Network Access Protection (NAP) DHCP (P1)

Như các bạn đã biết DHCP Server là một dịch vụ cấp phát IP tự động cho các máy tham gia vào hệ thống mạng. Như vậy với bất kỳ yêu cầu cấp phát IP nào từ Client, DHCP Server đều đáp ứng đầy đủ các yêu cầu này. Vấn đề phát sinh là nếu một máy Client nào đó trong hệ thống mạng được cấp IP hoàn chỉnh và có thể truy cập Internet rất tốt và giả sử khi đó máy Client này không được cài đặt các chương trình Anti Virus hoặc người dùng không có ý...
Nội dung trích xuất từ tài liệu:
Network Access Protection (NAP) DHCP (P1) “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬTPart 44 - Upgrade Server 2008 - Network Access Protection (NAP) DHCPNhư các bạn đã biết DHCP Server là một dịch vụ cấp phát IP tự động cho các máy tham gia vào hệ thống mạng.Như vậy với bất kỳ yêu cầu cấp phát IP nào từ Client, DHCP Server đều đáp ứng đầy đủ các yêu cầu này.Vấn đề phát sinh là nếu một máy Client nào đó trong hệ thống mạng được cấp IP hoàn chỉnh và có thể truy cậpInternet rất tốt và giả sử khi đó máy Client này không được cài đặt các chương trình Anti Virus hoặc người dùngkhông có ý thức về bảo mật làm cho máy này vô tình bị nhiễm Virus từ Internet...Như vậy vô tình cả hệ thống chúng ta bị lây nhiễm Virus do máy Client này phát tán một cách vô ý. Vì vậy donhu cầu thực tế hệ thống mạng đòi hỏi phải có một cơ chế chặt chẽ hơn đó chính là dịch vụ Network AccessProtection (NAP).Thực tế NAP ứng dụng rất nhiều lĩnh vực tuy nhiên trong bài chúng ta sẽ khảo sát NAP cho DHCP để DHCPServer cấp phát IP cho các Client một cách tự động nhưng với một tiêu chuẩn nào đó, nghĩa là các máy Clientnếu thỏa đầy đủ các tiêu chuẩn mà DHCP Server đặt ra thì mới được cấp IP ngược lại sẽ được cấp IP nhưng khôngđược cấp Default GatewayNhư vậy với các máy Client không thỏa các tiêu chuẩn mà DHCP Server đặt ra sẽ được phép truy cập trong mạngnội bộ mà thôi và không thể ra Internet được nhằm giảm đến mức tối đa khả năng lây nhiễm Virus từ Internet.Như vậy trong mô hình này tôi sử dụng 2 máy trong đó- Máy PC01 là máy đã lên DC có domain là gccom.net và sẽ cài đặt thêm dịch vụ NAP- Máy PC02 máy ClientCấu hình IP các máy như sau:Máy Đặc tính PC01 PC02 IP Address Subnet Mask Card Lan Default gateway Preferred DNS IP Address 172.16.1.1 Subnet Mask 255.255.255.0Card Cross Default Obtain gateway Preferred DNSCard Cross: nối trực tiếp các cặp máy PC01 với PC02Giả sử tôi đã có một DHCP Server rồi và DHCP Server này sẽ cấp phát IP tự động cho các máy trong mạng172.16.1.0/24. Bây giờ tôi sẽ tiến hành cài NAP lên DHCP ServerTại Server Manager bạn chọn Roles -> Add RolesTrong màn hình Select Server Roles bạn chọn Network Policy and Access Services để cài đặt dịch vụ NAP 1 of 20Trong cửa sổ Select Role Services bạn click chọn Network Policy ServerMàn hình sau khi cài đặt hoàn tất 2 of 20Tiếp tục bạn vào Start -> Programs -> Administrative Tools -> Network Policy Server (NPS)Trước tiên ta phải định nghĩa cho NPS một tiêu chuẩn về sức khỏe của hệ thống. Với định nghĩa này nếu cácClient thỏa mọi điều kiện thì được xem là đạt chuẩn ngược lại được xem là không đạtTại Network Access Protection chọn System Health Validators, nhấp phải vào Windows Sercurity HealthValidators chọn Properties 3 of 20Tiếp tục nhấp chọn ConfigureTrong bài giả sử tôi định nghĩa các máy Client nào có Firewall đã được bật thì xem như đạt chuẩn nên trong cửasổ Windows Sercurity Health Validator tôi chọn A firewall is enable for all network connections 4 of 20Sau khi tạo một định nghĩa về chuẩn mực ta tiếp tục tạo các Policy để kiểm tra tình trạng sức khỏe cho cácClient. Tại Policies chọn Health Policies nhấp phải vào Health Policies chọn NewTrước tiên tôi tạo một Policy đặt tên là Full Access với qui định là bất cứ máy Client nào đạt đủ chuẩn về sứckhỏe do Windows Sercirity Health Validator đặt ra sẽ được DHCP Server cấp phát IP hoàn chỉnh nên tại mụcClient SHV checks tôi chọn là Clients passes all SHV checks 5 of 20Tiếp theo tôi tạo một Policy đặt tên là Limit Access với qui định là bất cứ máy Client nào không đạt chuẩn vềsức khỏe do Windows Sercurity Health Validator đặt ra sẽ được DHCP Server cấp phát IP nhưng không cóDefault Gateway nên tại mục Client SHV checks tôi chọn là Clients fails one or more SHV checksMàn hình sau khi hoàn tất 6 of 20Bây giờ ta tạo tiếp các Network Policies để làm đường dẫn cho các Health Policies thực thi khi thỏa hoặc khôngthỏa các tiêu chuẩn mà Windows Sercurity Health Validator đã đặt raTại Policies chọn Network Policies, mặc định trong này Windows đã tạo 2 Policy tuy nhiên tôi sẽ không sửdụng chúng vì vậy tôi phải tiến hành Disable chúng điTiếp tục nhấp phải vào Network Po ...