Gii thiu v Network Access Protection (Phn 5)
Ngu
n:quantrimang.com
Trong lot các bài trước v ch đề này, chúng tôi đã gii thiu cho các bn
cách cu hình mt chính sách an toàn để Windows kim tra xem các client
đang yêu cu truy cp vào mng có tường la đã được kích hot chưa.
Tiếp sau đó là cách to các mu hp l v h thng để định nghĩa nhng g
ì
là hp và không hp vi chính sách an toàn ca mt mng.
Trong bài viết này, chúng tôi s tiếp tc gii thiu v làm thế nào để to các
chính sách cp phép an toàn. Các chính sách này dùng để kim soát nhng gì
xy ra khi có mt client cn kim tra hay không cn kim tra đối vi chính sách
an toàn mng. Đây cũng là các chính sách đề ch ra mc truy cp đối vi các
client khi chúng truy cp vào mng.
Bt đầu quá trình bng vic m giao din s dng Network Policy Server và
chn Authorization Policies. Quan sát ca s Details xem có tn ti các chính
sách cp phép nào chưa. Trong h thng test ca chúng tôi, có bn chính sách
cp phép đã tn ti t trước, tuy nhiên không ai giám chc các chính sách này
s tn ti đến tn phiên bn cui cùng ca Longhorn Server. Đối vi các chính
sách đang tn ti, bn hoàn toàn có th xóa chúng bng cách kích chut phi và
chn lnh Delete.
Sau khi đã xóa sch các chính sách tn ti trước đó bn hoàn toàn có th to
mt chính sách cp phép mi. Để thc hin, bn kích chut phi vào mc cha
Authorization Policy và chn các lnh New | Custom bng cách kích chut phi.
Windows s hin th cho bn ca s New Authorization Policy Properties.
Th đầu tiên bn s phi thc hin đó là phi gán mt tên cho mt chính sách.
Hãy ly tên như tên trong hình A đã hin th Compliant-Full-Access. Bình
thường bn s phi nhp vào tên ca chính sách vào trường tên có trong tab
Overview. Sau đó bn chn tùy chn Grant Access trong mc Policy Type để
không cho phép người dùng có thđầy đủ toàn b quyn truy cp đối vi
mng ca bn.
Hình A: Thiết lp loi chính sách chế độ Grant Access
Bây gi hãy chn tab Conditions ca ca s properties. Như tên được ng ý
ca nó, tab Conditions cho phép bn thiết lp các điu kin cho client. Tìm kiếm
thông qua danh sách điu kin được cung cp cho NAP sau đó chn SHV
Templates. Khi bn thc hin xong vic chn đó, pane chi tiết s hin th mt s
các điu kin con trong mc này danh sách s xung. Chn Compliant t
danh sách các điu kin đó và nhn nút Add. Các điu kin được s dng trong
ca s Policy này s ch th Computer Health matches “Compliant” như trong
hình B. Điu này có nghĩa là để xem xét các client, chúng phi hp vi các tiêu
chun đã định nghĩa trong phn Compliant policy đã to trong phn trước. C
th hơn điu đó có nghĩa là các client phi có tường la Windows đã được kích
hot.
Hình B: Để tuân th theo nguyên tc, các client phi có yêu cu
đã được định nghĩa trong Compliant policy bn đã to.
Bây gi bn chn tab Settings ca ca s Properties. Tab này gm có mt lot
thiết lp có th áp dng cho các máy tính đang có điu kin đã định nghĩa trước
đó. Đây là mt chính sách được áp dng cho các máy tính đã tuân th theo
nguyên tc bo mt mng, chính vì vy chúng ta cn phi g nhng hn chế
trong Settings để các máy tính này có th tăng mc truy cp vào mng.
Để làm được điu đó, bn vào phn Protection | NAP Enforcement. Chn nút
Do Not Enforce như hình C.
Hình C: Nhng thi hành ca NAP không nên áp dng vi các máy tính cn kim
tra
Sau khi chn tùy chn Do Not Enforce, bn vào Constraints | Authentication
Method. Ca s này s hin th cho bn mt lot các checkbox, mi mt
checkbox tương ng vi mt phương thc cp phép khác nhau. B chn tt c
các hp chn này và ch chn mt checkbox EAP. Tích vào check box EAP
Methods sau đó nhn Add. Chn tùy chn Secured Password (EAP-MSCHAP
v2) và nhn OK hai ln để đóng các hp thoi khác đã được m. Nhn OK mt
ln na để lưu mu mà bn đã to.
Khi to được mu cho các máy tính cn kim tra, chúng ta phi to mt mu
tương t cho các máy tính không cn kim tra. Để làm được điu này, bn ch
cn kích chut phi vào mc cha Authorization Policies ca giao din hình
cây và chn New | Custom t menu tt. Windows s hin th cho bn ca s
New Authorization Policy Properties.
Cũng như trường hp trước đó, th đầu tiên bn phi thc hin đó là nhp vào
tên ca chính sách mi mun to. Hãy ly là Noncompliant-Restricted để
thun tin trong th nghim ca chúng ta. Dù là chúng ta đang to mt chính
sách được hn chế, nhưng bn vn phi thiết lp loi chính sách là Grant
Access. Nh rng nó là để không cho phép truy cp vào mng, nhưng cho phép
x lý chi tiết hơn đối vi chính sách.
Bây gi chn tab Conditions. Khi bn đã to chính sách cp phép đối vi các
máy tính cn kim tra, nghĩa là chúng ta đã to mt điu kin yêu cu đối vi
máy tính để tuân theo mu cn kim tra đã được to trong phn trước. Khi chính
sách này được s dng cho nhng máy tính không cn kim tra đã thì bn phi
kim tra xem cu hình ca các client có hp vi các điu kin trong mu
NonCompliant hay không, điu này cũng có nghĩa là kim tra xem tường la
Windows có phi là không được kích hot không.
Tìm trong danh sách các điu kin sn có trong NAP, chn mc SHV
Templates. Chn tùy chn NonCompliant trong danh sách các mu đang có
sau đó nhn nút Add.
Tiếp theo chn tab Settings và vào Constraints | Authentication Method. Ca
s chi tiết s hin th cho bn mt lot các check box, mi check box này tương
ng vi mt phương thc khác nhau. B chn tt c các check box, ch chn
check box EAP. Tích vào check box EAP Methods sau đó nhn nút Add. Chn
tùy chn Secured Password (EAP-MSCHAP v2) và nhn OK hai ln để đóng
các hp thoi khác đã được m.
Mi th mà chúng ta đã làm đối vi chính sách cho các máy tính không cn kim
tra cũng hoàn toàn ging ht như vi các máy tính cn kim tra ngoi tr vic
định rõ mu SHV khác nhau. Nếu chúng ta b chính sách này thì các máy tính
không cn kim tra có th truy cp thoi mái vào mng. Ch khi không mun điu
đó xy ra thì chúng ta cn phi s dng NAP để ngăn chn s truy cp mng
như vy.
Để thc hin điu đó, chn mc NAP Enforcement có trong danh sách
Available Settings. Ca s Details s hin th cho bn các tùy chn bt buc.
Chn tùy chn Enforce sau đó chn check box Update Non Compliant
Computers Automatically như hình D. Nhn OK để lưu chính sách mà bn đã
to.