Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 1

Thomas Shinder

Quản trị mạng - Network Access Protection (NAP) là một tính năng truy cập mạng mới trong Windows Server 2008. NAP cho phép bạn điều khiển được máy tính nào có thể tham gia vào mạng. Khả năng tham gia vào mạng được xác định bởi máy khách NAP có hội tụ đủ các yếu tố bảo mật cần thiết cho các chính sách của NAP của bạn hay không.

NAP có một số các “phần động”, các thành phần này làm cho nó phức tạp trong việc cấu hình. Thêm vào đó là vấn đề về kiểu thi hành của NAP mà bạn muốn kích hoạt. Cho ví dụ, có một số NAP Enforcement Client điều khiển sự truy cập vào mạng dựa trên thông tin địa chỉ IP, hoặc dựa trên máy khách có chứng chỉ trạng thái tốt để cho phép nó có thể kết nối với mạng hay không.

Trong bài này chúng tôi sẽ giúp các bạn thực hiện một giải pháp thi hành DHCP NAP đơn giản. Khi bạn sử dụng sự thi hành DHCP NAP, máy chủ DHCP sẽ trở thành máy chủ truy cập mạng. Điều này có nghĩa rằng nó sẽ chịu trách nhiệm là máy chủ DHCP để cung cấp cho các máy khách NAP các thông tin tương xứng với mức thi hành của chúng. Nếu máy khách NAP có đầy đủ tiêu chuẩn, nó sẽ nhận các thông tin định địa chỉ IP để cho phép kết nối với máy tính khác trong mạng. Trong trường hợp nếu máy khách NAP không có đủ tiêu chuẩn với chính sách sức khỏe mạng của bạn thì máy khách NAP sẽ được gán các thông tin định địa chỉ IP để hạn khả năng kết nối của máy tính này. Điển hình, chính sách NAP của bạn cho phép các máy tính không có đủ tiêu chuẩn sẽ kết nối với các domain controller và máy chủ cơ sở hạ tầng mạng, cũng như các máy sẽ cho phép các máy tính không đủ tiêu chuẩn điều đình lại và như vậy sẽ trở thành đủ tiêu chuẩn.

Trong kịch bản thi hành DHCP NAP, các dịch vụ khác cũng được yêu cầu. Nếu máy chủ DHCP là máy chủ truy cập mạng trong kịch bản thì phải cần đến một máy chủ RADIUS để chứa các chính sách NAP. Có một số chính sách được lưu trong máy chủ RADIUS tương thích NAP, chẳng hạn như chính sách sức khỏe, chính sách mạng, chính sách yêu cầu kết nối. Trong Windows Server 2008, Network Policy Server (NPS) được sử dụng như một máy chủ RADIUS để chứa các chính sách NAP. Máy chủ NPS sẽ làm việc với máy chủ DHCP và khai báo máy chủ DHCP của bạn xem máy khách có đủ tiêu chuẩn NAP với các chính sách của bạn hay không.

Để thiết lập chính sách sức khỏe, bạn cần tối thiểu cài đặt Security Health Validator (SHV) trên máy chủ NPS. Mặc định, Windows Server 2008 sẽ cung cấp cho bạn bộ Security Health Validator của Windows để bạn có thể sử dụng nhằm thiết lập chính sách sức khỏe cho mạng của mình.

Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt đó là - NAP Agent và máy khách thi hành NAP. NAP Agent sẽ thu thập các thông tin về trạng thái bảo mật của máy khách NAP, còn NAP Enforcement Agent được sử dụng để thi hành chính sách NAP, điều này phụ thuộc vào kiểu thi hành NAP mà bạn chọn. Trong kịch bản sẽ sử dụng trong loạt bài này, chúng ta sẽ kích hoạt NAP Enforcement Agent.Mạng ví dụ là một mạng rất đơn giản. Nó gồm có ba máy:

 • Windows Server 2008 Domain Controller. Không có dịch vụ nào khác được cài đặt trên máy chủ này. Địa chỉ IP được gán cho máy tính tính là 10.0.0.2, máy tính này là một domain controller trong miền msfirewall.org.

 • Thành viên Windows Server 2008 trong miền msfirewall.org. Địa chỉ IP của máy tính này là 10.0.0.3. Máy tính này sẽ được cài đặt các dịch vụ DHCP và NPS, đây là hai dịch vụ chúng ta sẽ thực hiện trong suốt loạt bài này.

 • Máy khách Windows Vista là một thành viên của msfirewall.org.

 • Trong loạt bài này, chúng ta sẽ thực thiện theo các thủ tục dưới đây:

 • Tạo nhóm bảo mật để các máy khách NAP sẽ được thiết lập đúng cách.

 • Cài đặt các dịch vụ NPS và DHCP trên máy chủ thành viên

 • Sử dụng NAP wizard để tạo chính sách thi hành NAP DHCP

 • Xem lại chính sách yêu cầu kết nối

 • Xem lại các chính sách mạng

 • Xem lại các chính sách sức khỏe

 • Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực thi NAP

 • Cấu hình các thiết lập NAP trong Group Policy

 • Nhập máy tính Vista vào nhóm các máy tính thực thi NAP

 • Kiểm tra giải pháp

Tạo nhóm bảo mật cho các máy khách NAP

Thứ đầu tiên mà chúng ta sẽ thực hiện là tạo một nhóm bảo mật cho các máy tính có sử dụng chính sách NAP. Mở giao diện điều khiển Active Directory Users and Computers, sau đó kích chuột phải vào nút Users. Trỏ tới New và kích Group.


Hình 1

Trong hộp thoại New Object – Group, bạn hãy nhập NAP Enforced Computers trong hộp nhập liệu Group Name. Chọn tùy chọn Global từ danh sách Group scope và chọn tùy chọn Security từ danh sách Group type. Kích OK.


Hình 2

Cài đặt NPS và DHCP trên máy chủ NPS

Máy tính NPS sẽ duy trì các role Network Policy Server và DHCP server. Lưu ý rằng, bạn có thể thiết lập máy chủ DHCP trên máy tính khác thay cho máy chủ NPS sẽ cấu hình các chính sách NAP, nhưng bạn sẽ vẫn cần phải cấu hình máy chủ DHCP “remote” đó như máy chủ DHCP và máy chủ NPS, và sau đó cấu hình máy chủ NPS để gửi các yêu cầu thẩm định đến máy chủ NAP. Để bảo đảm mọi thứ được dễ dàng hơn, chúng ta chỉ cần thiết lập máy chủ NPS và DHCP trên cùng một máy.

Trong giao diện Server Manager, kích nút Roles, sau đó kích vào liên kết Add Roles, xem những gì thể hiện trong hình bên dưới.


Hình 3

Kích Next trong trang Before You Begin.


Hình 4

Trong trang, hãy tích vào các hộp kiểm trong DHCP Server and Network Policy and Access Services. Kích Next.


Hình 5

Đọc các thông tin trong trang Network Policy and Access Services, sau đó kích Next.


Hình 6

Chúng ta không cần tất cả các dịch vụ role được cung cấp bởi Network Policy and Access Services role mà chỉ cần đến role RADIUS (Network Policy Server). Hãy tích vào hộp kiểm Network Policy Server. Không chọn bất cứ tùy chọn nào khác, sau đó kích Next.


Hình 7

Đọc các thông tin trong trang DHCP Server và kích Next.


Hình 8

Server Manager sẽ làm chọn bạn cảm thấy dễ dàng hơn so với các trình quản lý trước đây, nó cho phép bạn cấu hình máy chủ DHCP trong suốt quá trình cài đặt. Trong trang Select Network Connection Bindings, chọn địa chỉ IP mà bạn muốn máy chủ DHCP kiểm tra. Sự lựa chọn mà bạn thực hiện ở đây phụ thuộc vào độ phức tạp của môi trường DHCP vì bạn có thể cấu hình một trong nhiều chuyển tiếp DHCP trong tổ chức, và như vậy sẽ có nhiều địa chỉ IP được gán cho một máy chủ DHCP. Tuy nhiên điều đó không nằm trong kịch bản này vì chúng ta chỉ có một địa chỉ IP gán cho máy tính này. Hãy tích vào hộp kiểm trong hộp địa chỉ IP, sau đó kích Next.


Hình 9

Trong trang Specify IPv4 DNS Server Settings, bạn có thể thay đổi cấu hình một số tùy chọn DHCP. Nhập tên miền vào hộp văn bản Parent Domain và nhập vào địa chỉ IP của máy chủ DNS trong hộp văn bản Preferred DNS Server IPv4 Address. Trong ví dụ này, tên miền của chúng ta là msfirewall.org vì vậy chúng ta sẽ nhập vào tên miền đó. Địa chỉ IP của máy chủ DNS là 10.0.0.2, do đó chúng ta sẽ nhập địa chỉ IP này. Do chúng ta không có máy chủ DNS luôn phiên trong ví dụ này nên hãy kích Next.


Hình 10

Chúng ta không có máy chủ WINS trong mạng ví dụ này nên sẽ không nhập vào bất cứ thứ gì trong trang Specify IPv4 WINS Server Settings. Chỉ chọn tùy chọn WINS is not required for applications on this network và kích Next.


Hình 11

Trong trang Add or Edit DHCP Scopes, kích nút Add. Trong hộp thoại Add Scope, hãy nhập vào Scope Name, Starting IP Address, Ending IP Address, Subnet Mask, Default Gateway, và chọn khoảng thời gian phóng thích. Hình bên dưới thể hiện các entry của chúng ta cho các tùy chọn trong mạng ví dụ này. Kích OK trong hộp thoại Add Scope.


Hình 12

Kích Next trong hộp thoại Add or Edit DHCP Scopes.


Hình 13

Chúng ta sẽ không sử dụng IPv6 trong mạng ví dụ này, chính vì vậy hãy chọn tùy chọn Disable DHCPv6 stateless mode for this server và kích Next.


Hình 14

Để hoạt động trong miền của chúng ta, máy chủ DHCP này cần được thẩm định trong Active Directory. Chọn tùy chọn Use current credentials nếu bạn đăng nhập với tư cách là quản trị viên miền. Nếu không, hãy chọn tùy chọn Use alternate credentials và kích Specify. Trong ví dụ này, chúng tôi đã đăng nhập với tư cách một quản trị viên miền và vì vậy sẽ chọn tùy chọn Use current credentials và tiếp đến kích Next.


Hình 15

Xem lại các thiết lập của bạn trong trang Confirm Installation Selections và kích Install.


Hình 16

Kích Close trong trang Installation Results sau khi bạn đã thấy quá trình cài đặt các máy chủ NPS và DHCP đã được thực hiện thành công.


Hình 17

Kết luận

Trong phần một của loạt bài sử dụng sự thi hành của NAP DHCP này, chúng tôi đã giới thiệu cho các bạn một số các khái niệm NAP cơ bản. Sau đó đã hướng dấn tạo một nhóm bảo mật cho các máy khách NAP và kết thúc bằng việc cài đặt các thành phần máy chủ NPS và DHCP trong giải pháp. Trong phần thứ hai của loạt bài này, chúng tôi sẽ sử dụng NAP wizard để tạo một chính sách thực thi NAP DHCP, sau đó giới thiệu sâu hơn về các thiết lập được tạo bởi wizard.

Thứ Ba, 19/08/2008 06:48
31 👨 3.640
0 Bình luận
Sắp xếp theo