Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 1

Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008. NAP cho phép bạn điều khiển được máy tính nào có thể tham gia vào mạng.
Nội dung trích xuất từ tài liệu:
Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 1Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP -Phần 1Nguồn:quantrimang.com Thomas ShinderQuản trị mạng - Network Access Protection (NAP) là một tính năng truy cậpmạng mới trong Windows Server 2008. NAP cho phép bạn điều khiển được máytính nào có thể tham gia vào mạng. Khả năng tham gia vào mạng được xác địnhbởi máy khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sáchcủa NAP của bạn hay không.NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp trongviệc cấu hình. Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn muốnkích hoạt. Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cậpvào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉtrạng thái tốt để cho phép nó có thể kết nối với mạng hay không.Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành DHCPNAP đơn giản. Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ DHCP sẽ trởthành máy chủ truy cập mạng. Điều này có nghĩa rằng nó sẽ chịu trách nhiệm làmáy chủ DHCP để cung cấp cho các máy khách NAP các thông tin tương xứngvới mức thi hành của chúng. Nếu máy khách NAP có đầy đủ tiêu chuẩn, nó sẽnhận các thông tin định địa chỉ IP để cho phép kết nối với máy tính khác trongmạng. Trong trường hợp nếu máy khách NAP không có đủ tiêu chuẩn với chínhsách sức khỏe mạng của bạn thì máy khách NAP sẽ được gán các thông tinđịnh địa chỉ IP để hạn khả năng kết nối của máy tính này. Điển hình, chính sáchNAP của bạn cho phép các máy tính không có đủ tiêu chuẩn sẽ kết nối với cácdomain controller và máy chủ cơ sở hạ tầng mạng, cũng như các máy sẽ chophép các máy tính không đủ tiêu chuẩn điều đình lại và như vậy sẽ trở thành đủtiêu chuẩn.Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu. Nếumáy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần đến mộtmáy chủ RADIUS để chứa các chính sách NAP. Có một số chính sách được lưutrong máy chủ RADIUS tương thích NAP, chẳng hạn như chính sách sức khỏe,chính sách mạng, chính sách yêu cầu kết nối. Trong Windows Server 2008,Network Policy Server (NPS) được sử dụng như một máy chủ RADIUS để chứacác chính sách NAP. Máy chủ NPS sẽ làm việc với máy chủ DHCP và khai báomáy chủ DHCP của bạn xem máy khách có đủ tiêu chuẩn NAP với các chínhsách của bạn hay không.Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security HealthValidator (SHV) trên máy chủ NPS. Mặc định, Windows Server 2008 sẽ cung cấpcho bạn bộ Security Health Validator của Windows để bạn có thể sử dụng nhằmthiết lập chính sách sức khỏe cho mạng của mình.Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAPAgent và máy khách thi hành NAP. NAP Agent sẽ thu thập các thông tin về trạngthái bảo mật của máy khách NAP, còn NAP Enforcement Agent được sử dụngđể thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành NAP mà bạnchọn. Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ kích hoạt NAPEnforcement Agent.Mạng ví dụ là một mạng rất đơn giản. Nó gồm có ba máy: Windows Server 2008 Domain Controller. Không có dịch vụ nào khác • được cài đặt trên máy chủ này. Địa chỉ IP được gán cho máy tính tính là 10.0.0.2, máy tính này là một domain controller trong miền msfirewall.org. Thành viên Windows Server 2008 trong miền msfirewall.org. Địa chỉ IP • của máy tính này là 10.0.0.3. Máy tính này sẽ được cài đặt các dịch vụ DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt loạt bài này. Máy khách Windows Vista là một thành viên của msfirewall.org. • Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây: • Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách. • Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên • Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP • Xem lại chính sách yêu cầu kết nối • Xem lại các chính sách mạng • Xem lại các chính sách sức khỏe • Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực thi • NAP Cấu hình các thiết lập NAP trong Group Policy • Nhập máy tính Vista vào nhóm các máy tính thực thi NAP • Kiểm tra giải pháp •Tạo nhóm bảo mật cho các máy khách NAPThứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máytính có sử dụng chính sách NAP. Mở giao diện điều khiển Active DirectoryUsers and Computers, sau đó kích chuột phải vào nút Users. Trỏ tới New vàkích Group. Hình 1Trong hộp thoại New Object – Group, bạn hãy nhập NAP EnforcedComputers trong hộp nhập liệu Group Name. Chọn tùy chọn Global từ danhsách Group scope và chọn tùy chọn Security từ dan ...