mặc định như thể hiện trong hình C và
kích Next.
Hình C: Sử dụng các phương pháp thẩm định mặc định và kích Next.
Kích Next, bạn sẽ thấy cửa sổ Configure Constraints. Chúng ta không muốn add bất cứ
một hạn chế nào vào chính sách này, chính vì vậy bạn chỉ cần kích Next.
Khi đó bạn sẽ bắt gặp cửa sổ Configure Settings. Cửa sổ này cho phép bạn chỉ định các
thiết lập cần phải sử dụng nếu máy tính được cho phép truy cập. Trong một số trường
hợp trước đây của Windows Server 2008, bạn cần phải vô hiệu hóa thực thi NAP để các
máy khách có thể tăng quyền truy cập vào mạng. Trong phát hành RTM, thiết lập NAP
Enforcement được cấu hình mặc định để cho phép mức truy cập toàn bộ vào mạng. Nếu
bạn cũng muốn thực hiện như vậy, khi đó chỉ cần kích
Next.
Lúc này bạn sẽ thấy một cửa sổ hiển thị toàn bộ các tùy chọn cấu hình đã chọn cho chính
sách. Thừa nhận rằng mọi thứ đều đi đúng hướng, hãy kích Finish để tạo chính sách.
Các máy tính không đồng thuận
Cho tới đây chúng ta đã tạo được một chính sách cho các máy tính đồng thuận, lúc này
chúng ta phải tạo một chính sách tương tự như vậy cho các máy tính không đồng thuận
(tức các máy tính không hội tụ đủ các yếu tố cần thiết với tiêu chuẩn đặt ra). Để thực hiện
điều đó, bạn cần kích chuột phải vào mục Network Policies và chọn New. Thao tác này
sẽ làm Windows khởi chạy New Network Policy wizard.
Cũng như ở trên, thứ đầu tiên mà bạn phải thực hiện lúc này là nhập vào tên cho chính
sách mới định tạo. Chúng ta hãy gọi chính sách này là
Noncompliant-Restricted. Một lần
nữa, thiết lập tùy chọn
Type of Network Access Server là Unspecified và kích Next.
Bạn sẽ được đưa đến cửa sổ Conditions. Khi chúng ta đã tạo chính sách mạng cho các
máy tính đồng thuận, chúng ta đã tạo một điều kiện yêu cầu máy tính phải tuân theo
chính sách đồng thuận đã tạo trong phần trước của loạt bài này. Do chính sách đây là cho
các máy tính không đồng thuận nên bạn phải kiểm tra xem cấu hình của máy tính có
tương xứng với các điều kiện đã được định nghĩa trước trong chính sách NonCompliant
hay không. Điều này cũng có nghĩa kiểm tra để bảo đảm rằng tường lửa Windows không
được kích hoạt.
Để thực hiện điều đó, hãy kích nút Add, khi đó Windows sẽ hiển thị hộp thoại Select
Conditions. Chọn tùy chọn Health Policies từ danh sách và kích nút Add. Lúc này bạn
hãy chọn tùy chọn NonCompliant từ danh sách các chính sách sức khỏe, kích OK tiếp
đó là Next.
Windows lúc này sẽ hiển thị cửa sổ Specify Access Permission. Do chúng ta sẽ tạo một
chính sách hạn chế nên bạn phải thiết lập kiểu chính sách cho Grant Access. Hãy lưu ý
rằng kiểu chính sách này không cho phép truy cập vào mạng mà chỉ cho phép xử lý chính
sách.
Kích Next, bạn sẽ được đưa tới cửa sổ Configure Authentication Methods. Lúc này chỉ
cần chấp nhận các thiết lập mặc định và kích Next.
Đến đây, bạn sẽ thấy cửa sổ Configure Constraints. Chúng ta không cần cấu hình bất cứ
sự ràng buộc nào nên chỉ cần kích Next.
Bạn sẽ gặp cửa sổ
Configure Settings. Cho đến đây, mọi thứ mà bạn đã thực hiện cho
các máy tính không đồng thuận hoàn toàn giống hệt với những gì chúng ta đã làm với
chính sách cho các máy tính đồng thuận. Nếu chúng ta để chính sách này theo cách mặc
định thì các máy tính không đồng thuận sẽ không thể tăng quyền truy cập vào mạng. Nếu
không muốn điều đó xảy ra chúng ta cần phải sử dụng NAP enforcement để ngăn chặn
việc truy cập mạng.
Để thực hiện điều đó, bạn hãy chọn mục NAP Enforcement trong danh sách các thiết
lập. Khi đó panel Details sẽ hiển thị các tùy chọn thực thi khác nhau. Chọn tùy chọn
Allow Limited Access, tích vào hộp kiểm Enable Auto Remediation of Client
Computers. Tùy chọn Enforce và sau đó chọn hộp kiểm Update Non Compliant
Computers Automatically. Kích Next, sau đó kích Finish để tạo chính sách mới.
Kết luận
