Gii thiu b sung v Network Access Protection phn 1
Brien M. Pose
y
Qun tr mng - Có th các bn đã đọc
được rt nhiu tài liu hoc bài viết v
Network Access Protection (NAP). Đó là
mt tính năng được thiết kế trong
Windows Server 2008 (trước đây có tên
mã là Longhorn Server) và đã có mt s
bài viết v NAP xut hin ngay t khi
Windows Server 2008 chưa được phát
hành.
Còn gi đây Windows Server 2008 đã
được phát hành rng rãi đến các nhà sn xut, do vy tác gi viết bài này mun
nhìn nhn li toàn b các lot bài mà ông đã viết v NAP. Mc dù hu hết các
khái nim đã được gii thiu trong bài viết vn hp l nhưng có mt s bước có
liên quan ti quá trình thc thi đã có nhng s thay đổi đáng k.
Mc tiêu ca vic chúng tôi gii thiu bài này cũng là ý định update nhng lot
bài viết v NAP trước đây ca tác gi. Trong phn đầu tiên ca lot bài này,
chúng tôi s gii thiu cho các bn v NAP và gii thích v cách làm vic ca nó.
T đây, chúng tôi s hướng dn tng bước cho bn trong toàn b quá trình thc
thi.
Network Access Protection là gì?
Network Access Protection hoc NAP như tên vn tt vn được gi ca nó,
được to ra để gii quyết mt s nhược đim gây tht vng mà các qun tr viên
mng thường gp phi. Như mt qun tr viên mng, chúng tôi bo đảm rng
bn có th tn rt nhiu thi gian và s c gng ca mình vào vic làm sao cho
mng ca mình được an toàn. Tuy nhiên vn đề mc phi đây là mt s máy
tính trong mng li nm bên ngoài s kim soát trc tiếp ca bn và có nhiu
khó khăn hay đôi khi không th bo đảm s an toàn.
đây chúng tôi đang nói v nhng người dùng t xa. Qu thc s hoàn toàn rt
d dàng đối vi vic bo v an toàn cho các máy trm cư trú mt trong hai
dng trên, bn ch có th tránh được vic bo mt cho các máy laptop ca người
dùng min là các laptop này là tài sn ca công ty. Mc dù vy trong nhiu t
chc, người dùng li thích đăng nhp t máy tính gia đình ca h bng mt kết
ni VPN để h có th làm mt s vic sau gi làm vic mà không cn phi đến
văn phòng. Do công ty không s hu các máy tính này nên các nhân viên qun
tr không có quyn điu khin trc tiếp trên các máy tính này.
Trước khi có Network Access Protection, các t chc luôn phi chiến đấu để làm
sao cho các máy tính ngoài s kim soát trc tiếp ca các nhân viên qun tr kết
ni vào mng. Lý do ca điu này là mt h có th gp phi mt s máy tính gia
đình thc s “scary”. Rt khó để có th tìm ra các máy tính gia đình đã b tiêm
nhim virus và spyware hoc vn đang s dng các h điu hành không được
update mt cách kp thi. Và ngày càng có nhiu người hi v các vn đề mà h
gp phi vi Windows 98.
Network Access Protection đưc thiết kế để khc phc các vn đề trên. Khi mt
người dùng nào đó kết ni vào mng, máy tính ca người dùng có th được
mang ra so sánh vi mt chính sách “sc khe” mà bn đã thiết lp Các ni
dung bên trong ca chính sách này s khác nhau tùy theo mi t chc, bn có
th yêu cu h điu hành ca người dùng phi có đầy đủ các bn vá bo mt
mi nht và máy tính phi đang chy phn mm chông virus được cp nht mt
cách kp thi,…và nhiu vn đề tương t như vy. Nếu mt máy tính có hi t
đủ các tiêu chun cn thiết mà bn đã thiết lp trong chính sách thì máy tính này
hoàn toàn có th kết ni vào mng theo cách thông thường. Nếu máy tính này
không hi t đủ các yếu t cn thiết thì bn có th chn để t chi s truy cp
mng cho người dùng, sa vn đề lp tc hoc tiếp tc và cho người dùng s
truy cp nhưng lưu ý v trng thái ca máy tính ca người dùng.
Mt s thut ng
Trước khi chúng tôi có th bt đầu gii thiu v cách làm vic ca NAP, bn cn
phi biết được mt s thut ng mà Microsoft s dng cho NAP.
Thut ng đầu tiên mà bn cn biết là Enforcement Client, đôi khi đưc viết tt
là EC. Mt Enforcement Client là mt máy khách đang thc hin kết ni vào
mng ca bn. Cn phi lưu ý rng không phi tt c các máy trm đều tương
thích vi Network Access Protection. Để được xem xét là Enforcement Client,
máy trm phi có th chy thành phn System Health Agent, đây là thành phn
mà chúng tôi s gii thiu cho các bn trong các phn tiếp theo. Ch Windows
Vista và Windows XP SP3 mi có kh năng chy System Health Agent và chính
vì vy ch có các h điu hành máy trm này tương thích vi Network Access
Protection.
Thut ng tiếp theo mà bn cn biết đến là System Health Agent hoc SHA.
System Health Agent là mt tác nhân chy như mt dch v trên máy trm và
kim tra Windows Security Center. Tác nhân này chu trách nhim cho vic báo
cáo các thông tin v trng thái sc khe ca h thng đối vi máy ch
Enforcement Server nh s kết ni.
Khái nim tiếp theo mà chúng tôi mun gii thiu cho các bn s
Enforcement Server. Enforcement Server là mt máy ch dùng để thi hành các
chính sách đã được định nghĩa bi NAP.
Mt thut ng khác cũng cn phi biết đến đó là System Health Validator hoc
SHV. System Health Validator s dng các thông tin mà nó thu lượm được t
System Health Agent và so sánh vi các thông tin v trng thái “sc khe” như
định nghĩa.
Thut ng cui cùng mà chúng tôi mun gii thiu là Remediation Server. Mt
remediation server là mt máy ch để to kh năng truy cp cho các máy khách
không có đủ các tiêu chun truy cp mng như đã được thiết lp. Mt máy ch
remediation server (tm dch là máy ch dùng để điu đình li) s cha tt c
các cơ chế cn thiết cho vic to mt s đồng thun ca máy khách vi các
chính sách. Cho ví d, máy ch này có th s dng các bn vá bo mt cho máy
khác thc thi.
Các hn chế ca NAP
Có mt th mà chúng tôi mun đề cp v NAP là nó cung cp cho bn mt cách
nâng cao s bo mt cho các t chc, tuy nhiên li không thay thế được các cơ
chế bo mt khác mà bn đang s dng. Network Access Protection không tha
mãn được s hài lòng trong trường hp bo đảm các máy khách t xa tuân theo
chính sách an ninh mng. Trong thc tế, nó s có th thc hin mt công vic
tt hơn đối vi vic thc thi chính sách này theo thi gian vì nó này đưc da
trên các chun m. Điu này có nghĩa rng các hãng phn mm th ba s
th viết các module chính sách cho riêng bn, chính sách này s cho phép bn
to các chính sách bo mt để s dng cho phn mm ca các nhóm th ba
đang chy trên enforcement client.
Nhng gì Network Access Protection không th thc hin đưc là ch, nó
không th tránh được các k xâm phm ba bãi vào mng. Network Access
Protection ch bo đảm rng các máy trm đang được s dng cho vic truy cp
t xa có đủ các tiêu chun. Chính vì vy, Network Access Protection s ch ngăn
được hacker nếu máy tính không tha mãn chính sách an ninh mng ca bn
còn trong trường hp máy tính ca hacker đồng thun theo chính sách này thì
s rt khó để có th thiết lp truy cp ca hacker là truy cp b t chi.
Kết lun
Trong phn này chúng tôi đã gii thiu cho các bn rng Network Access
Protection có th cung cp mt cách bo v máy trm trong vic kết ni vi
mng thông qua mt chính sách bo mt mng. Trong phn tiếp theo ca bài
này, chúng tôi s tiếp tc gii thiu cho các bn vc thc thi b sung mt tính
năng ca Network Access Protection.
Cơ s h tng mng cho Network Access Protection
Vic thc thi cơ s h tng mng yêu cu đến mt vài máy ch, mi mt máy
ch đây s thc hin mt vai trò nào đó. Như nhng gì các bn thy trong
hình bên dưới, chúng ta s s dng mt Routing và Remote Access Server, mt
domain controller và mt Network Policy Server.
Hình A: Thc thi NAP yêu cu ti mt vài máy ch
Như nhng gì bn thy trong hình trên, Windows Vista client đang đưc kết ni
vi máy ch Windows Server 2008 (máy ch đang chy dch v Remote Access
(RRAS)). Máy ch này đóng vai trò như mt VPN server cho mng. Windows
Vista client thiết lp mt kết ni vi máy ch VPN này theo cách thc thông
thường.
Khi người dùng t xa kết ni vi máy ch VPN, các chng ch ca h phi hp
l bng RADIUS protocol. Máy ch chính sách mng s xác định chính sách
“sc khe” nào đang b gây nh hưởng và điu gì s xy ra nếu máy khách t xa
không tha mãn chính sách này.
Trong môi trường thí nghim, mt máy ch vt lý có th được s dng để cu
hình cho c Routing and Remote Access Service role và Network Policy Server
role. Trong các máy ch VPN thc tế tn ti các mng vành đai đôi khi độ bo
mt s kém đi vi mng nếu bn cu hình máy ch chính sách mng trên máy
ch này.
Domain ControllerNếu quan sát vào sơ đồ th hin trong hình A bn s thy
rng mt trong các máy ch yêu cu là domain controller. Máy ch này không
phi là mt máy ch đơn thun mà đúng hơn là toàn b mt cơ s h tng
Active Directory. Như nhng gì bn đã biết, Active Directory không th hot động
mà không có máy ch DNS. Nếu sơ đồ này là mt trường hp ca mng thc t
domain controller phi cu hình các dch v DNS. Các t chc thường s dng
nhiu b điu khin min và các máy ch DNS chuyên dng.
Nhng yêu cu v cơ s h tng ph không th hin trong hình v trên là
Enterprise Certificate Authority. Tuy nhiên, Windows có th được cu hình để
thc hin theo kh năng như vy. Trong lot bài này, chúng tôi s cu hình
domain controller để thc hin như mt b phn thm định chng ch doanh
nghip. Nếu đây là mt trin khai thc ca bn thì bn s s dng các máy ch
chuyên dng để thm định chng ch doanh nghip vi nhng lý do v ca các
chng ch s.
Cài đặt thm định chng ch doanh nghip (Enterprise Certificate
Authority)
Th tc cho vic trin khai mt b thm định chng ch doanh nghip khác nhau
tùy thuc vào nhng gì bn s cài đặt các dch v trên Windows 2003 server
hoc Windows 2008 server. Do mt mc đích ca bài viết là làm sao thân thin
vi bn đọc nht vi Windows 2008 Server nên th tc dưới đây được d định
cho vic cài đặt các dch v chng ch trên Windows Server 2008.
Trước khi gii thiu cho các bn cách cài đặt các dch v chng ch, bn cn lưu
ý rng trong trin khai thc bn s s dng các thông s cc độ để bo đảm cho
b thm định chng ch doanh nghip ca bn được an toàn. Nếu ai đó tha
hip vi nó, h s s hu mng ca bn. Vì bài viết này ch tp trung vào
Network Access Protection ch hoàn toàn không tp trung vào các dch v ca
chng ch nên chúng tôi s gii thiu cho các bn mt chút v các dch v chng
ch. Trong trin khai thc, bn s mun có được kh năng cu hình cho máy
ch.
Bt đầu quá trình trin khai bng vic m Server Manager ca Windows 2008
Server và chn tùy chn Roles t cây giao din điu khin. Tiếp đến, kích vào
liên kết Add Roles trong phn Roles Summary ca giao din điu khin. Thao