Network Access Protection - Phần 3

Brien M. Pose
y
Trong phần này chúng tôi sẽ tiếp tục giới thiệu về Network Access Protection bằng cách giới thiệu cho bạn
cách cấu hình Network Policy Server.

Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu hình thành phần VPN, đây là thành
phần sẽ được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận
bằng cách giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server.

Như đã gi
ới thiệu ở các phần trước trong loạt bài này, công việc của Network Policy Server là so sánh các báo cáo
về tình trạng sức khỏe mà nó nhận được từ các máy tính đang yêu cầu truy cập vào mạng đối với chính sách sức
khỏe của hệ thống. Chính sách sức khỏe của hệ thống sẽ chỉ thị những gì được yêu cầu đối với các máy tính để
chúng được coi là các máy tính khỏe mạnh (hay đủ tiêu chuẩn truy cập).

Trong triển khai thực, m
ột chính sách sức khỏe của hệ thống yêu cầu các máy trạm phải chạy một hệ điều hành
Windows hiện hành và có tất cả các bản vá bảo mật mới nhất. Không quan tâm đến những tiêu chuẩn gì bạn sử
dụng để quyết định xem máy trạm đó có đủ sức khỏe hay không, bạn sẽ phải thực hiện một số công việc.

Với mục đích minh chứng, chúng tôi sẽ tạo một chỉ thị sức khỏe hệ thống rất đơn giản để kiểm tra xem tường lửa
Windows có được kích hoạt hay không. Nếu tường lửa được kích hoạt thì chúng ta sẽ công nhận máy trạm đó đủ
tiêu chuẩn về sức khỏe.

Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực, bạn sẽ không cấu hình Network
Policy Server trên cùng một máy chủ vớ
i máy chủ VPN. Máy chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn
nếu cấu hình Network Policy Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp những rủi ro vì Network Policy
Server sẽ bị thỏa hiệp. Không có thành phần nào trong Windows ngăn chặn bạn sử dụng cùng một máy chủ cho cả

Hình C: Chọn hộp chọn 'A Firewall is Enabled for all Network Connections' và hủy chọn tất cả các hộp
chọn còn lại.
Tạo một chính sách sức khỏe cho hệ thống

Chúng ta đã cấu hình bộ chỉ thị sức khỏe hệ thống (System Health Validators), lúc này bạn phải cấu hình chính sách
sức khỏe cho hệ thống (System Health Policy). Chính sách sức khỏe cho hệ thống sẽ định nghĩa các kết quả của
việc hợp lệ hóa trạ
ng thái sức khỏe hệ thống. Về cơ bản, điều đó có nghĩa là định nghĩa việc cho qua (pass) hay thất
bại (fail) khi quá trình hợp lệ hóa trạng thái sức khỏe được thực hiện trên máy khách.

Để cấu hình chính sách sức khỏe của Network Policy Server, bạn hãy điều hướng thông qua cây giao diện đến NPS
(Local) | Policies | Health Policies. Lúc này, kích chuột phải vào mục Health Policies, chọn lệnh New. Khi đó Windows
sẽ hiển thị hộp thoại Create New Health Policy, xem thể hiện trong hình D.

Hình D: Bạn phải tạo một chính sách sức khỏe mới cho hệ thống.
Như những gì bạn thấy trong hình, hộp thoại sẽ nhắc nhở bạn cần phải nhập vào tên của chính sách mới. Nhập từ
Compliant vào trường Name. Lúc này, hãy bảo đảm rằng danh sách Client SHV Checks được thiết lập ở Client
Passes all SHV Checks. Chọn hộp kiểm Windows System Health Validator và kích OK.

Đến đây chúng ta đã tạo được chính sách để định nghĩa. Tiếp đến chúng ta ph
ải tạo một chính sách thứ hai để định
nghĩa ý nghĩa của nó cho hệ thống. Để thực hiện điều đó, hãy kích chuột phải vào mục Health Policies và chọn lệnh
New. Bạn sẽ thấy một cửa sổ tương tự như bạn đã làm việc lúc trước đấy không lâu.

Lúc này, hãy đặt tên cho chính sách mới là NonCompliant. Thiết lập danh sách trong hộp chọn Client SHV Checks là
Client Fails one hoặc More SHV Checks. Chọn hộp kiểm Windows Security Health Validator và kích OK. Nếu bạn tr
ở
về màn hình chính của giao diện điều khiển Network Policy Server, hãy chọn mục Health Policies, khi đó bạn sẽ thấy
cả hai chính sách Compliant và NonCompliant được hiển thị trong panel trung tâm của giao diện điều khiển, xem thể
hiện trong hình E.

hiện trong hình A và kích Next.

Hình A: Gán tên cho chính sách mới và kích Next
Cửa sổ kế tiếp mà bạn sẽ bắt gặp sẽ yêu cầu bạn chỉ định các điều kiệ
n được sử dụng bởi chính sách
mạng mới. Bạn có thể kích nút Add để mở hộp thoại Specify Conditions. Tìm đến tùy chọn Health
Policies trong hộp thoại và chọn tùy chọn này, sau đó kích nút Add. Khi đó bạn sẽ được nhắc nhở chọn
chính sách sức khỏe để thi hành. Chọn tùy chọn Compliant từ danh sách như thể hiện trong hình B.

Hình B: Chọn tùy chọn Compliant từ danh sách các chính sách sức khỏe
Kích OK để đóng hộp thoại Select Conditions sau đó kích Next. Khi đó Windows sẽ hiển thị một cửa sổ
Specify Access Permission. Chọn tùy chọn Grant Access và kích Next. Việc thiết lập điều khoản truy
cập cho Grant Access không ban cho người dùng mức truy cập toàn bộ vào mạng. Tất cả điều đó có
nghĩa rằng các yêu cầu với chính sách này cần xử lý thêm n
ữa.
Đến đây, bạn sẽ thấy cửa sổ Configure Authentication Methods. Cửa sổ này hiển thị một loạt các hộp
kiểm, mỗi một trong các hộp kiểm đó lại tương ứng với một phương pháp thẩm định khác nhau. Hãy sử
dụng các tùy chọn mặc định như thể hiện trong hình C và kích Next.

Hình C: Sử dụng các phương pháp thẩm định mặc định và kích Next.
Kích Next, bạn sẽ thấy cửa sổ Configure Constraints. Chúng ta không muốn add bất cứ một hạn chế nào
vào chính sách này, chính vì vậy bạn chỉ cần kích Next.
Khi đó bạn sẽ bắt gặp cửa sổ Configure Settings. Cửa sổ này cho phép bạn chỉ định các thiết lập cần
phải sử dụng nếu máy tính được cho phép truy cập. Trong m
ột số trường hợp trước đây của Windows
Server 2008, bạn cần phải vô hiệu hóa thực thi NAP để các máy khách có thể tăng quyền truy cập vào
mạng. Trong phát hành RTM, thiết lập NAP Enforcement được cấu hình mặc định để cho phép mức truy
cập toàn bộ vào mạng. Nếu bạn cũng muốn thực hiện như vậy, khi đó chỉ cần kích Next.
Lúc này bạn sẽ thấy một cửa sổ hiển thị
toàn bộ các tùy chọn cấu hình đã chọn cho chính sách. Thừa

Bạn sẽ gặp cửa sổ Configure Settings. Cho đến đây, mọi thứ mà bạn đã thực hiện cho các máy tính
không đồng thuận hoàn toàn giống hệt với những gì chúng ta đã làm với chính sách cho các máy tính
đồng thuận. Nếu chúng ta để chính sách này theo cách mặc định thì các máy tính không đồng thuận sẽ
không thể tăng quyền truy cập vào mạng. Nếu không muốn điều đó xảy ra chúng ta cần phải s
ử dụng
NAP enforcement để ngăn chặn việc truy cập mạng.
Để thực hiện điều đó, bạn hãy chọn mục NAP Enforcement trong danh sách các thiết lập. Khi đó panel
Details sẽ hiển thị các tùy chọn thực thi khác nhau. Chọn tùy chọn Allow Limited Access, tích vào hộp
kiểm Enable Auto Remediation of Client Computers. Tùy chọn Enforce và sau đó chọn hộp kiểm
Update Non Compliant Computers Automatically. Kích Next, sau đó kích Finish để tạo chính sách
mới.
Kết luận

Trong phần này chúng tôi đã giới thiệu cho các bạn cách tạo các chính sách mạng cho cả hai kiểu máy
đồng thuận và không đồng thuận. Trong phần tiếp theo của loạt bài này chúng ta sẽ kết luận về cấu hình
máy chủ.
