Network Access Protection - Phần 3

Chia sẻ: Nhan Hoang | Ngày: | Loại File: PDF | Số trang:10

Thêm vào BST

Báo xấu

78
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'network access protection - phần 3', công nghệ thông tin, hệ điều hành phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Network Access Protection - Phần 3

Network Access Protection - Phần 3 Brien M. Posey Trong phần này chúng tôi sẽ tiếp tục giới thiệu về Network Access Protection bằng cách giới thiệu cho bạn cách cấu hình Network Policy Server. Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu hình thành phần VPN, đây là thành phần sẽ được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server. Như đã giới thiệu ở các phần trước trong loạt bài này, công việc của Network Policy Server là so sánh các báo cáo về tình trạng sức khỏe mà nó nhận được từ các máy tính đang yêu cầu truy cập vào mạng đối với chính sách sức khỏe của hệ thống. Chính sách sức khỏe của hệ thống sẽ chỉ thị những gì được yêu cầu đối với các máy tính để chúng được coi là các máy tính khỏe mạnh (hay đủ tiêu chuẩn truy cập). Trong triển khai thực, một chính sách sức khỏe của hệ thống yêu cầu các máy trạm phải chạy một hệ điều hành Windows hiện hành và có tất cả các bản vá bảo mật mới nhất. Không quan tâm đến những tiêu chuẩn gì bạn sử dụng để quyết định xem máy trạm đó có đủ sức khỏe hay không, bạn sẽ phải thực hiện một số công việc. Với mục đích minh chứng, chúng tôi sẽ tạo một chỉ thị sức khỏe hệ thống rất đơn giản để kiểm tra xem tường lửa Windows có được kích hoạt hay không. Nếu tường lửa được kích hoạt thì chúng ta sẽ công nhận máy trạm đó đủ tiêu chuẩn về sức khỏe. Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực, bạn sẽ không cấu hình Network Policy Server trên cùng một máy chủ với máy chủ VPN. Máy chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn nếu cấu hình Network Policy Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp những rủi ro vì Network Policy Server sẽ bị thỏa hiệp. Không có thành phần nào trong Windows ngăn chặn bạn sử dụng cùng một máy chủ cho cả hai thành phần VPN và Network Policy Server, vì vậy cho mục đích minh chứng chúng tôi sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai thành phần này. Cấu hình Network Policy Server Bắt đầu quá trình cấu hình bằng cách nhập lệnh MMC vào nhắc lệnh để mở giao diện quản lý của hoàn toàn trống rỗng của Microsoft. Khi giao diện được mở, bạn hãy chọn lệnh Add / Remove Snap-in từ menu File. Bạn sẽ gặp một hộp thoại Add or Remove Snap-Ins. Chọn tùy chọn Network Policy Server từ danh sách các snap-in có sẵn và kích nút Add. Lúc đó bạn sẽ thấy một nhắc nhở hỏi bạn xem bạn thích quản lý máy tính nội bộ hay máy tính khác. Hãy bảo đảm rằng tùy chọn Local Computer (máy nội bộ) được chọn, sau đó kích OK. Kích OK thêm một lần nữa và thành phần Network Policy Server sẽ được mở. Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators, xem thể hiện trong hình A. Kích chuột phải vào đối tượng Windows System Health Validator trong panel trung tâm của giao diện điều khiển và chọn lệnh Properties. Khi đó Windows sẽ hiển thị cho bạn hộp thoại Windows Security Health Validator Properties, xem thể hiện trong hình B.
Hình A: Điều hướng trong cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators
Hình B: Hộp thoại Windows Security Health Validator Properties được sử dụng để cấu hình bộ chỉ thị tình trạng sức khỏe của hệ thống. Kích nút Configure của hộp thoại, khi đó Windows sẽ hiển thị hộp thoại Windows Security Health Validator, xem thể hiện trong hình C. Như những gì bạn có thể thấy trong hình, hộpthoại này sẽ cho phép bạn định nghĩa chính sách của bộ chỉ thị tình trạng sức khỏe hệ thống. Mặc định hộp thoại này sẽ được cấu hình yêu cầu tường lửa của Windows, Windows update và các bộ bảo vệ chống virus và chống spyware cũng phải được kích hoạt và cập nhật thường xuyên. Do chúng ta chỉ quan tâm vào việc bảo đảm sao cho tường lửa Windows được kích hoạt, hãy để tùy chọn “A Firewall is Enabled for all Network Connections” được chọn và hủy chọn tất cả các tùy chọn khác. Kích OK hai lần để tiếp tục.
Hình C: Chọn hộp chọn 'A Firewall is Enabled for all Network Connections' và hủy chọn tất cả các hộp chọn còn lại. Tạo một chính sách sức khỏe cho hệ thống Chúng ta đã cấu hình bộ chỉ thị sức khỏe hệ thống (System Health Validators), lúc này bạn phải cấu hình chính sách sức khỏe cho hệ thống (System Health Policy). Chính sách sức khỏe cho hệ thống sẽ định nghĩa các kết quả của việc hợp lệ hóa trạng thái sức khỏe hệ thống. Về cơ bản, điều đó có nghĩa là định nghĩa việc cho qua (pass) hay thất bại (fail) khi quá trình hợp lệ hóa trạng thái sức khỏe được thực hiện trên máy khách. Để cấu hình chính sách sức khỏe của Network Policy Server, bạn hãy điều hướng thông qua cây giao diện đến NPS (Local) | Policies | Health Policies. Lúc này, kích chuột phải vào mục Health Policies, chọn lệnh New. Khi đó Windows sẽ hiển thị hộp thoại Create New Health Policy, xem thể hiện trong hình D.
Hình D: Bạn phải tạo một chính sách sức khỏe mới cho hệ thống. Như những gì bạn thấy trong hình, hộp thoại sẽ nhắc nhở bạn cần phải nhập vào tên của chính sách mới. Nhập từ Compliant vào trường Name. Lúc này, hãy bảo đảm rằng danh sách Client SHV Checks được thiết lập ở Client Passes all SHV Checks. Chọn hộp kiểm Windows System Health Validator và kích OK. Đến đây chúng ta đã tạo được chính sách để định nghĩa. Tiếp đến chúng ta phải tạo một chính sách thứ hai để định nghĩa ý nghĩa của nó cho hệ thống. Để thực hiện điều đó, hãy kích chuột phải vào mục Health Policies và chọn lệnh New. Bạn sẽ thấy một cửa sổ tương tự như bạn đã làm việc lúc trước đấy không lâu. Lúc này, hãy đặt tên cho chính sách mới là NonCompliant. Thiết lập danh sách trong hộp chọn Client SHV Checks là Client Fails one hoặc More SHV Checks. Chọn hộp kiểm Windows Security Health Validator và kích OK. Nếu bạn trở về màn hình chính của giao diện điều khiển Network Policy Server, hãy chọn mục Health Policies, khi đó bạn sẽ thấy cả hai chính sách Compliant và NonCompliant được hiển thị trong panel trung tâm của giao diện điều khiển, xem thể hiện trong hình E.
Hình E: Nếu trở về màn hình chính của giao diện điều khiển Network Policy Server, hãy chọn mục Health Policies, khi đó bạn sẽ thấy cả hai chính sách Compliant và NonCompliant được hiển thị trong panel trung tâm của giao diện điều khiển Kết luận Trong phần này, chúng tôi đã giới thiệu cho các bạn cách cấu hình bộ chỉ thị trạng thái sức khỏe của hệ thống để Windows sẽ kiểm tra xem các máy khách đang truy cập và mạng có kích hoạt tường lửa Windows hay không. Giới thiệu cho các bạn cách tạo một chính sách sức khỏe hệ thống để định nghĩa những gì là thỏa mãn và không thỏa mãn với chính sách sức khỏe mạng. Phần tiếp theo trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách tạo các chính sách thẩm định sức khỏe, các chính sách thẩm định sức khỏe là các chính sách dùng để điều khiển những gì sẽ xảy ra nếu một máy khách đồng thuận với chính sách sức khỏe mạng hoặc những gì sẽ xảy ra nếu hệ thống đang yêu cầu truy cập mạng không thỏa mãn những yêu cầu cần thiết. Nó cũng chính là các chính sách để phân biệt mức truy cập. Tạo các chính sách mạng Bắt đầu quá trình bằng cách mở giao diện điều khiển Network Policy Server và chọn mục Network Policies. Bằng cách thực hiện đó, nếu quan sát trên panel Details bạn sẽ thấy các chính sách mạng ở đây. Trong hệ thống test của chúng tôi, có hai chính sách mạng, cả hai chính sách này đều đã được kích hoạt một cách mặc định. Một chính sách là Connections to Microsoft Routing and Remote Access Server policy còn chính sách kia là Connections to Other Access Servers policy. Các bạn nên vô hiệu hóa các chính sách này bằng cách kích chuột phải vào chúng, sau đó chọn lệnh Disable. Lúc này bạn đã hoàn toàn biết rõ về các chính sách hiện có trước đó và có thể tạo một chính sách mới. Để thực hiện điều đó, hãy kích chuột phải vào mục Network Policy và chọn lệnh New. Khi đó Windows sẽ khởi chạy New Network Policy Wizard.
Thứ đầu tiên mà bạn sẽ phải thực hiện là gán tên cho chính sách. Hãy gọi chính sách mà chúng ta đang thực hiện là Compliant-Full-Access. Bạn có thể nhập vào tên chính sách vào trường Policy Name trong cửa sổ đầu tiên của tiện ích. Chọn Unspecified trong hộp chọn Type of Network Access Server, xem thể hiện trong hình A và kích Next. Hình A: Gán tên cho chính sách mới và kích Next Cửa sổ kế tiếp mà bạn sẽ bắt gặp sẽ yêu cầu bạn chỉ định các điều kiện được sử dụng bởi chính sách mạng mới. Bạn có thể kích nút Add để mở hộp thoại Specify Conditions. Tìm đến tùy chọn Health Policies trong hộp thoại và chọn tùy chọn này, sau đó kích nút Add. Khi đó bạn sẽ được nhắc nhở chọn chính sách sức khỏe để thi hành. Chọn tùy chọn Compliant từ danh sách như thể hiện trong hình B.
Hình B: Chọn tùy chọn Compliant từ danh sách các chính sách sức khỏe Kích OK để đóng hộp thoại Select Conditions sau đó kích Next. Khi đó Windows sẽ hiển thị một cửa sổ Specify Access Permission. Chọn tùy chọn Grant Access và kích Next. Việc thiết lập điều khoản truy cập cho Grant Access không ban cho người dùng mức truy cập toàn bộ vào mạng. Tất cả điều đó có nghĩa rằng các yêu cầu với chính sách này cần xử lý thêm nữa. Đến đây, bạn sẽ thấy cửa sổ Configure Authentication Methods. Cửa sổ này hiển thị một loạt các hộp kiểm, mỗi một trong các hộp kiểm đó lại tương ứng với một phương pháp thẩm định khác nhau. Hãy sử dụng các tùy chọn mặc định như thể hiện trong hình C và kích Next.
Hình C: Sử dụng các phương pháp thẩm định mặc định và kích Next. Kích Next, bạn sẽ thấy cửa sổ Configure Constraints. Chúng ta không muốn add bất cứ một hạn chế nào vào chính sách này, chính vì vậy bạn chỉ cần kích Next. Khi đó bạn sẽ bắt gặp cửa sổ Configure Settings. Cửa sổ này cho phép bạn chỉ định các thiết lập cần phải sử dụng nếu máy tính được cho phép truy cập. Trong một số trường hợp trước đây của Windows Server 2008, bạn cần phải vô hiệu hóa thực thi NAP để các máy khách có thể tăng quyền truy cập vào mạng. Trong phát hành RTM, thiết lập NAP Enforcement được cấu hình mặc định để cho phép mức truy cập toàn bộ vào mạng. Nếu bạn cũng muốn thực hiện như vậy, khi đó chỉ cần kích Next. Lúc này bạn sẽ thấy một cửa sổ hiển thị toàn bộ các tùy chọn cấu hình đã chọn cho chính sách. Thừa nhận rằng mọi thứ đều đi đúng hướng, hãy kích Finish để tạo chính sách. Các máy tính không đồng thuận Cho tới đây chúng ta đã tạo được một chính sách cho các máy tính đồng thuận, lúc này chúng ta phải tạo một chính sách tương tự như vậy cho các máy tính không đồng thuận (tức các máy tính không hội tụ đủ các yếu tố cần thiết với tiêu chuẩn đặt ra). Để thực hiện điều đó, bạn cần kích chuột phải vào mục Network Policies và chọn New. Thao tác này sẽ làm Windows khởi chạy New Network Policy wizard. Cũng như ở trên, thứ đầu tiên mà bạn phải thực hiện lúc này là nhập vào tên cho chính sách mới định tạo. Chúng ta hãy gọi chính sách này là Noncompliant-Restricted. Một lần nữa, thiết lập tùy chọn Type of Network Access Server là Unspecified và kích Next.
Bạn sẽ được đưa đến cửa sổ Conditions. Khi chúng ta đã tạo chính sách mạng cho các máy tính đồng thuận, chúng ta đã tạo một điều kiện yêu cầu máy tính phải tuân theo chính sách đồng thuận đã tạo trong phần trước của loạt bài này. Do chính sách đây là cho các máy tính không đồng thuận nên bạn phải kiểm tra xem cấu hình của máy tính có tương xứng với các điều kiện đã được định nghĩa trước trong chính sách NonCompliant hay không. Điều này cũng có nghĩa kiểm tra để bảo đảm rằng tường lửa Windows không được kích hoạt. Để thực hiện điều đó, hãy kích nút Add, khi đó Windows sẽ hiển thị hộp thoại Select Conditions. Chọn tùy chọn Health Policies từ danh sách và kích nút Add. Lúc này bạn hãy chọn tùy chọn NonCompliant từ danh sách các chính sách sức khỏe, kích OK tiếp đó là Next. Windows lúc này sẽ hiển thị cửa sổ Specify Access Permission. Do chúng ta sẽ tạo một chính sách hạn chế nên bạn phải thiết lập kiểu chính sách cho Grant Access. Hãy lưu ý rằng kiểu chính sách này không cho phép truy cập vào mạng mà chỉ cho phép xử lý chính sách. Kích Next, bạn sẽ được đưa tới cửa sổ Configure Authentication Methods. Lúc này chỉ cần chấp nhận các thiết lập mặc định và kích Next. Đến đây, bạn sẽ thấy cửa sổ Configure Constraints. Chúng ta không cần cấu hình bất cứ sự ràng buộc nào nên chỉ cần kích Next. Bạn sẽ gặp cửa sổ Configure Settings. Cho đến đây, mọi thứ mà bạn đã thực hiện cho các máy tính không đồng thuận hoàn toàn giống hệt với những gì chúng ta đã làm với chính sách cho các máy tính đồng thuận. Nếu chúng ta để chính sách này theo cách mặc định thì các máy tính không đồng thuận sẽ không thể tăng quyền truy cập vào mạng. Nếu không muốn điều đó xảy ra chúng ta cần phải sử dụng NAP enforcement để ngăn chặn việc truy cập mạng. Để thực hiện điều đó, bạn hãy chọn mục NAP Enforcement trong danh sách các thiết lập. Khi đó panel Details sẽ hiển thị các tùy chọn thực thi khác nhau. Chọn tùy chọn Allow Limited Access, tích vào hộp kiểm Enable Auto Remediation of Client Computers. Tùy chọn Enforce và sau đó chọn hộp kiểm Update Non Compliant Computers Automatically. Kích Next, sau đó kích Finish để tạo chính sách mới. Kết luận Trong phần này chúng tôi đã giới thiệu cho các bạn cách tạo các chính sách mạng cho cả hai kiểu máy đồng thuận và không đồng thuận. Trong phần tiếp theo của loạt bài này chúng ta sẽ kết luận về cấu hình máy chủ.