Giới thiệu về Network Access Protection (Phần 4)

Giới thiệu về Network Access Protection (Phần 1)
Giới thiệu về Network Access Protection (Phần 2)
Giới thiệu về Network Access Protection (Phần 3)

Trong phần trước của loạt bài này, chúng tôi đã trình bày cho các bạn làm thế nào để cấu hình thành phần VPN được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng của chúng ta. Trong phần 4 này, chúng tôi sẽ tiếp tục giới thiệu với các bạn về làm thế nào để cấu hình thành phần Network Policy Server.

Như tôi đã giải thích trong loạt bài này, công việc của Network Policy Server là so sánh về tình trạng an toàn của các máy tính đang cần truy cập vào mạng bằng chính sách đã được định trước của mạng. Chính sách này đưa ra những yêu cầu cần thiết của các máy truy cập để đảm bảo độ an toàn cho mạng.

Nói theo cách khác, chính sách bảo vệ của một hệ thống yêu cầu các trạm làm việc đang sử dụng hệ điều hành Windows hiện tại và có tất cả các bản vá mới nhất. Không quan tâm đến tiêu chuẩn gì sử dụng để quyết định trạm làm việc này có an toàn hay không, bạn sẽ phải thực hiện một số công việc. Tiêu chuẩn an toàn rất khác nhau đối với mỗi một công ty chính vì vậy mà Microsoft đã để chính sách này trống (ít nhất là cho đến phiên bản beta này). Như vậy, nó sẽ bắt buộc phải được cấu hình những chính sách an toàn của riêng bạn.

Để minh chứng, chúng tôi sẽ tạo một ví dụ đơn giản để xem xem tường lửa của Windows có được kích hoạt không. Nếu tường lửa được kích hoạt thì chúng ta sẽ xem xét đến độ an toàn của máy trạm làm việc.

Như những gì tôi đã đề cập đến trong các phần trước, trong thế giới thực, bạn không nên cấu hình Network Policy Server trên cùng một máy chủ VPN. Máy chủ VPN được lộ diện cho thế giới bên ngoài và việc cấu hình NPS trên cùng một máy là tự rước các vấn đề phức tạp về mình. Không có gì trong Windows có thể ngăn chặn bạn sử dụng cùng máy chủ cho cả hai thành phần VPN và Network Policy Server, do chỉ để minh chứng mà chúng tôi sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai thành phần này.

Bắt đầu quá trình cấu hình bằng việc nhập lệnh MMC tại cửa sổ lênh RUN để mở một MMC trống. Khi giao diện này được mở, bạn chọn Add / Remove Snap-in từ menu File của giao diện. Trong cửa sổ Add / Remove Snap-in bạn chọn tùy chọn Network Policy Server từ danh sách có sẵn và nhấn nút Add. Bạn nên quan sát cửa sổ đang hỏi xem có thích quản lý máy tính cục bộ hay máy tính khác hay không. Phải bảo đảm rằng tùy chọn Local Computer được chọn và sau đó nhấn OK. Nhấn OK thêm lần nữa và thành phần Network Policy Server sẽ được mở.

Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators, như trong hình A. Bây giờ bạn nhấn chuột phải vào đối tượng Windows System Health Validators được tìm thấy trong phần giữa của giao diện sử dụng, chọn Properties từ menu kết quả. Windows sẽ hiển thị hộp thoại Windows Security Health Validator Properties như trong hình B.


Hình A
: Điều hướng thông qua giao diện cây đến
NPS (Local) | Network Access Protection | System Health Validators


Hình B
: Hộp thoại Windows Security Health Validator Properties
được sử dụng để cấu hình tiêu chuẩn an toàn hợp lệ.

Nhấn nút Configure của hộp thoại, Windows sẽ hiển thị cho bạn hộp thoại Windows Security Health Validator như hình C. Như những gì có thể thấy được trong hình, hộp thoại này cho phép bạn định nghĩa chính sách sức khỏe hợp lệ của hệ thống. Mặc định hộp thoại này được cấu hình với tường lửa Windows, có thể nâng cấp Windowsvà bảo vệ chương trình diệtVirus-Spyware được cài đặt và nâng cấp. Nếu chỉ quan tâm đến việc bảo đảm tường lửa Windows được kích hoạt, hãy chọn checkbox A Firewall is Enabled for all Network Connections và hủy chọn tất cả các checkbox khác. Nhấn OK hay lần để tiếp tục.


Hình C
: Chọn phần A Firewall is Enabled for all Network Connections
và hủy chọn các thành phần khác.

Bây giờ bạn đã cấu hình System Health Validators, tiếp sau bạn phải cấu hình mẫu System Health Validator. Các mẫu System Health Validator định nghĩa các kết quả máy khách hợp lệ của hệ thống. Về bản chất, điều này nghĩa là định nghĩa những gì cấu thành một loại bỏ hay cho qua khi thực hiện trên một client.

Để cấu hình mẫu bảo vệ NPS, bạn kích chuột phải vào mẫu System Health Validator Template và chọn lệnh New từ menu. Sau đó Windows sẽ hiển thị một hộp thoại mẫu tạo mới Create New SHV Template được hiển thị như hình D.


Hình D
: Bạn phải tạo một mẫu mới

Như những gì thấy trong hình vẽ, hộp thoại nhắc nhở bạn nhập vào tên của một mẫu mới. Nhập Compliant vào trường Name. Phải bảo đảm rằng danh sách sổ xuống của Template Type được thiết lập là Client Passes all SHV Checks. Chọn checkbox Windows System Health Validator và nhấn OK.

Bây giờ chúng ta đã tạo một mẫu định nghĩa những gì cần phải tuân thủ. Chúng ta phải tạo mẫu thứ hai để định nghĩa ý nghĩa của chúng như thế nào cho một hệ thống với sự tuân thủ đó. Để thực hiện công việc này, bạn nhấn chuột phải vào System Health Validator Templates và chọn New. Bạn nên quan sát màn hình đã làm việc vừa mới đây.

Lúc này, đặt tên cho mẫu NonCompliant. Thiết lập Template Type cho Client Fails hoặc More SHV Checks. Chọn Windows Security Health Validator và nhấn OK. Nếu quay trở lại màn cửa sổ chính của giao diện Network Policy Server và chọn System health Validator Templates thì bạn sẽ quan sát thấy cả hai mẫu CompliantNonCompliant được hiển thị trong cửa sổ trung tâm của giao diện như hình E.


Hình E

Nếu quay trở lại màn cửa sổ chính của giao diện Network Policy Server và chọn System health Validator Templates thì bạn sẽ quan sát thấy cả hai mẫu CompliantNonCompliant được hiển thị trong cửa sổ trung tâm của giao diện.

Kết luận

Trong bài viết này, chúng tôi đã trình bày cho các bạn cách cấu hình để Windows có thể kiểm tra để xác định xem các client đang yêu cầu truy cập vào mạng có tường lửa được kích hoạt hay không. Mời các bạn tiếp tục đón xem phần sau.

Giới thiệu về Network Access Protection (Phần 5)
Giới thiệu về Network Access Protection (Phần 6)
Giới thiệu về Network Access Protection (Phần 7)

Thứ Hai, 02/04/2007 15:04
31 👨 791
0 Bình luận
Sắp xếp theo