Triển khai IPsec Server, Domain Isolation bằng Windows Server 2008 Group Policy

Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group PolicyTrong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máy khách và cách các chứng chỉ bảo mật được gán, được gỡ bỏ tự động cũng như cách các máy khách được kết nối hoặc hủy kết nối với mạng như thế nào.Trong phần 3 của loạt bài gồm 4 phần về cấu hình NAP bằng thực thi chính sách Ipsec, chúng ta đã cấu hình chính sách NAP Ipsec và sau đó đã cấu hình các máy khách cho việc test thử....
Nội dung trích xuất từ tài liệu:
Triển khai IPsec Server, Domain Isolation bằng Windows Server 2008 Group Policy Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group PolicyTrong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máykhách và cách các chứng chỉ bảo mật được gán, được gỡ bỏ tự động cũngnhư cách các máy khách được kết nối hoặc hủy kết nối với mạng như thếnào.Trong phần 3 của loạt bài gồm 4 phần về cấu hình NAP bằng thực thichính sách Ipsec, chúng ta đã cấu hình chính sách NAP Ipsec và sau đó đãcấu hình các máy khách cho việc test thử. Trong phần cuối cùng này, chúngta sẽ tiến hành test các máy khách và nghiên cứu cách các chứng chỉ bảo mậtđược gán hay được gỡ bỏ một cách tự động cũng như nghiên cứu cách máykhách được kết nối và hủy kết nối với mạng như thế nào.Chúng ta sẽ tập trung vào 2 nhiệm vụ chính sau: Test Health Certificate và Auto-remediation configuration  Thẩm định sự thực thi chính sách NAP trên VISTASP1 Test Health Certificate và Auto-remediation ConfigurationTrong phần này chúng ta sẽ thực hiện các nhiệm vụ dưới đây: Xác nhận rằng cả hai VISTASP1 và VISTASP1-2 đều có các chứng chỉ  sức khỏe (Health Certificate) Nhập VISTASP1-2 vào Domain  Thẩm định Auto-remediation trên VISTASP1 Xác nhận cả VISTASP1 và VISTASP1-2 đều có Health CertificateSử dụng thủ tục dưới đây để thẩm định sự kết nạp chứng chỉ sức khỏe củaVISTASP1 trong môi trường miền đã được thẩm định và VISTASP1-2 trongmôi trường nhóm làm việc (workgroup).Thực hiện các bước dưới đây trên cả VISTASP1 và VISTASP1-2: 1. Mở hộp thoại Run và nhập mmc, sau đó nhấn ENTER. 2. Trên menu File, kích Add/Remove Snap-in. 3. Kích Certificates, kích Add và chọn Computer account, sau đó kích Next. 4. Thẩm định rằng Local computer: (the computer this console is running on) được chọn, kích Finish, và sau đó kích OK.5. Trong panel bên trái của giao diện điều khiển, kích đúp vào Certificates (Local Computer), kích đúp Personal, sau đó kích Certificates.6. Trong panel chi tiết, bên dưới Issued By, thẩm định CA cấp dưới, msfirewall-WIN2008SRV1-CA, được hiển thị. Thẩm định rằng Intended Purposes hiển thị System Health Authentication. Vì VISTASP1-2 chưa được thẩm định đối với miền msfirewall.org, nên tên máy khách sẽ không được hiển thị bên dưới Issued To, và ý nghĩa chứng chỉ của Client Authentication không xuất hiện. Thẩm định rằng chứng chỉ trên VISTASP1-2 có Intended Purposes của System Health Authentication. Đây là một chứng chỉ sức khỏe NAP hợp lệ cho các máy khách trong môi trường nhóm làm việc. Một chứng chỉ sức khỏe miền đã được thẩm định tương tự như chứng chỉ đạt được tên VISTASP1.Hình 1 Hình 2 7. Đóng giao diện CertificatesNhập VISTASP1-2 vào miềnSử dụng thủ tục tương tự như bạn đã sử dụng ở trên để nhập VISTASP1 vàmiền msfirewall.org, nhập VISTASP1-2 vào miền msfirewall.org. Đăngnhập với đặc quyền quản trị viên miền sau khi máy tính khởi động lại.Thẩm định Auto-remediation trên VISTASP1NAP Ipsec với chính sách mạng HRA Noncompliant chỉ rõ rằng các máy tínhkhông đồng thuận (Noncompliant) sẽ tự động được điều đình lại. Thủ tụcdưới đây sẽ thẩm định rằng VISTASP1 được điều đình lại tự động khiWindows Firewall bị tắt. 1. Trên VISTASP1, mở hộp thoại Run và nhập vào firewall.cpl, sau đó nhấn ENTER. 2. Trong panel điều khiển của Windows Firewall, kích hange settings, kích Off (not recommended), sau đó kích OK. 3. Bạn có thể thấy một tin trong vùng thông báo chỉ thị rằng máy tính không có đủ các yêu cầu sức khỏe. Tin này được hiển thị vì Windows Firewall đã bị tắt. Kích vào tin này để xem thêm các thông tin chi tiết về trạng thái sức khỏe của of VISTASP1. Xem ví dụ bên dưới. Hình 34. Máy khách NAP sẽ tự động bật Windows Firewall để trở thành đồng thuận với các yêu cầu về sức khỏe của mạng. Tin dưới đây sẽ xuất hiện trong vùng thông báo: This computer meets the requirements of this network. Hình 4 5. Do Suto-remediation xuất hiện khá nhanh nên bạn có thể không thấy các tin này. Để xem lại biểu tượng thông báo NAP, bạn hãy đánh napstat tại nhắc lệnh, sau đó nhấn ENTER.Thẩm định sự thực thi chính sách NAP trên VISTASP1Chúng ta hãy xem cách thẩm định sự thực thi chính sách NAP đang được sửdụng trên hệ thống khách như thế nào. Bắt đầu bằng cách test vớiVISTASP1. Để thực hiện bài test, chúng ta thực hiện các thủ tục dưới dây: Cấu hình Windows SHV ở mức hạn chế hơn bằng cách yêu cầu các  máy tính phải cài đặt các phần mềm chống virus. Khi chúng ta chưa cài đặt bất kỳ phần mềm chống virus nào trên các máy khách nên các máy khách sẽ không có đủ yêu cầu này. Refresh SoH (tuyên bố sức khỏe) trên VISTAP1. Thao ...