Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008

Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008.Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008. NAP cho phép bạn điều khiển được máy tính nào có thể tham gia vào mạng. Khả năng tham gia vào mạng được xác định bởi máy khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách của NAP của bạn hay không. NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp trong việc cấu...
Nội dung trích xuất từ tài liệu:
Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008Network Access Protection (NAP) là một tính năng truy cập mạng mới trongWindows Server 2008. NAP cho phép bạn điều khiển được máy tính nào cóthể tham gia vào mạng. Khả năng tham gia vào mạng được xác định bởi máykhách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách củaNAP của bạn hay không.NAP có một số các “phần động”, các thành phần này làm cho nó phức tạptrong việc cấu hình. Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạnmuốn kích hoạt. Cho ví dụ, có một số NAP Enforcement Client điều khiển sựtruy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách cóchứng chỉ trạng thái tốt để cho phép nó có thể kết nối với mạng hay không.Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hànhDHCP NAP đơn giản. Khi bạn sử dụng sự thi hành DHCP NAP, máy chủDHCP sẽ trở thành máy chủ truy cập mạng. Điều này có nghĩa rằng nó sẽchịu trách nhiệm là máy chủ DHCP để cung cấp cho các máy khách NAP cácthông tin tương xứng với mức thi hành của chúng. Nếu máy khách NAP cóđầy đủ tiêu chuẩn, nó sẽ nhận các thông tin định địa chỉ IP để cho phép kếtnối với máy tính khác trong mạng. Trong trường hợp nếu máy khách NAPkhông có đủ tiêu chuẩn với chính sách sức khỏe mạng của bạn thì máy kháchNAP sẽ được gán các thông tin định địa chỉ IP để hạn khả năng kết nối củamáy tính này. Điển hình, chính sách NAP của bạn cho phép các máy tínhkhông có đủ tiêu chuẩn sẽ kết nối với các domain controller và máy chủ cơ sởhạ tầng mạng, cũng như các máy sẽ cho phép các máy tính không đủ tiêuchuẩn điều đình lại và như vậy sẽ trở thành đủ tiêu chuẩn.Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu.Nếu máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cầnđến một máy chủ RADIUS để chứa các chính sách NAP. Có một số chínhsách được lưu trong máy chủ RADIUS tương thích NAP, chẳng hạn nhưchính sách sức khỏe, chính sách mạng, chính sách yêu cầu kết nối. TrongWindows Server 2008, Network Policy Server (NPS) được sử dụng như mộtmáy chủ RADIUS để chứa các chính sách NAP. Máy chủ NPS sẽ làm việcvới máy chủ DHCP và khai báo máy chủ DHCP của bạn xem máy khách cóđủ tiêu chuẩn NAP với các chính sách của bạn hay không.Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security HealthValidator (SHV) trên máy chủ NPS. Mặc định, Windows Server 2008 sẽcung cấp cho bạn bộ Security Health Validator của Windows để bạn có thể sửdụng nhằm thiết lập chính sách sức khỏe cho mạng của mình.Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAPAgent và máy khách thi hành NAP. NAP Agent sẽ thu thập các thông tin vềtrạng thái bảo mật của máy khách NAP, còn NAP Enforcement Agent đượcsử dụng để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hànhNAP mà bạn chọn. Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽkích hoạt NAP Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản. Nógồm có ba máy: Windows Server 2008 Domain Controller. Không có dịch vụ nào khác  được cài đặt trên máy chủ này. Địa chỉ IP được gán cho máy tính tính là 10.0.0.2, máy tính này là một domain controller trong miền msfirewall.org. Thành viên Windows Server 2008 trong miền msfirewall.org. Địa chỉ  IP của máy tính này là 10.0.0.3. Máy tính này sẽ được cài đặt các dịch vụ DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt loạt bài này. Máy khách Windows Vista là một thành viên của msfirewall.org.  Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:  Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách.  Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên  Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP  Xem lại chính sách yêu cầu kết nối  Xem lại các chính sách mạng  Xem lại các chính sách sức khỏe  Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực  thi NAP Cấu hình các thiết lập NAP trong Group Policy  Nhập máy tính Vista vào nhóm các máy tính thực thi NAP  Kiểm tra giải pháp Tạo nhóm bảo mật cho các máy khách NAPThứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máytính có sử dụng chính sách NAP. Mở giao diện điều khiển Active DirectoryUsers and Computers, sau đó kích chuột phải vào nút Users. Trỏ tới Newvà kích Group. Hình 1Trong hộp thoại New Object – Group, bạn hãy nhập NAP EnforcedComputers trong hộp nhập liệu Group Name. Chọn tùy chọn Global từdanh sách Group scope và chọn tùy chọn Security từ danh sách Grouptype. Kích OK. ...