Giới thiệu về Network Access Protection
lượt xem 17
download
Tham khảo tài liệu 'giới thiệu về network access protection', công nghệ thông tin, quản trị mạng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Giới thiệu về Network Access Protection
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 1) Nguồn : quantrimang.com Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truy cập mạng trong Longhorn Server và cách thức mà nó làm việc. Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là có quá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh của tổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ các vị trí khác nhau bên ngoài văn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôi đã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôi vẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng. Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từ xa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụng máy tính bị nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hành phiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngại đối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hại đến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tin do máy tính của họ bị nhiễm Trojan. Vài năm trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hành Windows Server 2003 R2, trong đó có một tính năng mới là Network Access Protection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năng bảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2. Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sau thời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng bảo mật chính trong Longhorn Server. Mặc dù phiên bản Network Access Protection của Longhorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server 2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viết này chủ yếu cung cấp cho các bạn một chút giới thiệu về Network Access Protection và cách làm việc của nó trước khi Longhorn Server được phát hành. Trước khi bắt đầu Trước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tính
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com năng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảm máy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chức bạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu một người xâm phạm có một máy tính đáp ứng được các chính sách bảo mật của công ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truy cập của người này. Việc ngăn chặn truy nhập của người này là công việc của các kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn người dùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm. Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tính năng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng) có trong Windows Server 2003. Chức năng có trong Windows Server 2003 này cung cấp kiểm soát chính sách bảo vệ giới hạn cho các máy tính từ xa nhưng hoàn toàn thua kém so với NAP. Nền tảng cơ bản về NAP NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầu khi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịch vụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ có chính sách mạng sẽ kiểm tra tính hợp lệ về “sức khỏe” hay độ an toàn của hệ thống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tính từ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậy những gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiết lập. Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặc cách ly. Nếu một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào với một thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyên mạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sách bảo mật của công ty hay không. Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việc tạo chuyển tiếp đối với môi trường NAP. Nếu bạn có một số người dùng từ xa cần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thể không muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đó thì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đó bạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này cho phép đánh giá được ảnh hưởng của các chính sách truy cập mạng mà không phải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã được kiểm tra tốt thì bạn có thể chuyển chính sách sang chế độ cách ly. Như đã dự tính, chế độ cách ly làm việc bằng cách định vị các máy tính từ xa
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com không tuân thủ đúng chính sách bảo mật của công ty và sẽ bị cách biệt với tài nguyên của mạng. Nhưng cuối cùng thì quản trị viên cũng phải điều khiển những gì mà máy tính không tuân thủ này có thể truy cập. Thông thường, một quản trị viên sẽ trao cho các máy tính nào quyền vào một đoạn mạng đã được cách ly (vấn đề này sẽ đươc nói sau) và hạn chế việc truy cập tới những tài nguyên quan trọng nào đó hay ngăn chặn việc truy cập đến tất cả tài nguyên mạng. Có lẽ bạn đang phân vân là có những thuận lợi gì đối với việc đồng ý cho các máy tính không tuân thủ chính sách của quản trị viên này truy cập vào phần mạng đã được cách ly. Khi một máy tính không tuân thủ gắn vào mạng và NAP đang hoạt động trong chế độ cách ly, máy tính không tuân thủ sẽ bị cách ly đối với mạng lớn. Thông thường, sự cách ly này được kéo dài trong suốt khoảng thời gian kết nối của người dùng. Đơn giản việc cách ly một máy không tuân thủ có thể giúp ngăn chặn những xâm nhập gây ra bởi virus hoặc những lỗ hổng bảo mật trên mạng của bạn, nhưng nó cũng không hoàn toàn tốt cho những người truy cập từ xa vì những người dùng này không thể kết nối vào được tài nguyên mạng và chính vì vậy mà họ không thể làm được công việc của họ. Và khi gặp vấn đề này thì đoạn mạng cách ly trở nên có vai trò quan trọng. Một quản trị viên có thể đặt các tài nguyên đã được nâng cấp về an toàn vào những đoạn cách ly. Những tài nguyên nâng cấp về an toàn là các server được bảo vệ khi làm cho máy tính truy cập từ xa không tuân thủ thành tuân thủ. Chúng có thể cài đặt các bản vá bảo mật hoặc các phần mềm virus nâng cấp. Một thứ cần phải chú ý ở đây là NAP không có bất kỳ một kỹ thuật nào có khả năng thẩm tra độ an toàn của máy tính từ xa hay áp dụng các nâng cấp đối với máy tính từ xa. Vấn đề này là công việc của System Health Agents và System Health Validators. Có thông tin cho rằng các thành phần này sẽ được tích hợp vào phiên bản tới của SMS Server. Kết luận Trong bài viết này, chúng tôi đã giới thiệu cho các bạn về tính năng NAP của Longhorn Server. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho bạn quá trình cấu hình của nó như thế nào.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 2) Nguồn : quantrimang.com Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn một số khái niệm liên quan đến Network Access Protection. Trong phần hai này chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bản và các điều kiện quyết định khác. Sau đó là quá trình cấu hình như thế nào. Cơ sở hạ tầng Network Access Protection Việc thi hành NAP cần sử dụng một số máy chủ, mỗi một máy chủ có một vai trò riêng. Bạn có thể xem ở hình A để có cái nhìn tổng quát về vấn đề này. Hình A: Việc thi hành NAP yêu cầu một số máy chủ để sử dụng Như bạn thấy trong sơ đồ, client Windows Vista đang kết nối đến một Longhorn Server đang chạy dịch vụ truy cập từ xa (RRAS). Máy chủ này làm việc như máy chủ VPN cho mạng. Client Windows Vista thiết lập một kết nối đến máy chủ VPN này theo cách thông thường. Khi người dùng từ xa kết nối đến máy chủ VPN thì bộ kiểm tra miền sẽ kiểm tra tính hợp lệ của máy tính người dùng xem nó có đáp ứng được với chính sách mạng và chỉ ra những chính sách an toàn nào đã được đáp ứng, một máy chủ
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com được sử dụng để cấu hình cả Remote Access Service và Network Policy Server. Trong thế giới thực, các máy chủ VPN hoạt động ở lớp vành đai mạng và không nên cấu hình máy chủ chính sách mạng trên máy chủ vành đai. Bộ điều khiển miền Nếu nhìn vào sơ đồ hiển thị trong hình A thì bạn sẽ thấy được rằng một trong những máy chủ yêu cầu là bộ điều khiển miền. Không nên nghĩ nó chỉ là một máy chủ riêng lẻ, nó có thể khá như một cơ sở hạ tầng Active Directory trọn vẹn. Một Active Directory không thể hoạt động mà không có máy chủ DNS, nếu sơ đồ đã trình bày biểu diễn đúng một mạng thì bộ điều khiển miền sẽ đang cấu hình các dịch vụ DNS. Tất nhiên trong các tổ chức thế giới thực sử dụng điển hình nhiều bộ điều khiển miền và các máy chủ DNS chuyên dụng. Nhân tố khác cần xem xét cho sự không rõ ràng ở sơ đồ là quyền cấp chứng chỉ hoạt động kinh doanh cũng được yêu cầu. Trong trường hợp sơ đồ này, các dịch vụ cấp chứng chỉ có thể dễ dàng được cấu hình trên bộ điều khiển miền. Trong thế giới thực, một máy chủ chuyên dụng thường được sử dụng như quyền cấp chứng chỉ bởi vì tính chất nhạy cảm của các chứng chỉ số. Trong trường hợp bạn đang phân vân, lý do tại sao quyền cấp chứng chỉ hoạt động kinh doanh được yêu cầu là bởi vì máy chủ VPN sử dụng giao thức PEAP- MSCHAPv2 để thẩm định. Giao thức PEAP là chứng chỉ gốc. Máy chủ VPN sẽ sử dụng một chứng chỉ máy bên cạnh máy chủ, nhưng ngược lại các client lại sử dụng các chứng chỉ người dùng. Cài đặt quyền cấp chứng chỉ hoạt động kinh doanh Thủ tục cho việc triển khai một quyền cấp chứng chỉ hoạt động kinh doanh thay đổi phụ thuộc vào việc bạn đang cài đặt các dịch vụ trên Windows 2003 Server hay Longhorn Server. Một trong những mục đích của tôi trong bài viết này hướng tới cho các bạn đọc đã khá thân thiện với Longhorn Server. Các thủ tục dưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên Longhorn Server. Trước khi trình bày cách làm thế nào để cài đặt các dịch vụ chứng chỉ thì bạn cần phải ghi nhớ 2 điều. Đầu tiên đó là, Longhorn Server vẫn là bản chạy thử nghiệm, do vậy nó có thể thay đổi cho tới khi sản phẩm cuối cùng được phát hành, một thay đổi lớn trong quá trình phát triển ứng dụng này là khó có thể xảy ra. Điều thứ hai cần phải lưu ý đó là khi triển khai trong thế giới thực thì bạn luôn muốn có được các phép đo hiệu quả để bảo đảm quyền cấp chứng chỉ hoạt
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com động kinh doanh là an toàn. Hơn tất cả, nếu ai đó đã đoạt được quyền cấp chứng chỉ hoạt động kinh doanh của bạn thì họ có thể làm chủ được mạng. Do bài viết này chỉ tập trung vào NAP nên chúng tôi sẽ giới thiệu cho các bạn một chút về dịch vụ cấp chứng chỉ này và hoạt động của nó. Trong triển khai thế giới thực, bạn sẽ muốn có được về cấu hình của máy chủ. Bắt đầu quá trình triển khai bằng việc mở Server Manager của Longhorn Server và chọn tùy chọn Manage Roles. Tiếp theo, nhấn liên kết Add Roles đã tìm thấy trong phần Roles Summary. Việc này sẽ là cho Windows khởi động Add Roles Wizard. Nhấn Next để bỏ qua của sổ này. Bạn sẽ thấy một danh sách chứa tất cả các thành phần sẵn có. Chọn tùy chọn Active Directory Certificate Server từ danh sách. Đôi khi có thể không xuất hiện các thành phần được liệt kê theo thứ tự alphabe, chính vì vậy bạn có thể phải đọc thông qua toàn bộ danh sách để tìm dịch vụ thích hợp. Nhấn Next để tiếp tục. Cửa sổ này sẽ giới thiệu cho bạn về các dịch vụ cấp chứng chỉ và cung cấp một số chú ý. Nhấn Next, bạn sẽ thấy một cửa sổ khác hỏi về thành phần nào muốn cài đặt. Chọn các hộp checkbox Certification Authority và Certificate Authority Web Enrollment và nhấn Next. Bây giờ bạn sẽ thấy một cửa sổ hỏi có muốn tạo một quyền cấp chứng chỉ hoạt động kinh doanh hay không hay một quyền chứng chỉ độc lập. Chọn tùy chọn Enterprise Certificate Authority và nhấn Next. Bạn sẽ được nhắc nhở xem máy chủ này có nên thực hiện như một Root CA hay Subordinate CA không. Nếu đây là lần đầu tiên quyền cấp chứng chỉ trong phòng thì bạn nên chọn tùy chọn Root CA. Nhấn Next để tiếp tục. Wizard sẽ hỏi xem có muốn tạo một khóa riêng mới hay sử dụng khóa riêng đang tồn tại. Nếu đây lại là một thử nghiệm thì bạn chọn tùy chọn tạo một khóa riêng mới và nhấn Next để tiếp tục. Cửa sổ tiếp theo sẽ yêu cầu bạn chọn một nhà cung cấp dịch vụ bằng mật mã, chiều dài khóa và thuật toán hash. Trong triển khai thế giới thực, có nhiều thứ cần phải xem xét cẩn thận. Khi chúng ta đang thiết lập quyền cấp chứng chỉ này cho mục đích chứng minh thì chúng ta nên để mặc định và nhấn Next. Cửa sổ tiếp theo để bạn định nghĩa một tên chung và hậu tố tên đặc biệt đối với quyền cấp chứng chỉ. Lại tiếp tục chọn mặc định và nhấn Next. Bây giờ bạn nên xem cửa số đang yêu cầu thời gian chứng chỉ hợp lệ là bao lâu, mặc định chu kỳ này là 5 năm, điều đó khá tốt đối với các mục đích của chúng ta, vì vậy hãy nhấn Next để tiếp tục. Cửa số tiếp theo sẽ hỏi xem các cơ sở dữ liệu chứng chỉ và các bản ghi phiên liên lạc tương ứng của chúng sẽ được đặt ở
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com đâu. Trong môi trường sản xuất, việc chọn một vị trí thích hợp có tác dụng giới hạn cho khả năng chống sai sót và bảo mật. Nếu được tiến hành thử nghiệm, bạn hãy để mặc định và nhấn Next. Cuối cùng là cửa sổ diễn tả chi tiết về các tùy chọn mà bạn đã chọn. Nhấn nút Install sau đó Windows sẽ copy những file cần thiết và cấu hình các dịch vụ bên dưới. Kết luận Vậy là chúng tôi đã trình bày cho các bạn cách cấu hình quyền cấp chứng chỉ hoạt động kinh doanh, và là thời điểm bạn bắt đầu cấu hình máy chủ VPN. Mời các bạn đón xem phần 3.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 3) Nguồn : quantrimang.com Trong phần 2 của loạt bài viết này, chúng ta đã đi qua toàn bộ quá trình cài đặt Enterprise Certificate Authority (ECA) được sử dụng bởi một máy chủ. Trong phần 3 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách làm thế nào đề cấu hình máy chủ VPN cần thiết. Với các mục đích trong loạt bài viết này, chúng tôi sẽ cài đặt Network Policy Server vào một máy tính cùng cấu hình như máy tính sử dụng cho máy chủ VPN. Trong triển khai của thế giới thực bạn luôn muốn sử dụng hai máy tính riêng biệt để cấu hình các vai trò của nó. Việc cấu hình cả hai vai trò trên cùng một máy tính chỉ nên thực hiện trong phòng thí nghiệm. Các nhiệm vụ cấu hình cơ bản Trước khi trình bày về cách cấu hình máy chủ này như một máy chủ VPN, bạn phải thực hiện một số nhiệm vụ cấu hình cơ bản. Về bản chất, điều đó nghĩa là bạn phải cài đặt Longhorn Server và cấu hình nó để sử dụng một địa chỉ IP tĩnh. Địa chỉ IP phải được đặt trong cùng một dãy bộ điều khiển miền mà bạn đã cấu hình từ trước. Thiết lập Preferred DNS Server của máy chủ trong cấu hình TCP/IP của nó cần phải chỉ rõ bộ điều khiển miền mà bạn thiết lập trong loạt bài này khi nó cũng đang thực hiện như một máy chủ DNS. Sau khi kết thúc việc thực hiện cấu hình khởi tạo của máy chủ VPN, bạn nên sử dụng lệnh “ping” để xác minh lại xem máy chủ VPN đã truyền thông với bộ điều khiển miền chưa. Nối tới một miền Bạn đã chỉ định cấu hình TCP/IP của máy và đã kiểm tra kết nối của nó còn bây giờ là lúc bạn bắt đầu với các nhiệm vụ cấu hình thực. Thứ đầu tiên phải làm đó là nhập tên miền vào máy chủ mà bạn đã tạo trong phần trước. Quá trình nhập vào một tên miền trên Longhorn Server cũng tương tự như trong Windows Server 2003. Bạn nhấn chuột phải vào lệnh Computer tìm thấy trên menu Start của máy chủ. Làm như vậy, với Longhorn Server bạn sẽ mở System applet của Control Panel. Bây giờ kích vào nút Change Settings trong Computer Name, Domain và phần Workgroup Settings trong màn hình này. Bằng cách đó bạn sẽ khám phá được các thuộc tính của hệ thống System Properties. System Properties không có gì khác mấy so với trong Windows Server 2003. Nhấn vào nút Change để vào hộp thoại Computer Name Changes. Nhấn nút Domain, nhập vào tên của miền vào trường Domain và nhấn OK. Bạn nên xem hộp thoại đang nhắc nhở thiết lập một số chức năng. Nhập vào tên người dùng và mật khẩu cho tài khoản quản trị miền, nhấn nút Submit. Sau đó
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com một lúc bạn sẽ thấy hộp thoại chào mừng. Nhấn OK bạn sẽ thấy hộp thoại cho biết phải khởi động lại máy tính. Nhấn OK một lần nữa, sau nút Close. Khi khởi động lại máy tính, bạn sẽ là một thành viên của miền đã chỉ định. Cài đặt sự truy cập từ xa và định tuyến Bây giờ bạn phải tiến hành cài đặt dịch vụ truy cập từ xa và định tuyến Routing and Remote Access. Sau đó chúng ta sẽ tiến hành cấu hình dịch vụ này làm việc như trên một máy chủ VPN. Bắt đầu quá trình bằng việc mở Server Manager. Bạn có thể tìm thấy một shortcut cho Server Manager trên menu Administrative Tools. Khi Server Manager mở, bạn kéo phần trong cửa sổ chi tiết sau đó nhấn vào Add Roles liên kết để khởi tạo Add Roles Wizard. Khi wizard mở, bạn nhấn Next để bỏ qua cửa sổ ban đầu. Bạn nên quan sát cửa sổ đang nhắc nhở bạn chọn vai trò nào để cài đặt trên máy chủ. Nhấn hộp checkbox ứng với tùy chọn Network Access Services. Nhấn nút Next bạn sẽ thấy một cửa sổ giới thiệu về các dịch vụ truy cập mạng Network Access Services. Nhấn Next thêm một lần nữa bạn gặp một cửa sổ hỏi chọn các thành phần Network Access Services nào muốn cài đặt. Chọn các hộp checkbox ứng với Network Policy Server và Routing and Remote Access Services. Khi bạn chọn các dịch vụ truy cập mạng và định tuyến Routing and Remote Access Services, dịch vụ truy cập từ xa Remote Access Service, định tuyến Routing và bộ quản trị kết nối Connection Manager Administration Kit thì các hộp checkbox sẽ tự động được tích. Bạn phải bỏ chọn checkbox Remote Access Service đã được chọn đi vì nếu chọn nó sẽ cài đặt các thành phần sẽ cần thiết cho máy chủ để làm việc như một VPN. Hai hộp checkbox khác có thể tùy chọn. Nếu muốn máy chủ có chức năng như một bộ định tuyến NAT hay sử dụng các giao thức như IGMP proxy hay RIP, thì bạn cần bỏ chọn phần Routing. Nhấn Next bạn sẽ thấy một cửa sổ hiển thị các loại dịch vụ sẽ được bạn đã cài đặt. Nếu mọi thứ đều diễn ra tốt đẹp, nhấn nút Install để bắt đầu quá trình cài đặt. Có thể điều bạn muốn biết ở đây sẽ tốn mất thời gian là bao lâu trong việc cài đặt này đối với phiên bản cuối cùng của Longhorn Server phát hành. Bài test của chúng tôi được tiến hành trên phiên bản thử nghiệm của Longhorn Server và quá trình cài đặt mất vài phút để hoàn tất. Trong thực tế, máy chủ sẽ cho bạn cảm giác rằng nó bị khóa trong suốt quá trình cài đặt. Khi quá trình cài đặt hoàn tất, bạn nhấn nút Close. Sau khi bạn cài đặt Network Access Services, bạn cấu hình Routing and Remote Access Services để chấp nhận các kết nối VPN. Bắt đầu bằng việc nhập lệnh MMC vàp cửa sổ lệnh RUN của máy chủ. Bằng cách làm như vậy bạn sẽ mở một Microsoft Management console (MMC) trống. Chọn Add/Remove Snap-in từ
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com menu File. Windows sẽ hiển thị cho bạn một danh sách các mô đun phần mềm có sẵn. Chọn mô đun phần mềm Routing and Remote Access trong danh sách đó và nhấn nút Add sau đó nhấn OK. Mô đun phần mềm này sẽ được nạp ra giao diện làm việc. Nhấn chuột phải vào phần chứa Server Status của giao diện sử dụng và chọn Add Server từ kết quả của menu tắt. Khi được nhắc, bạn chọn tùy chọn máy tính này và nhấn OK. Giao diện sử dụng sẽ hiển thị một danh sách máy chủ của bạn. Nhấn chuột phải vào danh sách với máy chủ và chọn Configure and Enable Routing and Remote Access từ menu đó. Cửa sổ Routing and Remote Access Server Setup Wizard sẽ được mở. Nhấn Next để bỏ qua màn hình welcome của wizard. Bạn nên quan sát cửa sổ sau đó, cửa sổ này hỏi xem bạn muốn sử dụng cấu hình nào. Chọn tùy chọn Remote Access (dial-up hoặc VPN) và nhấn Next. Cửa sổ dưới đây sẽ cho bạn một sự lựa chọn giữa việc cấu hình truy cập dial-up hoặc VPN. Chọn checkbox VPN và nhấn Next. Wizard sẽ đưa bạn đến phần kết nối VPN, chọn giao diện mạng sẽ được sử dụng bởi các client để kết nối đến máy chủ VPN và bỏ chọn Enable Security trên Selected Interface bằng checkbox Setting up Static Packet Filters. Nhấn next và sau đó chọn From a Specified Address, sau đó nhấn Next lần nữa. Ở đây, bạn sẽ thấy một cửa sổ hỏi nhập dãy địa chỉ IP có thể được gán cho các client VPN. Nhấn nút Next và nhập địa chỉ đầu và địa chỉ cuối cho dãy địa chỉ IP. Nhấn OK, sau đó là Next. Windows sẽ mở cửa sổ của Managing Multiple Remote Access Server Bước tiếp theo trong quá trình này là chọn tùy chọn Yes để cấu hình máy chủ làm viêc với một máy chủ Radius. Bạn sẽ được nhắc nhở nhập vào địa chỉ IP cho máy chủ Radius. Vì NPS sẽ chạy cùng với Routing and Remote Access Services, nên bạn chỉ cần nhập các máy chủ có địa chỉ IP chính và địa chỉ Radius thứ cấp. Bạn cũng sẽ bị nhắc nhở để nhập vào đó một bí mật được cấp tương đương nhau. Với mục đích chứng minh, bạn chỉ cần nhập vào rras. Nhấn Next sau đó là Finish. Bạn sẽ thấy một vài cảnh báo. Hãy nhấn OK để đóng các cảnh báo này. Bước cuối cùng trong quá trình cấu hình RRAS là thiết lập sơ đồ thẩm định. Để làm việc này, bạn nhấn chuột phải vào danh sách máy chủ và chọn Properties. Khi thấy các thuộc tính của máy chủ, bạn hãy vào tab Security. Thêm EAP- MSCHAPv2 và PEAP vào phần Authentication Methods và nhấn OK. Kết luận
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong phần này, chúng tôi đã giới thiệu cho các bạn làm thế nào để cài đặt và cấu hình các dịch vụ truy cập từ xa và định tuyến Routing and Remote Access Services theo cách để cho phép máy chủ làm việc như một máy chủ VPN. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn làm thế nào để cấu hình thành phần Network Policy Server.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 4) Nguồn : quantrimang.com Trong phần trước của loạt bài này, chúng tôi đã trình bày cho các bạn làm thế nào để cấu hình thành phần VPN được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng của chúng ta. Trong phần 4 này, chúng tôi sẽ tiếp tục giới thiệu với các bạn về làm thế nào để cấu hình thành phần Network Policy Server. Như tôi đã giải thích trong loạt bài này, công việc của Network Policy Server là so sánh về tình trạng an toàn của các máy tính đang cần truy cập vào mạng bằng chính sách đã được định trước của mạng. Chính sách này đưa ra những yêu cầu cần thiết của các máy truy cập để đảm bảo độ an toàn cho mạng. Nói theo cách khác, chính sách bảo vệ của một hệ thống yêu cầu các trạm làm việc đang sử dụng hệ điều hành Windows hiện tại và có tất cả các bản vá mới nhất. Không quan tâm đến tiêu chuẩn gì sử dụng để quyết định trạm làm việc này có an toàn hay không, bạn sẽ phải thực hiện một số công việc. Tiêu chuẩn an toàn rất khác nhau đối với mỗi một công ty chính vì vậy mà Microsoft đã để chính sách này trống (ít nhất là cho đến phiên bản beta này). Như vậy, nó sẽ bắt buộc phải được cấu hình những chính sách an toàn của riêng bạn. Để minh chứng, chúng tôi sẽ tạo một ví dụ đơn giản để xem xem tường lửa của Windows có được kích hoạt không. Nếu tường lửa được kích hoạt thì chúng ta sẽ xem xét đến độ an toàn của máy trạm làm việc. Như những gì tôi đã đề cập đến trong các phần trước, trong thế giới thực, bạn không nên cấu hình Network Policy Server trên cùng một máy chủ VPN. Máy chủ VPN được lộ diện cho thế giới bên ngoài và việc cấu hình NPS trên cùng một máy là tự rước các vấn đề phức tạp về mình. Không có gì trong Windows có thể ngăn chặn bạn sử dụng cùng máy chủ cho cả hai thành phần VPN và Network Policy Server, do chỉ để minh chứng mà chúng tôi sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai thành phần này. Bắt đầu quá trình cấu hình bằng việc nhập lệnh MMC tại cửa sổ lênh RUN để mở một MMC trống. Khi giao diện này được mở, bạn chọn Add / Remove Snap- in từ menu File của giao diện. Trong cửa sổ Add / Remove Snap-in bạn chọn tùy chọn Network Policy Server từ danh sách có sẵn và nhấn nút Add. Bạn nên quan sát cửa sổ đang hỏi xem có thích quản lý máy tính cục bộ hay máy tính khác hay không. Phải bảo đảm rằng tùy chọn Local Computer được chọn và sau đó nhấn OK. Nhấn OK thêm lần nữa và thành phần Network Policy Server sẽ được mở.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators, như trong hình A. Bây giờ bạn nhấn chuột phải vào đối tượng Windows System Health Validators được tìm thấy trong phần giữa của giao diện sử dụng, chọn Properties từ menu kết quả. Windows sẽ hiển thị hộp thoại Windows Security Health Validator Properties như trong hình B. Hình A: Điều hướng thông qua giao diện cây đến NPS (Local) | Network Access Protection | System Health Validators
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình B: Hộp thoại Windows Security Health Validator Properties được sử dụng để cấu hình tiêu chuẩn an toàn hợp lệ. Nhấn nút Configure của hộp thoại, Windows sẽ hiển thị cho bạn hộp thoại Windows Security Health Validator như hình C. Như những gì có thể thấy được trong hình, hộp thoại này cho phép bạn định nghĩa chính sách sức khỏe hợp lệ của hệ thống. Mặc định hộp thoại này được cấu hình với tường lửa Windows, có thể nâng cấp Windowsvà bảo vệ chương trình diệtVirus-Spyware được cài đặt và nâng cấp. Nếu chỉ quan tâm đến việc bảo đảm tường lửa Windows được kích hoạt, hãy chọn checkbox A Firewall is Enabled for all Network Connections và hủy chọn tất cả các checkbox khác. Nhấn OK hay lần để tiếp tục.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình C: Chọn phần A Firewall is Enabled for all Network Connections và hủy chọn các thành phần khác. Bây giờ bạn đã cấu hình System Health Validators, tiếp sau bạn phải cấu hình mẫu System Health Validator. Các mẫu System Health Validator định nghĩa các kết quả máy khách hợp lệ của hệ thống. Về bản chất, điều này nghĩa là định nghĩa những gì cấu thành một loại bỏ hay cho qua khi thực hiện trên một client. Để cấu hình mẫu bảo vệ NPS, bạn kích chuột phải vào mẫu System Health Validator Template và chọn lệnh New từ menu. Sau đó Windows sẽ hiển thị một hộp thoại mẫu tạo mới Create New SHV Template được hiển thị như hình D.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình D: Bạn phải tạo một mẫu mới Như những gì thấy trong hình vẽ, hộp thoại nhắc nhở bạn nhập vào tên của một mẫu mới. Nhập Compliant vào trường Name. Phải bảo đảm rằng danh sách sổ xuống của Template Type được thiết lập là Client Passes all SHV Checks. Chọn checkbox Windows System Health Validator và nhấn OK. Bây giờ chúng ta đã tạo một mẫu định nghĩa những gì cần phải tuân thủ. Chúng ta phải tạo mẫu thứ hai để định nghĩa ý nghĩa của chúng như thế nào cho một hệ thống với sự tuân thủ đó. Để thực hiện công việc này, bạn nhấn chuột phải vào System Health Validator Templates và chọn New. Bạn nên quan sát màn hình đã làm việc vừa mới đây. Lúc này, đặt tên cho mẫu NonCompliant. Thiết lập Template Type cho Client Fails hoặc More SHV Checks. Chọn Windows Security Health Validator và nhấn OK. Nếu quay trở lại màn cửa sổ chính của giao diện Network Policy Server và chọn System health Validator Templates thì bạn sẽ quan sát thấy cả hai mẫu Compliant và NonCompliant được hiển thị trong cửa sổ trung tâm của giao diện như hình E.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình E Nếu quay trở lại màn cửa sổ chính của giao diện Network Policy Server và chọn System health Validator Templates thì bạn sẽ quan sát thấy cả hai mẫu Compliant và NonCompliant được hiển thị trong cửa sổ trung tâm của giao diện. Kết luận Trong bài viết này, chúng tôi đã trình bày cho các bạn cách cấu hình để Windows có thể kiểm tra để xác định xem các client đang yêu cầu truy cập vào mạng có tường lửa được kích hoạt hay không. Mời các bạn tiếp tục đón xem phần sau.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 5) Nguồn : quantrimang.com Trong loạt các bài trước về chủ đề này, chúng tôi đã giới thiệu cho các bạn cách cấu hình một chính sách an toàn để Windows kiểm tra xem các client đang yêu cầu truy cập vào mạng có tường lửa đã được kích hoạt chưa. Tiếp sau đó là cách tạo các mẫu hợp lệ về hệ thống để định nghĩa những gì là hợp và không hợp với chính sách an toàn của một mạng. Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về làm thế nào để tạo các chính sách cấp phép an toàn. Các chính sách này dùng để kiểm soát những gì xảy ra khi có một client cần kiểm tra hay không cần kiểm tra đối với chính sách an toàn mạng. Đây cũng là các chính sách đề chỉ ra mức truy cập đối với các client khi chúng truy cập vào mạng. Bắt đầu quá trình bằng việc mở giao diện sử dụng Network Policy Server và chọn Authorization Policies. Quan sát cửa sổ Details xem có tồn tại các chính sách cấp phép nào chưa. Trong hệ thống test của chúng tôi, có bốn chính sách cấp phép đã tồn tại từ trước, tuy nhiên không ai giám chắc các chính sách này sẽ tồn tại đến tận phiên bản cuối cùng của Longhorn Server. Đối với các chính sách đang tồn tại, bạn hoàn toàn có thể xóa chúng bằng cách kích chuột phải và chọn lệnh Delete. Sau khi đã xóa sạch các chính sách tồn tại trước đó bạn hoàn toàn có thể tạo một chính sách cấp phép mới. Để thực hiện, bạn kích chuột phải vào mục chứa Authorization Policy và chọn các lệnh New | Custom bằng cách kích chuột phải. Windows sẽ hiển thị cho bạn cửa sổ New Authorization Policy Properties. Thứ đầu tiên bạn sẽ phải thực hiện đó là phải gán một tên cho một chính sách. Hãy lấy tên như tên trong hình A đã hiển thị Compliant-Full-Access. Bình thường bạn sẽ phải nhập vào tên của chính sách vào trường tên có trong tab Overview. Sau đó bạn chọn tùy chọn Grant Access trong mục Policy Type để không cho phép người dùng có thể có đầy đủ toàn bộ quyền truy cập đối với mạng của bạn.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình A: Thiết lập loại chính sách ở chế độ Grant Access Bây giờ hãy chọn tab Conditions của cửa sổ properties. Như tên được ngụ ý của nó, tab Conditions cho phép bạn thiết lập các điều kiện cho client. Tìm kiếm thông qua danh sách điều kiện được cung cấp cho NAP sau đó chọn SHV Templates. Khi bạn thực hiện xong việc chọn đó, pane chi tiết sẽ hiển thị một số các điều kiện con trong mục này ở danh sách sổ xuống. Chọn Compliant từ danh sách các điều kiện đó và nhấn nút Add. Các điều kiện được sử dụng trong cửa sổ Policy này sẽ chỉ thị Computer Health matches “Compliant” như trong hình B. Điều này có nghĩa là để xem xét các client, chúng phải hợp với các tiêu chuẩn đã định nghĩa trong phần Compliant policy đã tạo trong phần trước. Cụ thể hơn điều đó có nghĩa là các client phải có tường lửa Windows đã được kích hoạt.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình B: Để tuân thủ theo nguyên tắc, các client phải có yêu cầu đã được định nghĩa trong Compliant policy bạn đã tạo. Bây giờ bạn chọn tab Settings của cửa sổ Properties. Tab này gồm có một loạt thiết lập có thể áp dụng cho các máy tính đang có điều kiện đã định nghĩa trước đó. Đây là một chính sách được áp dụng cho các máy tính đã tuân thủ theo nguyên tắc bảo mật mạng, chính vì vậy chúng ta cần phải gỡ những hạn chế có trong Settings để các máy tính này có thể tăng mức truy cập vào mạng. Để làm được điều đó, bạn vào phần Protection | NAP Enforcement. Chọn nút Do Not Enforce như hình C.
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Giới thiệu về Network Access Protection (Phần 2)
4 p | 130 | 37
-
Giới thiệu về Network Access Protection (Phần 3)
4 p | 130 | 30
-
Giới thiệu bổ sung về Network Access Protection phần 1
4 p | 111 | 28
-
Giới thiệu về Network Access Protection (Phần 5)
6 p | 138 | 28
-
Giới thiệu về Network Access Protection (Phần 4)
6 p | 95 | 25
-
Giới thiệu bổ sung về Network Access Protection
52 p | 118 | 24
-
Giới thiệu bổ sung về Network Access Protection - Phần 2
6 p | 148 | 23
-
Giới thiệu về Network Access Protection (Phần 1)
3 p | 110 | 20
-
Giới thiệu về Network Access Protection (Phần 7)
6 p | 101 | 19
-
Giới thiệu bổ sung về Network Access Protection - P2
8 p | 110 | 19
-
Giới thiệu bổ sung về Network Access Protection - Phần 4
6 p | 109 | 18
-
Giới thiệu bổ sung về Network Access Protection - Phần 3
7 p | 126 | 17
-
Giới thiệu về Network Access Protection (Phần 6)
6 p | 92 | 17
-
Giới thiệu bổ sung về Network Access Protection - P3
8 p | 119 | 17
-
Giới thiệu bổ sung về Network Access Protection - Phần 9
10 p | 119 | 13
-
Giới thiệu bổ sung về Network Access Protection - P6
11 p | 84 | 11
-
Giới thiệu bổ sung về Network Access Protection p1
9 p | 115 | 10
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn