Giới thiệu về Network Access Protection (Phần 5)

Giới thiệu về Network Access Protection (Phần 1)
Giới thiệu về Network Access Protection (Phần 2)
Giới thiệu về Network Access Protection (Phần 3)
Giới thiệu về Network Access Protection (Phần 4)

Trong loạt các bài trước về chủ đề này, chúng tôi đã giới thiệu cho các bạn cách cấu hình một chính sách an toàn để Windows kiểm tra xem các client đang yêu cầu truy cập vào mạng có tường lửa đã được kích hoạt chưa. Tiếp sau đó là cách tạo các mẫu hợp lệ về hệ thống để định nghĩa những gì là hợp và không hợp với chính sách an toàn của một mạng.

Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về làm thế nào để tạo các chính sách cấp phép an toàn. Các chính sách này dùng để kiểm soát những gì xảy ra khi có một client cần kiểm tra hay không cần kiểm tra đối với chính sách an toàn mạng. Đây cũng là các chính sách đề chỉ ra mức truy cập đối với các client khi chúng truy cập vào mạng.

Bắt đầu quá trình bằng việc mở giao diện sử dụng Network Policy Server và chọn Authorization Policies. Quan sát cửa sổ Details xem có tồn tại các chính sách cấp phép nào chưa. Trong hệ thống test của chúng tôi, có bốn chính sách cấp phép đã tồn tại từ trước, tuy nhiên không ai giám chắc các chính sách này sẽ tồn tại đến tận phiên bản cuối cùng của Longhorn Server. Đối với các chính sách đang tồn tại, bạn hoàn toàn có thể xóa chúng bằng cách kích chuột phải và chọn lệnh Delete.

Sau khi đã xóa sạch các chính sách tồn tại trước đó bạn hoàn toàn có thể tạo một chính sách cấp phép mới. Để thực hiện, bạn kích chuột phải vào mục chứa Authorization Policy và chọn các lệnh New | Custom bằng cách kích chuột phải. Windows sẽ hiển thị cho bạn cửa sổ New Authorization Policy Properties.

Thứ đầu tiên bạn sẽ phải thực hiện đó là phải gán một tên cho một chính sách. Hãy lấy tên như tên trong hình A đã hiển thị Compliant-Full-Access. Bình thường bạn sẽ phải nhập vào tên của chính sách vào trường tên có trong tab Overview. Sau đó bạn chọn tùy chọn Grant Access trong mục Policy Type để không cho phép người dùng có thể có đầy đủ toàn bộ quyền truy cập đối với mạng của bạn.


Hình A
: Thiết lập loại chính sách ở chế độ Grant Access

Bây giờ hãy chọn tab Conditions của cửa sổ properties. Như tên được ngụ ý của nó, tab Conditions cho phép bạn thiết lập các điều kiện cho client. Tìm kiếm thông qua danh sách điều kiện được cung cấp cho NAP sau đó chọn SHV Templates. Khi bạn thực hiện xong việc chọn đó, pane chi tiết sẽ hiển thị một số các điều kiện con trong mục này ở danh sách sổ xuống. Chọn Compliant từ danh sách các điều kiện đó và nhấn nút Add. Các điều kiện được sử dụng trong cửa sổ Policy này sẽ chỉ thị Computer Health matches “Compliant” như trong hình B. Điều này có nghĩa là để xem xét các client, chúng phải hợp với các tiêu chuẩn đã định nghĩa trong phần Compliant policy đã tạo trong phần trước. Cụ thể hơn điều đó có nghĩa là các client phải có tường lửa Windows đã được kích hoạt.


Hình B
: Để tuân thủ theo nguyên tắc, các client phải có yêu cầu
đã được định nghĩa trong Compliant policy bạn đã tạo.

Bây giờ bạn chọn tab Settings của cửa sổ Properties. Tab này gồm có một loạt thiết lập có thể áp dụng cho các máy tính đang có điều kiện đã định nghĩa trước đó. Đây là một chính sách được áp dụng cho các máy tính đã tuân thủ theo nguyên tắc bảo mật mạng, chính vì vậy chúng ta cần phải gỡ những hạn chế có trong Settings để các máy tính này có thể tăng mức truy cập vào mạng.

Để làm được điều đó, bạn vào phần Protection | NAP Enforcement. Chọn nút Do Not Enforce như hình C.


Hình C
: Những thi hành của NAP không nên áp dụng với các máy tính cần kiểm tra

Sau khi chọn tùy chọn Do Not Enforce, bạn vào Constraints | Authentication Method. Cửa sổ này sẽ hiển thị cho bạn một loạt các checkbox, mỗi một checkbox tương ứng với một phương thức cấp phép khác nhau. Bỏ chọn tất cả các hộp chọn này và chỉ chọn một checkbox EAP. Tích vào check box EAP Methods sau đó nhấn Add. Chọn tùy chọn Secured Password (EAP-MSCHAP v2) và nhấn OK hai lần để đóng các hộp thoại khác đã được mở. Nhấn OK một lần nữa để lưu mẫu mà bạn đã tạo.

Khi tạo được mẫu cho các máy tính cần kiểm tra, chúng ta phải tạo một mẫu tương tự cho các máy tính không cần kiểm tra. Để làm được điều này, bạn chỉ cần kích chuột phải vào mục chứa Authorization Policies của giao diện hình cây và chọn New | Custom từ menu tắt. Windows sẽ hiển thị cho bạn cửa sổ New Authorization Policy Properties.

Cũng như trường hợp trước đó, thứ đầu tiên bạn phải thực hiện đó là nhập vào tên của chính sách mới muốn tạo. Hãy lấy là Noncompliant-Restricted để thuận tiện trong thử nghiệm của chúng ta. Dù là chúng ta đang tạo một chính sách được hạn chế, nhưng bạn vẫn phải thiết lập loại chính sách là Grant Access. Nhớ rằng nó là để không cho phép truy cập vào mạng, nhưng cho phép xử lý chi tiết hơn đối với chính sách.

Bây giờ chọn tab Conditions. Khi bạn đã tạo chính sách cấp phép đối với các máy tính cần kiểm tra, nghĩa là chúng ta đã tạo một điều kiện yêu cầu đối với máy tính để tuân theo mẫu cần kiểm tra đã được tạo trong phần trước. Khi chính sách này được sử dụng cho những máy tính không cần kiểm tra đã thì bạn phải kiểm tra xem cấu hình của các client có hợp với các điều kiện trong mẫu NonCompliant hay không, điều này cũng có nghĩa là kiểm tra xem tường lửa Windows có phải là không được kích hoạt không.

Tìm trong danh sách các điều kiện sẵn có trong NAP, chọn mục SHV Templates. Chọn tùy chọn NonCompliant trong danh sách các mẫu đang có sau đó nhấn nút Add.

Tiếp theo chọn tab Settings và vào Constraints | Authentication Method. Cửa sổ chi tiết sẽ hiển thị cho bạn một loạt các check box, mỗi check box này tương ứng với một phương thức khác nhau. Bỏ chọn tất cả các check box, chỉ chọn check box EAP. Tích vào check box EAP Methods sau đó nhấn nút Add. Chọn tùy chọn Secured Password (EAP-MSCHAP v2) và nhấn OK hai lần để đóng các hộp thoại khác đã được mở.

Mọi thứ mà chúng ta đã làm đối với chính sách cho các máy tính không cần kiểm tra cũng hoàn toàn giống hệt như với các máy tính cần kiểm tra ngoại trừ việc định rõ mẫu SHV khác nhau. Nếu chúng ta bỏ chính sách này thì các máy tính không cần kiểm tra có thể truy cập thoải mái vào mạng. Chỉ khi không muốn điều đó xảy ra thì chúng ta cần phải sử dụng NAP để ngăn chặn sự truy cập mạng như vậy.

Để thực hiện điều đó, chọn mục NAP Enforcement có trong danh sách ở Available Settings. Cửa sổ Details sẽ hiển thị cho bạn các tùy chọn bắt buộc. Chọn tùy chọn Enforce sau đó chọn check box Update Non Compliant Computers Automatically như hình D. Nhấn OK để lưu chính sách mà bạn đã tạo.


Hình D
: Bạn phải kích hoạt bảo vệ NAP cho các máy tính không cần kiểm tra

Kết luận

Trong bài viết này, chúng tôi đã giới thiệu cho các bạn cách làm thế nào để tạo các chính sách cấp phép đối với các máy tính cần kiểm tra và không cần kiểm tra. Trong phần tiếp theo của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu hình máy chủ.

Giới thiệu về Network Access Protection (Phần 6)
Giới thiệu về Network Access Protection (Phần 7)

Thứ Tư, 04/04/2007 10:26
31 👨 541
0 Bình luận
Sắp xếp theo