Giới thiệu về Network Access Protection (Phần 1)
Giới thiệu về Network Access Protection (Phần 2)
Giới thiệu về Network Access Protection (Phần 3)
Giới thiệu về Network Access Protection (Phần 4)
Giới thiệu về Network Access Protection (Phần 5)
Giới thiệu về Network Access Protection (Phần 6)
Trong phần 6 chúng tôi đã giới thiệu cho các bạn cách thiết lập một kết nối VPN trên máy khách Windows Vista. Phần 7 này sẽ tiếp tục giới thiệu cách hoàn tất quá trình cấu hình máy khách.
Bắt đầu quá trình cấu hình bằng việc mở Control Panel, kích vào liên kết Network and Internet, sau đó là Network and Sharing Center. Khi cửa sổ Network and Sharing Center được mở, kích chuột vào liên kết Manage Network Connections. Khi đó một cửa sổ hiển thị tất cả các kết nối mạng sẽ được hiển thị và cả kết nối VPN mà bạn đã tạo ở phần trước.
Kích chuột phải vào kết nối VPN sau đó chọn Properties từ menu chuột phải. Windows sẽ hiển thị cửa sổ thuộc tính của kết nối, vào tab Security và chọn Advanced (Custom Settings) như hình A.
Hình A: Bạn phải cấu hình kết nối với tùy chọn bảo mật Advanced (Custom Settings)
Bây giờ bạn kích nút Settings để xuất hiện hộp thoại Advanced Security Settings. Khi đã thiết lập kết nối VPN có sử dụng Extensible Authentication Protocol (Giao thức thẩm định mở rộng) thì bạn phải chọn Use Extensible Authentication Protocol (EAP). Sau khi thực hiện việc chọn đó, một danh sách sẽ được kích hoạt dưới nút chọn này. Bạn chọn tùy chọn Protected EAP (PEAP) (Encryption Enabled) như hình B.
Hình B: Bạn phải chọn tùy chọn bảo mật Protection EAP (PEAP)
(Encryption Enabled) cho VPN.
Bây giờ, kích chuột vào nút Properties để xuất hiện hộp thoại Protected EAP Properties. Khi hộp thoại này xuất hiện, bạn đánh dấu vào hộp kiểm Validate Server Certificate và bỏ chọn trong hộp kiểm Connect to these Servers. Bạn phải chọn tùy chọn Secured Password (EAP-MSCHAP V2) trong danh sách Select Authentication Method. Cuối cùng là bỏ chọn trong hộp kiểm Enable Fast Reconnect và đánh dấu vào hộp kiểm Enable Quarantine Checks như trong hình C.
Hình C: Cửa sổ Protected EAP Properties cho phép thiết lập các tham số
thẩm định quyền dựa trên Extensible Authentication Protocol
Tới đây, bạn chỉ cần kích OK mỗi khi có một hộp thoại xuất hiện để đóng chúng lại. Bây giờ phải cấu hình kết nối VPN thỏa mãn các yêu cầu cần thiết. Để Network Access Protection làm việc, các yêu cầu cần thiết của dịch vụ Network Access Protection cần phải được thiết lập để bắt đầu một cách tự động. Mặc định, Windows Vista thiết lập dịch vụ này bắt đầu một cách thủ công, vì vậy bạn phải thay đổi chúng thành tự động.
Để thực hiện điều đó, bạn phải vào Control Panel, chọn vào System and Maintenance, sau đó là Administrative Tools. Khi đó Windows sẽ hiển thị một danh sách các công cụ quản trị khác nhau. Kích đúp vào biểu tượng Services để mở Service Control Manager.
Kéo thanh trược trong phần danh sách dịch vụ cho đến khi thấy phần Network Access Protection Agent. Kích đúp vào dịch vụ này sau đó thiết lập kiểu Automatic và OK. Hãy lưu ý rằng thiết lập kiểu khởi động của dịch vụ là tự động (Automatic) không khởi động dịch vụ ngay lập tức mà nó chỉ bảo đảm rằng dịch vụ sẽ tự động chạy khi chúng ta khởi động lại máy lần tiếp theo. Tuy vậy bạn có thể khởi động dịch vụ mà không cần khởi động lại máy bằng cách kích chuột phải vào dịch vụ và chọn Start. Nếu gặp phải vấn đề gì khi khởi động dịch vụ thì bạn hãy kiểm tra để bảo đảm rằng cả hai dịch vụ Remote Procedure Call (RPC) và DCOM Server Process Launcher đều đã hoạt động. Dịch vụ Network Access Protection Agent có thể không hoạt động khi có các dịch vụ đi kèm nằm dưới.
Kiểm tra Network Access Protection
Dù tin tưởng hay không thì cuối cùng chúng ta cũng đã kết thúc việc cấu hình Network Access Protection. Bây giờ hãy thực hiện các bài kiểm tra đơn giản để bảo đảm rằng mọi thứ đang hoạt động như đã định.
Chúng ta có thể cấu hình lại máy chủ chính sách mạng để các máy tính không hợp lệ tự động bị cách ly và cũng có thể cấu hình máy chủ chính sách mạng chỉ cho các tiêu chuẩn mà nó kiểm tra xem tường lửa của Windows có được kích hoạt hay không. Trong trường hợp đó, bạn nên vô hiệu hóa tường lửa trên máy khách, sau đó kết nối đến máy chủ chính sách mạng đang sử dụng kết nối VPN mà bạn đã tạo. Bằng cách làm như vậy, tường lửa của máy khách sẽ tự động được kích hoạt.
Chúng ta hãy bắt đầu việc vô hiệu hóa tường lửa trên máy khách. Để thực hiện điều đó, bạn cần phải mở Control Panel và kích vào Security > Windows Firewall để mở hộp thoại Windows Firewall. Giả sử rằng tường lửa Windows đang chạy, kích vào liên kết Turn Windows Firewall On or Off. Khi đó bạn sẽ thấy một hộp thoại xuất hiện cho phép bật hoặc tắt tường lửa như trong hình D. Tường lửa lúc này đã bị vô hiệu hóa.
Hình D: Chọn Off (Not Recommended) để vô hiệu hóa tường lửa
Giờ thì đã tắt tường lửa Windows, và đây cũng là thời điểm thiết lập một kết nối VPN cho máy chủ RRAS / NAP. Để thực hiện điều đó, bạn mở Control Panel và kích Network and Internet, sau đó là Network and Sharing Center. Khi cửa sổ Network and Sharing Center được mở, kích vào Manage Network Connections. Khi đó bạn sẽ thấy một danh sách các kết nối LAN của máy trạm và kết nối VPN đang tồn tại.
Kích đúp vào kết nối VPN mà bạn đã tạo, sau đó kích Connect. Lúc này bạn sẽ phải nhập vào tên người dùng, mật khẩu và tên miền. Kích OK sau khi đã nhập xong các thông tin này, khi đó một kết nối sẽ được thiết lập cho máy chủ VPN / NAP của bạn.
Ngay sau khi kết nối được thiết lập, bạn sẽ thấy một thông báo xuất hiện ở phía dưới màn hình hiển thị thông báo:
This Computer Does Not Meet Corporate Network Requirements. Network Access is Limited.
(Máy tính này không có các yêu cầu cần thiết của mạng. Truy cập mạng bị giới hạn.)
Bạn có thể thấy thông báo này như trong hình E.
Hình E: Khi tường lửa bị vô hiệu hóa, bạn sẽ nhận được một
thông báo bằng việc thành lập một kết nối VPN.
Nếu biểu tượng Windows Firewall chỉ thị rằng tường lửa đã được kích hoạt. Khi điều này xảy ra, bạn sẽ thấy một cửa sổ khác xuất hiện hiển thị thông báo:
This Computer Meets Corporate Network Requirements. You Have Full Network Access.
(Máy tính này có đủ các yêu cầu cần thiết của mạng. Bạn có toàn quyền truy cập.)
Bạn có thể thấy thông báo này trong hình F.
Hình F: Khi máy chủ NAP kích hoạt tường lửa thì thông báo này sẽ được hiển thị
Thông báo thể hiện trong hình F cũng được hiển thị khi máy tính có các yêu cầu cần thiết kết nối đến máy chủ NAP thông qua kết nối VPN.
Kết luận
Trong bài viết này, chúng tôi đã giới thiệu cách cấu hình máy chủ NAP để bảo đảm rằng các máy khách VPN có được yêu cầu cần thiết về bảo mật mạng. Hãy lưu ý thời điểm mà chúng tôi viết bài này là Longhorn Server vẫn trong giai đoạn thử nghiệm. như vậy, một số bước liên quan trong quá trình có thể thay đổi khi bản Longhorn Server chính thức được phát hành. Tuy nhiên sẽ không có thay đổi lớn và bạn nên nhớ rằng NAP sẽ chỉ kiểm tra các máy trạm đang sử dụng hệ điều hành Windows Vista.