Network Access Protection (NAP) là một tính năng
truy cập mạng mới trong Windows Server 2008
Network Access Protection (NAP) là một tính năng truy cập mạng mới trong
Windows Server 2008. NAP cho phép bạn điều khiển được máy tính nào có
thể tham gia vào mạng. Khả năng tham gia vào mạng được xác định bởi máy
khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách của
NAP của bạn hay không.
NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp
trong việc cấu hình. Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn
muốn kích hoạt. Cho ví dụ, có một số NAP Enforcement Client điều khiển sự
truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có
chứng chỉ trạng thái tốt để cho phép nó có thể kết nối với mạng hay không.
Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành
DHCP NAP đơn giản. Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ
DHCP sẽ trở thành máy chủ truy cập mạng. Điều này có nghĩa rằng nó sẽ
chịu trách nhiệm là máy chủ DHCP để cung cấp cho các máy khách NAP các
thông tin tương xứng với mức thi hành của chúng. Nếu máy khách NAP có
đầy đủ tiêu chuẩn, nó sẽ nhận các thông tin định địa chỉ IP để cho phép kết
nối với máy tính khác trong mạng. Trong trường hợp nếu máy khách NAP
không có đủ tiêu chuẩn với chính sách sức khỏe mạng của bạn thì máy khách
NAP sẽ được gán các thông tin định địa chỉ IP để hạn khả năng kết nối của
máy tính này. Điển hình, chính sách NAP của bạn cho phép các máy tính
không có đủ tiêu chuẩn sẽ kết nối với các domain controller và máy chủ cơ sở
hạ tầng mạng, cũng như các máy sẽ cho phép các máy tính không đủ tiêu
chuẩn điều đình lại và như vậy sẽ trở thành đủ tiêu chuẩn.
Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu.
Nếu máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần
đến một máy chủ RADIUS để chứa các chính sách NAP. Có một số chính
sách được lưu trong máy chủ RADIUS tương thích NAP, chẳng hạn như
chính sách sức khỏe, chính sách mạng, chính sách yêu cầu kết nối. Trong
Windows Server 2008, Network Policy Server (NPS) được sử dụng như một
máy chủ RADIUS để chứa các chính sách NAP. Máy chủ NPS sẽ làm việc
với máy chủ DHCP và khai báo máy chủ DHCP của bạn xem máy khách có
đủ tiêu chuẩn NAP với các chính sách của bạn hay không.
Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security Health
Validator (SHV) trên máy chủ NPS. Mặc định, Windows Server 2008 sẽ
cung cấp cho bạn bộ Security Health Validator của Windows để bạn có thể sử
dụng nhằm thiết lập chính sách sức khỏe cho mạng của mình.
Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAP
Agent và máy khách thi hành NAP. NAP Agent sẽ thu thập các thông tin về
trạng thái bảo mật của máy khách NAP, còn NAP Enforcement Agent được
sử dụng để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành
NAP mà bạn chọn. Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ
kích hoạt NAP Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản. Nó
gồm có ba máy:
Windows Server 2008 Domain Controller. Không có dịch vụ nào khác
được cài đặt trên máy chủ này. Địa chỉ IP được gán cho máy tính tính
là 10.0.0.2, máy tính này là một domain controller trong miền
msfirewall.org.
Thành viên Windows Server 2008 trong miền msfirewall.org. Địa chỉ
IP của máy tính này là 10.0.0.3. Máy tính này sẽ được cài đặt các dịch
vụ DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt
loạt bài này.
Máy khách Windows Vista là một thành viên của msfirewall.org.
Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:
Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách.
Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên
Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP
Xem lại chính sách yêu cầu kết nối
Xem lại các chính sách mạng
Xem lại các chính sách sức khỏe
Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực
thi NAP
Cấu hình các thiết lập NAP trong Group Policy
Nhập máy tính Vista vào nhóm các máy tính thực thi NAP
Kiểm tra giải pháp
Tạo nhóm bảo mật cho các máy khách NAP
Thứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máy
tính có sử dụng chính sách NAP. Mở giao diện điều khiển Active Directory
Users and Computers, sau đó kích chuột phải vào nút Users. Trỏ tới New
và kích Group.
![Đề cương bài giảng Mã hóa [chuẩn SEO]](https://cdn.tailieu.vn/images/document/thumbnail/2020/20201202/kethamoi9/135x160/4791606897384.jpg)
![Trojan và Backdoor: Module 06 [Hướng Dẫn Chi Tiết]](https://cdn.tailieu.vn/images/document/thumbnail/2018/20181012/tranhanh9196/135x160/1571539335347.jpg)
![Sổ tay Kỹ năng nhận diện & phòng chống lừa đảo trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8271760665726.jpg)
