Giới thiệu bổ sung về Network Access Protection – Phần 5


Brien M. Pose
y
Quản trị mạng - Trong phần trước của loạt bài này, chúng ta đã thực hiện một
số công việc về Network Policy Server. Tuy nhiên, chúng ta vẫn chưa được thực
hiện quá trình cấu hình. Các máy khách Windows Vista của chúng ta sẽ thẩm
định trong máy chủ VPN bằng giao thức Protected EAP (PEAP). Trước khi có
thể sử dụng PEAP, chúng ta cần phải liên kết chứng chỉ máy tính với máy chủ
VPN. Trong các phần trước chúng ta đã tạo một CA doanh nghiệp để có thể sử

dụng cho mục đích đó. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách
yêu cầu chứng chỉ cần thiết và cách liên kết chứng chỉ đó với máy chủ VPN.
Yêu cầu chứng chỉ
Chúng ta sẽ sử dụng Protected EAP (PEAP) với tư cách là cơ chế thẩm định
phía trình chủ. Để thực hiện điều đó, chúng ta cần phải có được chứng chỉ máy
tính từ CA đã đượ
c tạo trong các phần trước. Hãy nhập vào lệnh MMC tại nhắc
lệnh Run. Khi Microsoft Management Console xuất hiện, chọn Add / Remove
Snap-in command từ File menu. Tiếp đến, chọn tùy chọn Certificates từ danh
sách các snap-in và kích nút Add, sau đó là Finish.
Giao diện điều khiển lúc này sẽ hiển thị Certificate Templates snap-in. Mở phần
Certificate Templates (có thể mất vài phút để hệ thống mở thành phần này) và
sau đó tìm đến Computer template trong phần panel chi tiết. Kích chuột phải vào
đó và chọ
n Duplicate Template.
Windows sẽ hỏi bạn có muốn tạo chứng chỉ Windows Server 2003 hay Windows
Server 2008 không. Hãy chọn tùy chọn Windows Server 2008 và kích OK. Đến
đây, Windows sẽ hiển thị hộp thoại Properties of New Template.
Thứ đầu tiên mà bạn cần thực hiện là nhập vào tên của mẫu mới. Bạn có thể đặt

bất cứ tên nào muốn miễn là nó có nghĩa với bạn. Với mục đích của bài này,
chúng tôi đã gọi mẫu chứng chỉ này là VPN. Tiếp đến là thiế
t lập tính hiệu lực
trước cho mẫu và sau đó chọn hộp kiểm “Publish Certificate in Active Directory”
và “Allow Private key to be Exported”.
Truy cập tab Request Handling và bảo đảm rằng tùy chọn Purpose được thiết
lập là “Signature and Encryption”. Bạn cũng nên chọn hộp kiểm “Add Read
Permissions to Network Service”. Cuối cùng, vào tab Security và kích nút Add.
Khi Windows hiển thị hộp thoại Select Users, Computers, or Groups, hãy bảo
đảm rằng trường From this Location sẽ liệt kê tên của miền. Nhập từ
Administrators vào trường “Enter the Object Names to Select” và kích nút “Check
Names”. Giả dụ rằng Windows có thể giải quyết nhóm Domain Administrators,
khi đó bạn hãy kích OK. Cuối cùng, bổ sung thêm tùy chọn Allow Full Control
vào nhóm Administrators và kích OK.
Lúc này, đóng giao diện điều khiển Certificate Templates, sau đó chọn lệnh
Certification Authority từ menu Administrative Tools của máy chủ. Khi thực hiện
điều đó, Windows sẽ mở giao diện điề
u khiển Certification Authority. Tại đây,
bạn phải mở mục tương xứng với tên của máy chủ của mình và tìm đên mục
Certificate Template bên dưới nó.
Kích chuột phải vào mục Certificate Template, sau đó chọn New | Certificate
Template to Issue từ menu chuột phải. Khi thực hiện điều đó, Windows sẽ hiển
thị Enable Certificate Templates. Kéo vào tìm trong danh sách các mẫu có sẵn
cho tới khi bạn tìm thấy mẫu mà bạn đã tạo. Chọn mẫu đó và kích OK.
B
ạn có thể liên kết mẫu chứng chỉ với máy chủ. Để thực hiện điều đó, nhập vào
lệnh MMC tại Run. Khi đó Microsoft Management Console sẽ được mở, chọn
Add / Remove Snap-ins từ menu File. Khi Windows hiển thị danh sách các snap-
in có sẵn, chọn Certificates snap-in từ danh sách và kích nút Add.
Lúc này, Windows sẽ hỏi bạn có muốn quản lý các chứng chỉ cho tài khoản

người dùng, tài khoản dịch vụ hay tài khoản máy tính không. Bạn nên chọn tùy
chọn Computer Account. Tiếp đến, kích Finish và OK, khi đó Windows sẽ
hiển thị
giao diện điều khiển các chứng chỉ.
Phần cuối cùng của quá trình bạn cần phải mở mục Certificates (Local
Computer) để tiết lộ các mục bên dưới nó. Kích chuột phải vào mục Personal và
chọn lệnh All Tasks | Request New Certificate. Thao tác này sẽ làm cho
Windows khởi chạy Certificate Enrollment Wizard.
Kích Next để đi qua màn hình chào của Wizard và bạn sẽ thấy màn hình hiển thị
các mẫu có sẵn khác. Chọn hộp kiểm tương ứng với mẫu mà b
ạn đã tạo sau đó
kích nút Enroll. Quá trình Enroll sẽ mất một vài phút để hoàn thành. Khi quá trình
này hoàn tất, kích nút Finish. Lúc này bạn có thể đóng giao diện điều khiển
Certificates.
Chúng ta đã liên kết được chứng chỉ với máy chủ của mình, nhiệm vụ tiếp theo
là chúng ta phải cấu hình chính sách yêu cầu kết nối để sử dụng nó. Để thực
hiện điều đó, mở giao diện điều khiển Network Policy Server và điề
u hướng
trong cây giao diện đến NPS (Local) } Policies | Connection Request Policies.
Khi bạn thực hiện như vậy, panel chi tiết sẽ hiển thị một danh sách các chính
sách yêu cầu kết nối cư trú trên máy chủ. Bạn sẽ có một chính sách mang tên
NAP VPN hoặc gì đó mà bạn đã cấu hình từ trước.
Kích phải vào chính sách yêu cầu kết nối NAP VPN và chọn Properties. Khi đó
Windows sẽ hiển thị trang thuộc tính của NAP VPN. Vào tab Settings của trang
thuộc tính và kích tùy chọn Authentication Methods. Lúc này bạn sẽ thấy
“Microsoft: Protected EAP (PEAP)” được liệt kê trong danh sách EAP Types như
thể hiện trong hình A. Nếu bạn không thấy danh sách này, hãy kích nút Add để
bổ sung thêm nó.

Hình A: Microsoft Protected EAP sẽ được liệt kê trong danh sách EAP Types

Chọn Microsoft Protected EAP (PEAP), và kích nút Edit. Thẩm định rằng chứng
chỉ mà bạn đã yêu cầu từ trước được lựa chọn. Bạn cũng cần thẩm định rằng
hộp kiểm “Enable Fast Reconnects” và các hộp kiểm “Enable Quarantine
Checks” cũng được chọn. Trường EAP Types ở phần dưới của màn hnhf cần
phải được thiết lập là Secure Password (EAP MSCHAP V2). Nếu không, hãy
kích nút Add để bổ sung nó. Khi bạn kết thúc, kích OK. Kích OK lần nữa để hoàn
tất quá trình.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn cách yêu cầu một chứng chỉ
máy tính và cách liên kết nói với máy chủ VPN. Trong phần tiếp theo của loạt bài
này chúng tôi sẽ giới thiệu cho các bạn thêm một số bước trong quá trình cấu
hình.
Tạo nhóm bảo mật
Thứ đầu tiên trong quá trình tạo Network Access Protection có liên quan đến
nhóm chính sách là bạn không muốn áp dụng nó cho tất cả các máy tính trên
mạng của mình. Các máy chủ mạng là một ví dụ, sẽ không bao gi
ờ kết nối thông
qua VPN, vì vậy sẽ không được cấu hình như các máy khách Network Access
Protection. Vì chúng ta cần phân biệt giữa các máy tính hành động như các máy
khách Network Access Protection phần còn lại nên hãy bắt đầu quá trình bằng
cách tạo một nhóm bảo mật để có thể áp dụng các thiết lập chính sách.
Để tạo một nhóm bảo mật cần thiết, mở giao diện điều khiển Active Directory
Users và Computers. Khi giao diện điều khiển mở, kích chuột phải vào miền củ
a
bạn và chọn New | Group. Khi thực hiện xong thao tác đó, Windows sẽ mở hộp
thoại New Object – Groups. Tiếp tục và chỉ định NAP Clients là tên của nhóm.
Bảo đảm rằng phạm vi của nhóm được thiết lập là Global và bảo đảm rằng kiểu
nhóm cũng được thiết lập là Security. Sau đó kích OK để tạo nhóm.
Cài đặt tính năng quản lý chính sách nhóm
Thứ tiếp theo bạn cần phải thự

c hiện là cài đặt tính năng quản lý nhóm chính
sách Group Policy Management để có thể điều chỉnh các thiết lập chính sách
nhóm khác nhau. Để thực hiện điều đó, mở Server Manager và vào phần
Features Summary. Kích liên kết Add Features, khi đó bạn sẽ thấy xuất hiện
màn hình hiển thị tính năng nào hiện đã được cài đặt. Nếu tính năng mình cần
chọn này chưa được cài đặt, hãy tích vào hộp kiểm tương ứng Group Policy
Management. Cuố
i cùng, kích Next, và Install. Khi quá trình cài đặt được hoàn
tất, hãy kích Close để đóng cửa sổ cài đặt. Bạn cũng có thể đóng cả Server
Manager lúc này.
Tạo các thiết lập chính sách nhóm
Lúc này với nhóm bảo mật cần thiết thích hợp, chúng ta cũng đã cài đặt tính
năng Group Policy Management, hãy tiếp tục và cấu hình các thiết lập nhóm
chính sách cần thiết. Bắt đầu quá trình bằng cách nhập lệnh GPME.MSC vào
nhắc lệnh Run. Khi bạ
n thực hiện điều đó, Windows sẽ hiển thị một hộp thoại
cho phép bạn chọn ra trong các chính sách nhóm đang tồn tại mà bạn muốn
soạn thảo. Thay cho việc chỉnh sửa một trong các nhóm chính sách tồn tại,
chúng ta cần phải tạo một đối tượng chính sách nhóm mới.
Bạn có thể thực hiện điều đó bằng cách kích nút Create New Group Policy
Object ở bên phải của danh sách liệt kê cho miền của bạn. Khi kích nút này, bạn
sẽ được nhắc nhở nhập vào tên của đối tượng chính sách nhóm mà bạn đang
tạo. Cho mục đích của bài này, chúng ta hãy gọi đố
i tượng chính sách nhóm mới
là NAP Client Settings.
Lúc này đối tượng chính sách nhóm mới đã được tạo, hãy chọn nó và kích OK.
Khi đó Windows sẽ mở Group Policy Management Editor. Bạn phải tìm trong cây
giao diện điều khiển đến phần Computer | Configuration | Policies | Windows
Settings | Security Settings | System Services. Kích đúp vào Network
Access Protection Agent trong phần panel chi tiết.

Windows lúc này sẽ mở hộp thoại Network Access Protection Agent Properties.
Chọn hộp kiểm “Define This Policy Setting” sau đó chọn tùy chọn Automatic
startup. Kích OK để đóng hộp kiểm.
Điều hướng thông qua cây giao diện vào Computer Configuration | Policies |
Windows Settings | Security Settings | Network Access Protection | NAP
Client Configuration | Enforcement Clients. Khi đó panel chi tiết sẽ hiển thị
danh sách các máy khách thực thi có sẵn. Kích chuột phải vào Remote Access
Quarantine Enforcement Client, sau đó chọn Enable. Quay trở lại mục NAP
Client Configuration, kích chuột phải vào nó và chọn Apply.
Quay trở lại Computer Configuration | Policies | Administrative Templates |
Windows Components | Security Center. Kích đúp vào mục “Turn on
Security Center (Domain PCs Only)” trong phần panel chi tiết. Khi bạn thực
hiện điều đó, Windows sẽ hiển thị hộ
p thoại “Turn on Security Center (Domain
PCs Only)”. Chọn tùy chọn Enabled và kích OK để bảo đảm rằng Security
Center có thể truy cập từ các máy tính khách. Điều này rất quan trọng vì chúng
ta sẽ test Network Access Protection về khả năng phát hiện xem Windows
firewall đã được kích hoạt hay chưa.
Để hoàn tất quá trình, kích OK sau đó đóng Group Policy Management Editor.
Trong một số trường hợp, bạn có thể nhận được một nhắc nhở hỏi bạn có muốn
áp dụng các thay đổ
i vừa thực hiện cho đối tượng chính sách nhóm hay không.
Nếu nhận được nhắc nhở như vậy, bạn phải chọn “Apply”.
Cấu hình các bộ lọc bảo mật
Thứ tiếp theo bạn phải thực hiện là áp dụng một số bộ lọc bảo mật nhằm ngăn
chặn không cho các thiết lập của máy khách Network Access Protection đang
được sử dụng cho các máy chủ mạng. Để cấu hình các bộ lọc cần thiết, hãy
nhập vào lệnh GPMC.MSC tại cửa sổ Run. Khi đó Windows sẽ mở Group Policy
Management Console. Tìm đến Domain | your domain | Group Policy Objects
| NAP Client Settings.

Nếu quan sát vào phần panel chi tiết, bạn sẽ
thấy phần có dán nhãn Security
Filtering hướng về phía dưới của màn hình. Mặc định, chính sách sẽ áp dụng
cho những người dùng đã được thẩm định. Chúng ta cần thay đổi để chính sách
không áp dụng cho những ai đã đăng nhập vào lần trước đó. Kích
Authenticated Users, sau đó kích nút Remove. Kích OK khi Windows hỏi bạn
có chắc chắn hay không.
Lúc này kích nút Add. Windows sẽ yêu cầu bạn chọn người dùng, máy tính hoặc
nhốm muốn sử dụng như m
ột bộ lọc bảo mật. Nhập NAP Clients vào phần
không gian được cung cấp, kích nút Check Names. Giả dụ rằng tên đó được tạo
thành công, kích OK.
Kết luận
Lúc này tất cả những thiết lập chính sách nhóm cần thiết đều đã thích hợp.
Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách
bổ sung thêm máy tính khác vào nhóm bảo mật đã được tạo trong bài này. Từ
đó chúng tôi sẽ
giới thiệu cách thực hiện một số bài test để bảo đảm rằng các
thiết lập chính sách nhóm đã định nghĩa hiện được áp dụng theo cách thích hợp.
Tiếp đó sẽ test Network Access Protection và bảo đảm rằng nó có thể phát hiện
Windows firewall có được kích hoạt trên máy tính khách hay không.
