Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - 1
Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - 2
Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - 3
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máy khách và cách các chứng chỉ bảo mật được gán, được gỡ bỏ tự động cũng như cách các máy khách được kết nối hoặc hủy kết nối với mạng như thế nào.Trong phần 3 của loạt bài gồm 4 phần về cấu hình NAP bằng thực thi chính sách Ipsec, chúng ta đã cấu hình chính sách NAP Ipsec và sau đó đã cấu hình các máy khách cho việc test thử. Trong phần cuối cùng này, chúng ta sẽ tiến hành test các máy khách và nghiên cứu cách các chứng chỉ bảo mật được gán hay được gỡ bỏ một cách tự động cũng như nghiên cứu cách máy khách được kết nối và hủy kết nối với mạng như thế nào.
Chúng ta sẽ tập trung vào 2 nhiệm vụ chính sau:
- Test Health Certificate và Auto-remediation configuration
- Thẩm định sự thực thi chính sách NAP trên VISTASP1
Test Health Certificate và Auto-remediation Configuration
Trong phần này chúng ta sẽ thực hiện các nhiệm vụ dưới đây:
- Xác nhận rằng cả hai VISTASP1 và VISTASP1-2 đều có các chứng chỉ sức khỏe (Health Certificate)
- Nhập VISTASP1-2 vào Domain
- Thẩm định Auto-remediation trên VISTASP1
Xác nhận cả VISTASP1 và VISTASP1-2 đều có Health Certificate
Sử dụng thủ tục dưới đây để thẩm định sự kết nạp chứng chỉ sức khỏe của VISTASP1 trong môi trường miền đã được thẩm định và VISTASP1-2 trong môi trường nhóm làm việc (workgroup).
Thực hiện các bước dưới đây trên cả VISTASP1 và VISTASP1-2:
- Mở hộp thoại Run và nhập mmc, sau đó nhấn ENTER.
- Trên menu File, kích Add/Remove Snap-in.
- Kích Certificates, kích Add và chọn Computer account, sau đó kích Next.
- Thẩm định rằng Local computer: (the computer this console is running on) được chọn, kích Finish, và sau đó kích OK.
- Trong panel bên trái của giao diện điều khiển, kích đúp vào Certificates (Local Computer), kích đúp Personal, sau đó kích Certificates.
- Trong panel chi tiết, bên dưới Issued By, thẩm định CA cấp dưới, msfirewall-WIN2008SRV1-CA, được hiển thị. Thẩm định rằng Intended Purposes hiển thị System Health Authentication. Vì VISTASP1-2 chưa được thẩm định đối với miền msfirewall.org, nên tên máy khách sẽ không được hiển thị bên dưới Issued To, và ý nghĩa chứng chỉ của Client Authentication không xuất hiện. Thẩm định rằng chứng chỉ trên VISTASP1-2 có Intended Purposes của System Health Authentication. Đây là một chứng chỉ sức khỏe NAP hợp lệ cho các máy khách trong môi trường nhóm làm việc. Một chứng chỉ sức khỏe miền đã được thẩm định tương tự như chứng chỉ đạt được tên VISTASP1.
Hình 1
Hình 2
- Đóng giao diện Certificates
Nhập VISTASP1-2 vào miền
Sử dụng thủ tục tương tự như bạn đã sử dụng ở trên để nhập VISTASP1 và miền msfirewall.org, nhập VISTASP1-2 vào miền msfirewall.org. Đăng nhập với đặc quyền quản trị viên miền sau khi máy tính khởi động lại.
Thẩm định Auto-remediation trên VISTASP1
NAP Ipsec với chính sách mạng HRA Noncompliant chỉ rõ rằng các máy tính không đồng thuận (Noncompliant) sẽ tự động được điều đình lại. Thủ tục dưới đây sẽ thẩm định rằng VISTASP1 được điều đình lại tự động khi Windows Firewall bị tắt.
- Trên VISTASP1, mở hộp thoại Run và nhập vào firewall.cpl, sau đó nhấn ENTER.
- Trong panel điều khiển của Windows Firewall, kích hange settings, kích Off (not recommended), sau đó kích OK.
- Bạn có thể thấy một tin trong vùng thông báo chỉ thị rằng máy tính không có đủ các yêu cầu sức khỏe. Tin này được hiển thị vì Windows Firewall đã bị tắt. Kích vào tin này để xem thêm các thông tin chi tiết về trạng thái sức khỏe của of VISTASP1. Xem ví dụ bên dưới.
Hình 3
- Máy khách NAP sẽ tự động bật Windows Firewall để trở thành đồng thuận với các yêu cầu về sức khỏe của mạng. Tin dưới đây sẽ xuất hiện trong vùng thông báo: This computer meets the requirements of this network.
Hình 4
- Do Suto-remediation xuất hiện khá nhanh nên bạn có thể không thấy các tin này. Để xem lại biểu tượng thông báo NAP, bạn hãy đánh napstat tại nhắc lệnh, sau đó nhấn ENTER.
Thẩm định sự thực thi chính sách NAP trên VISTASP1
Chúng ta hãy xem cách thẩm định sự thực thi chính sách NAP đang được sử dụng trên hệ thống khách như thế nào. Bắt đầu bằng cách test với VISTASP1. Để thực hiện bài test, chúng ta thực hiện các thủ tục dưới dây:
- Cấu hình Windows SHV ở mức hạn chế hơn bằng cách yêu cầu các máy tính phải cài đặt các phần mềm chống virus. Khi chúng ta chưa cài đặt bất kỳ phần mềm chống virus nào trên các máy khách nên các máy khách sẽ không có đủ yêu cầu này.
- Refresh SoH (tuyên bố sức khỏe) trên VISTAP1. Thao tác này sẽ làm cho máy khách gửi một Statement of Health mới đến Health Registration Authority và sẽ báo cáo rằng máy khách không có được sự đồng thuận.
- Xác nhận rằng chứng chỉ sức khỏe của máy khách được gỡ bỏ. Health Certificate được gỡ bỏ vì máy khách không có đủ sự đồng thuận.
- Khôi phục chính sách sức khỏe về trạng thái ít hạn chế hơn để máy khách có thể đồng thuận. Chúng ta sẽ gỡ bỏ yêu cầu phần mềm chống virus để máy khách trở thành đồng thuận trở lại.
- Refresh SoH trên VISTASP1 sẽ hiển thị máy tính hiện đã đồng thuận với chính sách mới.
- Xác nhận rằng chứng chỉ sức khỏe máy khách được khôi phục.
Cấu hình WSHV để yêu cầu ứng dụng chống virus
Trước hết, cấu hình chính sách NAP để yêu cầu ứng dụng chống virus, làm cho CLIENT1 trở nên không đồng thuận.
Thực hiện theo các bước dưới đây trên WIN2008SRV1:
- Trên WIN2008SRV1, kích Start, kích Run, đánh nps.msc và nhấn ENTER.
- Trong panel bên trái của giao diện điều khiển, mở Network Access Protection, sau đó kích System Health Validators.
Hình 5
- Trong panel chi tiết, kích đúp vào Windows Security Health Validator, sau đó kích Configure.
Hình 6
- Trong hộp thoại Windows Security Health Validator, bên dưới Virus Protection, chọn hộp kiểm bên cạnh An antivirus application is on.
Hình 7
- Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows Security Health Validator Properties.
- Để mở giao diện NPS cho các thủ tục sau.
Refresh SoH trên VISTASP1
Vì các chính sách sức khỏe đã được thay đổi sau khi VISTASP1 nhận một chứng chỉ sức khỏe nên chúng ta cần phải kích hoạt việc gửi đi một tuyên bố sức khỏe (SoH) mới từ VISTASP1 để đánh giá với các chính sách sức khỏe hạn chế hơn. Vấn đề này sẽ xuất hiện khi chứng chỉ sức khỏe trên VISTASP1 hết hạn, hoặc khi một sự thay đổi trong trạng thái sức khỏe của máy khách bị xóa. Chúng ta có thể tạo một thay đổi trong trạng thái sức khỏe bằng cách tắt Windows Firewall.
Thực hiện các bước dưới đây trên VISTASP1:
- Trên VISTASP1, kích Start, sau đó kích Control Panel.
- Kích Security, kích Windows Firewall, sau đó kích Change settings.
- Trong hộp thoại Windows Firewall Settings, kích Off (not recommended), sau đó kích OK.
Hình 8
- Windows Firewall được bật trở lại tự động vì auto-remediation được kích hoạt. Mặc dù vậy, do các chính sách NAP hiện yêu cầu ứng dụng chống virus nên VISTASP1 sẽ xuất hiện trong trạng thái không đồng thuận và sẽ không thể đạt được chứng chỉ sức khỏe.
Xác nhận chứng chỉ sức khỏe đã bị gỡ bỏ
Tiếp đến, xem các chứng chỉ máy tính trên CLIENT1 để thẩm định chứng chỉ sức khỏe đã bị gỡ bỏ.
- Trên VISTASP1, mở hộp thoại Run và đánh mmc, sau đó nhấn ENTER.
- Trên menu File, kích Add/Remote Snap-in
- Kích Certificates, kích Add, chọn Computer account, sau đó kích Next
- Thẩm định rằng Local computer: (the computer this console is running on) được chọn, kích Finish, sau đó kích OK.
- Trong cây giao diện, mở Certificates (Local Computer)\Personal.
- Thẩm định rằng không có chứng chỉ sức khỏe nào được hiện diện.
Hình 9
- Để giao diện Certificates mở để thực hiện các thủ tục sau.
Gỡ bỏ yêu cầu sức khỏe chống virus để VISTASP1 trở thành đồng thuận
Thay đổi các chính sách NAP để VISTASP1 trở thành đồng thuận.
- Trên WIN2008SRV1, trong panel trái của giao diện NAP, mở Network Access Protection, sau đó kích System Health Validators.
- Kích đúp vào Windows Security Health Validator và kích Configure.
- Trong hộp thoại Windows Security Health Validator, bên dưới Virus Protection, xóa hộp kiểm bên cạnh An antivirus application is on.
Hình 10
- Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows Security Health Validator Properties.
- Đóng giao diện NPS.
Refresh SoH trên VISTASP1
Thực hiện thủ tục trước để refresh SoH trên VISTASP1 bằng cách tắt Windows Firewall. Một SoH mới sẽ được kích hoạt và Windows Firewall sẽ được bật. Vì VISTASP1 lúc này đồng thuận với các chính sách NAP nên nó sẽ được dự trữ sẵn một chứng chỉ sức khỏe.
Xem các chứng chỉ máy tính trên VISTASP1 để thẩm định rằng chứng chỉ sức khỏe đã được khôi phục.
- Trên VISTASP1, trong giao diện điều khiển , cây giao diện, kích Personal.
- Kích chuột phải vào panel chi tiết và sau đó kích Refresh. Thẩm định rằng chứng chỉ sức khỏe đã hiện diện.
Hình 11
Hình 12
Kết luận
Trong loạt bài này chúng tôi đã cung cấp cho các bạn nhiều phần có liên quan đến giải pháp thực thi NAP Ipsec. Như những gì các bạn được giới thiệu trong bài, có nhiều thành phần trong giải pháp và mỗi một thành phần đó phải được cấu hình đúng cách để giải pháp làm việc. Nhiều quản trị viên Windows lo ngại về sự phức tạp của NAP với sự thực thi chính sách Ipsec và do đó đã không áp dụng công nghệ bảo mật hiệu quả và mạnh này. Trước khi thực hiện thử nghiệm các bạn hãy tạo một bản sao minh chứng của mình trong phòng thứ nghiệm trước khi thực hiện thực thi này tên mạng sản xuất.