Network Access Protection - Phần 4
Trong phần này chúng tôi sẽ tiếp tục giới thiệu về Network Access Protection bằng
cách giới thiệu cho bạn cách cấu hình Network Policy Server.

Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu hình
thành phần VPN, đây là thành phần sẽ được sử dụng để cho phép người dùng bên ngoài
có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn
cách cấu hình thành phần Network Policy Server.

Như đã giới thiệu ở các phần trước trong loạt bài này, công việc của Network Policy
Server là so sánh các báo cáo về tình trạng sức khỏe mà nó nhận được từ các máy tính
đang yêu cầu truy cập vào mạng đối với chính sách sức khỏe của hệ thống. Chính sách
sức khỏe của hệ thống sẽ chỉ thị những gì được yêu cầu đối với các máy tính để chúng
được coi là các máy tính khỏe mạnh (hay đủ tiêu chuẩn truy cập).

Trong triển khai thực, một chính sách sức khỏe của hệ thống yêu cầu các máy trạm phải
chạy một hệ điều hành Windows hiện hành và có tất cả các bản vá bảo mật mới nhất.
Không quan tâm đến những tiêu chuẩn gì bạn sử dụng để quyết định xem máy trạm đó có
đủ sức khỏe hay không, bạn sẽ phải thực hiện một số công việc.

Với mục đích minh chứng, chúng tôi sẽ tạo một chỉ thị sức khỏe hệ thống rất đơn giản để
kiểm tra xem tường lửa Windows có được kích hoạt hay không. Nếu tường lửa được kích
hoạt thì chúng ta sẽ công nhận máy trạm đó đủ tiêu chuẩn về sức khỏe.

Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực, bạn sẽ
không cấu hình Network Policy Server trên cùng một máy chủ với máy chủ VPN. Máy
chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn nếu cấu hình Network Policy
Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp những rủi ro vì Network Policy
Server sẽ bị thỏa hiệp. Không có thành phần nào trong Windows ngăn chặn bạn sử dụng
cùng một máy chủ cho cả hai thành phần VPN và Network Policy Server, vì vậy cho mục
đích minh chứng chúng tôi sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai

sao cho tường lửa Windows được kích hoạt, hãy để tùy chọn “A Firewall is Enabled for
all Network Connections” được chọn và hủy chọn tất cả các tùy chọn khác. Kích OK hai
lần để tiếp tục.
Hình C: Chọn hộp chọn 'A Firewall is Enabled for all Network Connections' và hủy
chọn tất cả các hộp chọn còn lại.
Tạo một chính sách sức khỏe cho hệ thống

Chúng ta đã cấu hình bộ chỉ thị sức khỏe hệ thống (System Health Validators), lúc này
bạn phải cấu hình chính sách sức khỏe cho hệ thống (System Health Policy). Chính sách
sức khỏe cho hệ thống sẽ định nghĩa các kết quả của việc hợp lệ hóa trạng thái sức khỏe
hệ thống. Về cơ bản, điều đó có nghĩa là định nghĩa việc cho qua (pass) hay thất bại (fail)
khi quá trình hợp lệ hóa trạng thái sức khỏe được thực hiện trên máy khách.

Để cấu hình chính sách sức khỏe của Network Policy Server, bạn hãy điều hướng thông
qua cây giao diện đến NPS (Local) | Policies | Health Policies. Lúc này, kích chuột phải
vào mục Health Policies, chọn lệnh New. Khi đó Windows sẽ hiển thị hộp thoại Create
New Health Policy, xem thể hiện trong hình D.

Hình D: Bạn phải tạo một chính sách sức khỏe mới cho hệ
thống.
Như những gì bạn thấy trong hình, hộp thoại sẽ nhắc nhở bạn cần phải nhập vào tên của
chính sách mới. Nhập từ Compliant vào trường Name. Lúc này, hãy bảo đảm rằng danh
sách Client SHV Checks được thiết lập ở Client Passes all SHV Checks. Chọn hộp kiểm
Windows System Health Validator và kích OK.

Đến đây chúng ta đã tạo được chính sách để định nghĩa. Tiếp đến chúng ta phải tạo một
chính sách thứ hai để định nghĩa ý nghĩa của nó cho hệ thống. Để thực hiện điều đó, hãy
kích chuột phải vào mục Health Policies và chọn lệnh New. Bạn sẽ thấy một cửa sổ
tương tự như bạn đã làm việc lúc trước đấy không lâu.