Giới thiệu cho các bạn về wizard cấu hình của NAP

Giới thiệu cho các bạn về wizard cấu hình của NAP

Trong phần 2 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về wizard

cấu hình của NAP trong giao diện điều khiển NPS. Wizard cấu hình NAP đã

tạo một số chính sách, cụ thể trong đó bao gồm các chính sách yêu cầu kết

nối, chính sách sức khỏe và chính sách mạng. Trong phần 3 này, chúng tôi sẽ

giới thiệu cho các bạn sâu hơn nữa về các chính sách này và xem chúng thực

hiện những gì trong giải pháp thực thi DHCP.

Chính sách yêu cầu kết nối

Chính sách yêu cầu kết nối cho phép bạn chỉ định xem các yêu cầu kết nối

được xử lý nội bộ hay được chuyển tiếp đến các máy chủ RADIUS từ xa.

Trong hình bên dưới, bạn có thể thấy wizard đã tạo một chính sách yêu cầu

kết nối NAP DHCP có các điều kiện và các thiết lập cụ thể. Như những gì

bạn thấy trong hình bên dưới, một điều kiện được áp dụng cho chính sách này

thì cũng được áp dụng cho các ngày trong tuần, và chỉ có phần Setting có giá

trị Authentication provider là Local Computer (máy tính đang chạy dịch vụ

NPS).

Hãy kích đúp vào chính sách này và xem hiện ra những gì.

Hình 1

Trên tab Overview, bạn có thể thấy chính sách đã được kích hoạt và phương

thức kết nối mạng là DHCP. Điều này có nghĩa là rằng máy chủ DHCP là

máy chủ truy cập mạng cho mạng này và máy chủ truy cập mạng DHCP

truyền thông với máy chủ RADIUS (NPS) để xác định xem có hay không cho

phép truy cập mạng, kiểu truy cập gì được phép đối với mạng dựa tên trạng

thái sức khỏe máy khách.

Hình 2

Trên tab Conditions, bạn có thể thấy các điều kiện đã được xuất hiện trong

giao diện điều khiển NPS trước đó. Chỉ có các điều kiện được áp dụng cho

rule này mới được áp dụng cho tất cả các giờ trong tuần.

Hình 3

Trong trang Settings, kích vào liên kết Authentication trong phần panel bên

trái của trang. Ở đây bạn có thể thấy các thiết lập thẩm định đã được thiết lập

là Authenticate requests on this server. Máy chủ RADIUS (NPS) này là

máy chủ thực hiện sự thẩm định quyền. Trong một số trường hợp, bạn sẽ

muốn để máy chủ DHPC trên một máy tính tách biệt hoàn toàn với máy chủ

NPS đang thực hiện thẩm định. Trong trường hợp đó, bạn vẫn cần cài đặt

NPS trên máy chủ DHCP, nhưng sau đó bạn cấu hình máy chủ NPS để

chuyển tiếp các yêu cầu thẩm định sang máy chủ RADIUS (NPS) từ xa bằng

cách sử dụng Forward requests to the following remote RADIUS server

group for authentication như thể hiện trong hình bên dưới.

Kích OK trong hộp thoại NAP DHCP Properties.

Hình 4

Như những gì bạn thấy, chính sách yêu cầu kết nối sẽ thiết lập các điều kiện

và các thiết lập thẩm định cho toàn bộ chính sách NAP. Lúc này chúng ta hãy

xem xét sâu hơn vào các chính sách mạng NAP.

Các chính sách mạng

Các chính sách mạng NAP cho phép bạn chỉ rõ ai được thẩm định để kết nối

vào mạng và trong hoàn cảnh nào họ có thể hoặc không thể kết nối. Bạn có

thể thấy được wizard của NAP đã tạo 3 chính sách mạng cho toàn bộ chính

sách NAP của chúng ta:

 NAP DHCP Compliant Rule này áp dụng cho các máy tính đồng

thuận NAP

 NAP DHCP Noncompliant Rule này áp dụng cho các máy tính không

đồng thuận NAP

 NAT DHCP Non NAP-Capable Rule này áp dụng cho các máy tính

không thể xử lý các chính sách NAP.

Trong ba hình bên dưới, bạn có thể thấy Conditions và Settings cho mỗi rule

này. Sự khác nhau chính giữa ba rule này là mức truy cập mà mỗi rule cung

cấp cho các máy khách. Với sự đồng thuận hoàn toàn, mức truy cập toàn diện

sẽ được cung cấp. Với sự không đồng thuận hoặc không thể sử dụng các máy

NAP thì các máy này sẽ bị hạn chế truy cập mạng ở một mức độ nhất định.

Hình 5

Hình 6

Hình 7

Kích đúp vào một trong các rule và xem bên trong các rule còn những chi tiết

gì. Khi bạn kích đúp vào rule NAP DHCP Noncompliant Properties, tab

đầu tiên mà bạn nhìn thấy sẽ là tab Overview. Ở đây chúng ta có thể thấy

được chính sách đã được kích hoạt, Access Permission được thiết lập là

Grant access và các thuộc tính dial-in của người dùng được bỏ qua (vì các

máy khách DHCP không truy cập vào mạng băng phương thức quay số).

Cuối cùng, bạn sẽ thấy Network connection method được thiết lập là

DHCP server.

Hình 8

Trong tab Conditions, bạn sẽ thấy NAP DHCP Noncompliant Health

Policy được áp dụng khi NAP DHCP Noncompliant Properties Network

Rule được áp dụng. Chúng ta sẽ xem xét sâu về các chính sách sức khỏe này.

Hình 9

Trong trang Constraints, wizard đã cấu hình những ràng buộc chính sách

sức khỏe. Ở đây chỉ có một ràng buộc là một điều kiện sức khỏe cần được áp

dụng và được kiểm tra còn không có các yêu cầu thẩm định nào khác.

Hình 10

Kích tab Settings, sau đó kích vào liên kết NAP Enforcement trong panel

bên trái của hộp thoại. Trong phần panel bên phải bạn sẽ thấy wizard đã cấu

hình mức truy cập được phép cho Network Policy này. Trong trường hợp

này, wizard đã cấu hình chính sách là Allow limited access. Sự truy cập hạn

chế được đặt ra như chỉ cho các địa chỉ IP, các ID mạng và các máy chủ yêu

cầu các dịch vụ mạng cơ bản và cho phép điều đình lại. Bạn có thể thêm

nhiều những thứ như thế này bằng cách kích vào nút Configure trong khung

Remediation Server Group and Troubleshooting URL.

Nếu bạn kích nút Configure, khi đó bạn sẽ thấy nhóm Network Services đã

tạo xuất hiện với tư cách là nhóm máy chủ điều đình lại để áp dụng cho chính

sách mạng này.

Lưu ý rằng, dựa trên những phần chọn trong wizard, Network Policy cũng

được cấu hình để cho phép tự động điều đình lại khi hộp kiểm Enable auto-

remediation of client computers được đánh dấu.

Hình 11

Chính sách sức khỏe

Các chính sách sức khỏe được sử dụng với NAP để cho phép bạn chỉ rõ cấu

hình yêu cầu cho các máy khách đồng thuận NAP truy cập mạng. Về mặt

thực chất, các chính sách sức khỏe được sử dụng để xác định xem máy tính

có hội tụ đủ các yếu tố cần thiết của một máy tính đồng thuận hay không.

Như những gì có thể thấy trong hình bên dưới, wizard đã tạo ra hai chính

sách sức khỏe.

 NAP DHCP Compliant (Đồng thuận)

 NAP DHCP Noncompliant (không đồng thuận)

Mục đích của mỗi chính sách này rất rõ ràng. Chính sách đồng thuận định

nghĩa các máy tính đồng thuận với các chính sách sức khỏe của mạng còn

chính sách kia định nghĩa các máy không đồng thuận.

Kích đúp vào entry NAP DHCP Noncompliant để xuất hiện hộp thoại NAP

DHCP Noncompliant Properties.

Hình 12

Khi bạn kích vào nút Network Access Protection bên panel trái của giao

diện điều khiển Network Policy Server, khi đó bạn sẽ thấy xuất hiện hai nút

khác: System Health Validator và Remediation Server Group. Hãy kích

nút System Health Validator.

Ở đây bạn có thể thấy trong phần panel bên phải của giao diện điều khiển là

một danh sách System Health Validators được áp dụng nhằm định rõ Health

Policy như chúng ta đã thấy. Mặc định, chỉ có một SHV là Windows

Security Health Validator. Khi kích SHV này bạn sẽ thấy trong phần panel

bên dưới trong SHV một danh sách các cấu hình mã lỗi. Wizard đã thiết lập

cho mỗi một trong số các mã lỗi này để máy khách tưởng rằng không đồng

thuận.

Hãy xem xét chi tiết hơn bằng cách kích đúp vào entry Windows Security

Health Validator.

Hình 13

Khi kích đúp vào đó, bạn sẽ thấy xuất hiện hộp thoại Windows Security

Health Validator Properties. Ở đây bạn có thể thấy các thiết lập Error

code resolution. Các thiết lập này được sử dụng để chỉ định cách quản lý các

tình huống nơi mã lỗi xuất hiện trong quá trình thực thi NAP. Các mặc định

được cấu hình bởi wizard hầu như an toàn hơn cả và chúng tôi cũng khuyên

các bạn nên giữ chúng.

Kích nút Configure để cấu hình các thiết lập cho SHV này.

Hình 14

Khi kích nút đó, hộp thoại Windows Security Health Validator sẽ xuất

hiện, hộp thoại này có hai tab: một là tab Windows Vista và tab Windows

XP. Trong ví dụ này chúng tôi chỉ tập trung vào tab Windows Vista vì đó là

máy khách mà chúng tôi sẽ test khi hoàn tất cấu hình.

Windows Security Health Validator cho phép bạn cấu hình những thành phần

dưới đây:

 Firewall: Bạn có thể kích hoạt tường lửa trên máy khách Vista để đồng

thuận với chính sách sức khỏe chung.

 Virus Protection: Có thể thi hành sự bảo vệ virus để đồng thuận.

Thêm vào đó, có thể yêu cầu cập nhật sự bảo vệ virus cho sự đồng

thuận.

 Spyware Protection: Có thể sử dụng ứng dụng antispyware, thêm vào

đó là cập nhật ứng dụng.

 Automatic Updating: Khi việc cập nhật tự động được thiết lập, NAP

agent trên máy khách sẽ giải quyết mọi vấn đề. Cho ví dụ, nếu một

người dùng nào đó vô hiệu hóa Windows Firewall, thì NAP agent trên

máy khác sẽ cố gắng kích hoạt tường lửa trở lại.

 Security Update Protection: Khi tùy chọn này được thiết lập, bạn có

thể hạn chế các máy khách truy cập vào mạng dựa trên trạng thái hiện

hành của chúng đối với các nâng cấp bảo mật. Bạn cũng có thể sử dụng

dang sách drop down như trong hình bên dưới để thiết lập kiểu nâng

cấp bảo mật gì được yêu cầu. Cũng có thể thiết lập số giờ tối thiểu

được cho phép khi máy khách đã kiểm tra các nâng cấp bảo mật mới và

xem xem có muốn cho phép các máy khách sử dụng Windows Server

Update Servers hoặc Windows Update hay không (Microsoft Update

được cho phép một cách mặc định).

Hình 15

Hình bên dưới thể hiện các thiết lập SHV cho Windows Security Health

Validator đối với máy khách Windows XP. Lưu ý rằng các tùy chọn chống

malware không có ở đây.

Hình 16

Kết luận

Trong phần ba này, chúng tôi đã giới thiệu các thông tin chi tiết của các chính

sách Health, Network và Connection Request được tạo bởi NAP wizard. Bên

cạnh đó còn giới thiệu cả Windows Security Health Validator. Trong phần

tiếp theo chúng tôi sẽ kiểm tra cài đặt DHCP server, sau đó test các chính

sách NAP.