Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008
Group Policy - Phần 1
Network Access Protection là một công nghệ mới có trong Windows Serve
r
2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết
nối với các máy tính khác trong mạng của mình. Network Access Protection
(hoặc NAP) cho phép bạn thiết lập các chính sách “sức khỏe” mà các máy tính
trong mạng phải có đủ các yếu tố này trước khi được phép truy cập mạng. Các
máy tính có đầy đủ các yêu cầu cần thiết đối với chính sách truy cập mạng sẽ
được phép truy cập vào mạng. Còn trong trường hợp khác, máy tính có thể
không hoặc bạn có thể cấu hình các chính sách
để cho phép máy tính kết nối với
máy chủ “điều đình lại” nhằm cho phép máy tính tính đó có thể dàn xếp và cố
gắng kết nối trở lại mạng sau khi “sự điều đình” thành công.

Có nhiều cách bạn có thể thi hành một chính sách NAP. Cách đơn giản nhất là
sử dụng NAP với sự thi hành DHCP. Tuy nhiên, phương pháp này cũng là một
phương pháp kém an toàn nhất vì người dùng có thể cấu hình một cách thủ
công địa chỉ IP trên máy tính và vòng tránh đượ
c chính sách thực thi DHCP của
NAP. Phương pháp an toàn nhất cho sự thi hành NAP chính là IPsec. Khi sử
dụng thực thi IPsec NAP và đồng thuận với chính sách truy cập NAP thì máy
tính sẽ được cấp phát một chứng chỉ sức khỏe để cho phép tạo một kết nối
IPsec an toàn với các máy tính khác trên mạng “ảo” NAP. Tuy nhiên, NAP với
thực thi IPsec lại là một cấu hình phức tạp nhất trong các phương pháp.

Bản thân NAP cũng là một công nghệ khá phức tạp với hàng trăm thành phần.
Khi sử
dụng NAP với thực thi IPsec, bạn sẽ thấy có nhiều phần và việc khắc
phục sự cố trở nên đơn giản hơn rất nhiều. Cũng có một sự phụ thuộc đối với
Group Policy, điều đó làm tăng sự phức tạp của giải pháp, nguyên nhân gây ra

điều đó là bạn thường cần phải khắc phục các vấn đề với Group Policy khi triển
khai NAP.

Tấ
t cả các khó khăn và thách thức ở trên không khiến chúng ta nản chí mà ý
chúng tôi muốn nhấn mạnh ở đây là khi thực hiện triển khai này bạn phải biết về
các thiết lập phức tạp và cấu hình của nó, để từ đó kiên nhẫn và test thật cẩn
thận trong quá trình triển khai. Càng dành nhiều thời gian để test và tìm hiểu
cách làm việc của giải pháp thì bạn sẽ càng thành công trong quá trình triển khai
của mình.

NAP với sự thực thi chính sách IPsec sẽ là m
ột phương pháp rất mạnh trong
triển khai giải pháp NAP của bạn. bạn sẽ có hai giải pháp trong một: giải pháp
thứ nhất là có được sự kiểm soát truy cập mạng NAP để cho phép bạn có thể
khóa các máy tính không đảm bảo đủ các tiêu chí về “sức khỏe” kết nối vào
mạng và thứ hai đó là bạn sẽ lợi dụng trong việc cách ly miền IPsec để từ đó có
thể ngăn chặn các máy tính lừa bịp kết nối vào mạng của mình. NAP với việc
cách ly miền IPsec sẽ cho phép bạn tạo một mạng ảo bên trong biên giới các
mạng vật lý của bạn. Các máy tính trong mạng riêng ảo IPsec có thể nằm trên
cùng một đoạn mạng hoặc đoạn VLAN nhưng được chia đoạn ảo với nhau bằng
IPsec. Các máy tính không có chứng chỉ “sức khỏe” IPsec sẽ không thể truyề
n
thông với các máy tính “khỏe mạnh” trong mạng.

Trong phần này chúng tôi sẽ giới thiệu cho các bạn từ việc khởi đầu đến kết thúc
quá trình triển khai giải pháp NAP bằng thực thi chính sách IPsec. Môi trường
ban đầu rất đơn giản, các bạn có thể thấy trong hình bên dưới.

Hình 1

Các máy tính mà chúng ta đang sử dụng trong mạng ví dụ là:

WIN2008DC

Đây là máy tính Windows Server 2008 phiên bản Enterprise, máy tính này đóng
vai trò bộ điều khiển miền msfirewall.org. Chỉ có một role máy chủ
đã cài đặt
trên máy tính này là Certificate Authority server role. Chúng tôi đã tạo trên máy
tính này một Enterprise Root CA. Nếu các bạn muốn mirror cấu hình này, trước
tiên hãy một máy đóng vai trò điều khiển miền, sau đó sẽ thăng quyền thành
điều khiển miền, cài đặt role CA và chọn tùy chọn Root CA. Nếu bạn muốn
mirror một cấu hình CA doanh nghiệp, hãy đặt tên của nó là CA msfirewall-
WIN2008DC-CA.

WIN2008SRV1

Đây là máy tính chạy hệ điều hành Windows Server 2008 phiên bản Enterprise
và là một máy chủ thành viên trong miền msfirewall.org. Không có role máy chủ
nào cấu hình trên máy này. Chúng ta sẽ cài đặt NPS server role trên nó và làm
cho nó trở thành máy CA cấp thấp hơn, tuy nhiên nếu bạn mu
ốn xây dựng lab
này, hãy cài đặt Windows Server 2008 trên máy tính và thực hiện theo các
hướng dẫn như chúng tôi giới thiệu trong loạt bài này.

VISTASP1

Đây là máy tính chạy hệ điều hành Vista SP1. Máy tính này được gia nhập vào
miền msfirewall.org. Chúng tôi đã sử dụng một cài đặt Vista mặc định và sau
đó cài đặt SP1. Nếu bạn đã có một cài đặt SP1 từ trước thì điều đó không có gì
phải đề cập.


VISTASP1-2

Đây là máy tính chạy hệ
điều hành Vista, giống như VISTASP1. Máy tính này
được cài đặt trong một nhóm làm việc có tên WORKGROUP. Chúng ta sẽ nhập
máy tính này vào một miền nào đó sau khi test các chính sách NAP và IPsec.

Các bước chính chúng ta sẽ thực hiện trong loạt bài này gồm có:
• Cấu hình bộ điều khiển miền

• Cài đặt và cấu hình Network Policy Server, Health Registration Authority
và Subordinate CA

• Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server

• Cấu hình VISTASP1 và VISTASP1-2 cho việc test

• Test Health Certificate và Auto-remediation Configuration

• Thẩm định thực thi chính sách NAO trên VISTASP1

• Cấu hình và test các chính sách IPsec.
Mục tiêu của chúng tôi trong loạt bài này là giới thiệu cho các bạn về cách cấu
hình một giải pháp và chứng tỏ rằng giải pháp đã làm việc.

Cấu hình bộ điều khiển miền

Trong phần này, chúng ta sẽ thực hiện các bước dưới đây:
• Xác nhận cấu hình Enterprise Root CA trên bộ điều khiển miền


• Tạo nhóm bảo mật NAP CLIENTS

• Tạo nhóm bảo mật NAP Exempt

• Tạo và cấu hình Certificate Template cho NAP Exempt Computers

• Làm cho Certificate Template hiện hữu trong việc công bố trong Group
Policy.

• Phân phối NAP Exemption Health Certificate thông qua Group Policy
Autoenrollment
Xác nhận cấu hình Root CA

Thẩm định rằng các yêu cầu chứng chỉ không cần đến sự phê chuẩn của quản
trị viên. Thực hiện các bước dưới đây trên máy tính bộ điều khiển miền,
WIN2008DC:

1. Kích Start, trỏ tới Administrative Tools và sau đó kích Certification
Authority

2. Trong phần panel bên trái của giao diện, kích chuột phải vào CA, sau đó kích
Properties.

Hình 2
3. Kích tab Policy Module, sau đó kích Properties

Hình 3
4. Thẩm định rằng tùy chọn Follow the settings in the certificate template, if
applicable. Otherwise, automatically issue the certificate đã được chọn.


Hình 4
5. Kích OK hai lần, sau đó đóng giao diện điều khiển Certification Authority

Tạo nhóm NAP CLIENTS

Tiếp đến, tạo một nhóm lọc bảo mật Group Policy. Những gì chúng ta sẽ thực
hiện lúc này là tạo một Group Policy Object để sử dụng các máy chính sách NAP
sẽ sử dụng, sau đó cấu hình GPO chỉ cho các thành viên của nhóm. Theo cách
này, chúng ta không cần tạo một OU cho các máy khách NAP. Tất cả những gì
chúng ta cần thực hiện ở đây là add các máy khách NAP vào nhóm bảo mậ
t.
VISTASP1 và VISTASP1-2 sẽ được add vào nhóm này sau khi chúng ta gia
nhập miền.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Trong phần panel bên trái của giao diện Active Directory Users and
Computers, kích chuột phải vào msfirewall.org, trỏ đến New và sau đó kích
Group.

Hình 5
2. Trong hộp thoại New Object - Group, trong Group name, đánh NAP Clients.
Trong Group scope, chọn Global, còn trong Group type chọn Security, sau đó
kích OK

Hình 6
3. Để giao diện điều khiển Active Directory Users and Computers mở cho thủ tục
dưới đây.


Tạo nhóm NAP Exempt

Sẽ có các máy trong mạng của bạn cần truyền thông với các thành viên của
mạng bảo mật, những người này không thể có đủ các yêu cầu bảo mật NAP cần
thiết. Có các máy tính cơ sở hạ tầng mạng, chẳng hạn như các bộ điều khiển
miền, máy chủ DHCP và các thành phầ
n khác cần truyền thông với các máy tính
trong mạng an toàn.

Trong ví dụ của chúng tôi, WIN2008SRV1 cần kết nối với các thành viên của
mạng an toàn để cung cấp cho chúng các chứng chỉ sức khỏe, các chứng chỉ đó
sẽ được sử dụng để thiết lập truyền thông IPsec an toàn giữa các thành viên
trong mạng an toàn. Chính vì vậy chúng ta sẽ đặt máy tính này là một nhóm
riêng và sau đó cấu hình chứng chỉ sức khỏe sẽ được triển khai tự động cho
máy tính này. Ch
ứng chỉ sức khỏe sẽ được triển khai cho máy tính này bằng
cách sử dụng sự kết nạp tự động.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Trong giao diện điều khiển Active Directory Users and Computers, kích
chuột phải vào msfirewall.org và trỏ đến New, sau đó kích Group.

Hình 7
2. Trong Group name, đánh IPsec NAP Exemption. Trong Group scope, chọn
Global và trong Group type chọn Security, sau đó kích OK

Hình 8
3. Để lại giao diện điều khiển Active Directory Users and Computers cho thủ tục
dưới đây.


Hình 9
Tạo và cấu hình mẫu chứng chỉ cho NAP Exempt Computer

Một mẫu chứng chỉ phải được tạo cho các máy tính được cấp miễn các kiểm tra
sức khỏe NAP. Mẫu chứng chỉ này sẽ được cấu hình hai chính sách ứng dụng:
thẩm định máy khách và thẩm định sức khỏe hệ thống. Mẫu ch
ứng chỉ này sẽ
được cấu hình với System Health Authentication OID để nó có thể được sử dụng
nhằm truyền thông với các máy tính đồng thuận NAP trong mạng an toàn.

Sau khi tạo mẫu chứng chỉ, chúng ta sẽ công bố mẫu chứng chỉ để nó trở lên
hiện hữu đối với Active Directory cho các máy tính là các thành viên của nhóm
NAP Exempt. Sau khi công bố mẫu chứng chỉ cho Active Directory, chúng ta sẽ
cấu hình Group Policy để chứng chỉ sẽ tự động gán cho các thành viên của
nhóm NAP Exempt bằng tính năng tự động kết nạp (Autoenrollment).

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Kích Start, kích Run và đánh certtmpl.msc sau đó nhấn ENTER

2. Trong phần panel ở giữa của Certificate Template Console, kích chuột phải
vào Workstation Authentication, sau đó kích Duplicate Template. Mẫu này
được sử dụng vì nó đã được cấu hình với chính sách thẩm định ứng dụng máy
khách.

Hình 10
3. Trong hộp thoại Duplicate Template, chọn tùy chọ
n Windows 2003 Server,
Enterprise Edition và kích OK.


Hình 11
4. Trong Template display name, đánh System Health Authentication. Hãy
tích vào hộp kiểm Publish certificate in Active Directory.

Hình 12
5. Kích tab Extensions, sau đó kích Application Policies. Tiếp đó kích nút Edit

Hình 13
6. Trong hộp thoại Edit Application Policies Extension, kích Add.

Hình 14
7. Trong hộp thoại Add Application Policy, chọn chính sách System Health
Authentication và kích OK.

Hình 15
8. Kich OK trong hộp thoại Edit Application Policy Extension

Hình 16
9. Kích tab Security và kích Add. Trong hộp thoại Select Users, Computers or
Groups, bạn nhập vào NAP Exempt trong hộp văn bản Enter the object name
to select và kích Check Names. Sau đó kích OK.

Hình 17
10. Kích IPsec NAP Exemption, sau đó tích vào hộp kiểm bên cạnh Allow,
Enroll và Autoenroll sau đó kích OK.

Hình 18
11. Đóng giao diện điều khiển các mẫu chứng chỉ.


Làm cho mẫu chứng chỉ hiện hữu cho việc công bố trong Group Policy

Thực hiện theo các bước dưới đây để kích hoạt mẫu chứng chỉ mới trở thành
hiện hữu trong Active Directory Group Policy. Sau khi thực hiện điều đó, chúng
ta sẽ có thể làm cho chứng chỉ trở lên hiện hữu đối với các thành viên của nhóm
NAP Exempt thông qua việc t
ự động kết nạp.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Kích Start, kích Run, đánh certsrv.msc sau đó nhấn ENTER.

2. Mở phần tên máy chủ trong panel bên trái của giao diện điều khiển, trong cây
giao diện, kích vào Certificate Templates, trỏ tới New, sau đó kích Certificate
Template to Issue.

Hình 19
3. Kích System Health Authentication, sau đó kích OK

Hình 20
4. Trong panel bên trái của giao diện điều khiển, kích Certificate Templates,
trong phần panel chi tiết nằm trong phần Name, hãy thẩm định rằng System
Health Authentication đã được hiển thị.

Hình 21
5. Đóng giao diện Certification Authority

Phân phối chứng chỉ sức khỏe NAP Exemption trong Group Policy
Autoenrollment


Chúng ta đã công bố mẫu chứng chỉ, chính vì vậy lúc này có thể làm cho nó trở
thành hiên hữu đối với các máy thuộc về nhóm NAP Exempt. Chúng ta sẽ thực
hiện điều đó bằng cách s
ử dụng sự kết nạp tự động (autoenrollment).

Thực hiện theo các bước dưới đây trên máy để kích hoạt sự kết nạp tự động
(autoenrollment) của chứng chỉ này:

1. Kích Start và sau đó kích Run. Nhập gpmc.msc vào hộp văn bản Open và
kích OK.

2. Trong giao diện điều khiển Group Policy Management, hãy kích để mở phần
tên miền msfirewall.org và kích chuột phải vào Default Domain Policy và kích
Edit.

Hình 22
3. Trong panel bên trái của Group Policy Management Editor, mở Computer
Configuration\Windows Settings\Security Settings\Public Key Policies.
Trong phần giữa của giao diện điều khiển, hãy kích đúp Certificate Services
Client – Auto-Enrollment.
Hình 23
4. Trong hộp thoại Certificate Services Client – Auto-Enrollment Properties,
bạn hãy chọn tùy chọn từ danh sách Configuration Model. Tích vào các hộp
thoại Renew Expired certificates, update pending certificates, and remove
revoked certificates và Update certificates that use certificate templates.
Kích OK.

Hình 24
5. Đóng Group Policy Management Editor


6. Đóng giao diện điều khiển Group Policy Management

Kết luận

Trong phần 1 này chúng tôi đã giới thiệu cho các bạn các yêu cầu về cấu hình
cho máy tính được sử dụng làm bộ điều khiển miền. Trong bài là giới thiệu về

việc xác nhận cấu hình root CA của doanh nghiệp, việc tạo các nhóm bảo mật
NAP CLIENTS và NAP Exempt, tạo và cấu hình mẫu chứng chỉ cho các máy
tính ví dụ NAP, làm cho mẫu chứng chỉ hiện hữu để công bố trong Group Policy,
tiếp đó là phân phối chứng chỉ “sức khỏe” NAP exemption cho Group Policy.
Trong phần tiếp theo của loạt bài này chúng tôi sẽ cài đặt Network Policy Server
và các quyền Health Registration cũng như tạo một chính sách NAP.
