Giới thiệu bổ sung về Network Access Protection - Phần 1
Giới thiệu bổ sung về Network Access Protection - Phần 2
Giới thiệu bổ sung về Network Access Protection - Phần 3
Giới thiệu bổ sung về Network Access Protection - Phần 4
Giới thiệu bổ sung về Network Access Protection - Phần 5
Giới thiệu bổ sung về Network Access Protection - Phần 6
Giới thiệu bổ sung về Network Access Protection - Phần 7
Giới thiệu bổ sung về Network Access Protection - Phần 8
Brien M. Posey
Quản trị mạng - Trong phần này chúng tôi sẽ giới thiệu hoàn tất cho các bạn quá trình cấu hình và minh chứng chức năng hoạt động của Network Access Protection.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách thiết lập một nhóm bảo mật để có thể sử dụng nhằm mục đích chỉ ra các máy tính nào sẽ được hoạt động bằng cách sử dụng Network Access Protection. Trong phần này, chúng tôi sẽ kết thúc loạt bài này bằng cách giới thiệu cho các bạn cách nhập một máy tính vào một nhóm bạn đã tạo từ trước và sẽ thực hiện một số bài test để bảo đảm rằng thực thi bảo vệ truy cập từ xa sẽ được kích hoạt. Cuối cùng, chúng tôi sẽ giới thiệu cách kết nối đến VPN từ xa của bạn.
Bổ sung thêm các máy tính vào nhóm
Nhiệm vụ tiếp theo mà chúng ta phải thực hiện đó là bổ sung thêm các máy tính khách vào nhóm bảo mật đã tạo trong phần trước của loạt bài này. Bắt đầu quá trình bằng việc mở giao diện điều khiển “Active Directory Users and Computers”, sau đó bạn hãy chọn mục có chứa tên miền của mình. Lý do tại sao chúng ta cần phải chọn mục này là vì chúng ta đã tạo nhóm bảo mật ở mức miền, đúng hơn là đã đặt nó nằm trong mục Users.
Khi bạn chọn mục mức miền, bạn sẽ thấy nhóm NAP Clients được hiển thị trong panel chi tiết. Kích đúp vào nhóm này, khi đó Windows sẽ mở trang thuộc tính của nhóm. Hãy vào tab Members của trang thuộc tính và kích nút Add. Lúc này, nhập tên của máy tính khách vào phần không gian trống được cấp. Tiếp đến, kích nút Locations và chọn mục Computers và kích OK. Khi Windows trả về cho bạn màn hình Select Users, Contacts, Computers hoặc Groups, khi đó hãy kích nút Check Names để thẩm định rằng Windows có thể tìm thấy máy tính khách của bạn thành công. Kích OK hai lần để hoàn tất quá trình.
Kiểm tra các thiết lập về Group Policy
Bạn đã thêm một máy khách vào nhóm bảo mật đã được tạo từ trước, đây chính là lúc bạn cần phải test máy tính khách để bảo đảm rằng các thiết lập chính sách nhóm có liên quan đến NAP có hiệu lực. Trước khi thực hiện điều đó, bạn hãy khởi động lại máy tính, sau đó đăng nhập với đặc quyền quản trị viên.
Khi bạn đăng nhập xong, hãy mở cửa sổ nhắc lệnh và nhập vào lệnh sau:
NETSH NAP CLIENT SHOW GROUPPOLICY
Sau khi nhập xong lệnh này, bạn sẽ thấy một loạt các kết quả giống như các kết quả được thể hiện trong hình A bên dưới.
Hình A: Nhập vào lệnh NETSH NAP CLIENT SHOW GROUPPOLICY tại cửa sổ nhắc lệnh
Như những gì bạn có thể thấy trong hình A ở trên, có một vài kiểu máy khách thực thi khác nhau được xây dựng kèm với Windows. Điều này là vì có một vài cách để có thể triển khai NAP. Chúng ta đang sử dụng NAP để điều khiển sự truy cập đối với máy khách VPN nên chỉ có máy khách thực thi mà chúng ta quan tâm mới là Remote Access Quarantine Enforcement Client. Quan sát bên dưới phần Remote Access Quarantine Enforcement Client và bảo đảm rằng dòng Admin được thiết lập là Enabled như thể hiện trong hình A trên. Các máy khách thực thi khác sẽ bị vô hiệu hóa trong cấu hình này.
Với test tiếp theo, bạn hãy nhập vào lệnh sau:
NETSH NAP CLIENT SHOW STATE
Như những gì các bạn thấy trong hình B bên dưới, đầu ra của lệnh này là khá dài. Bạn hãy kéo thanh cuộn và tìm đến phần Remote Access Quarantine Enforcement Client. Thẩm định rằng Remote Access Quarantine Enforcement Client đã được khởi tạo.
Hình B: Thẩm định rằng Remote Access Quarantine Enforcement Client đã được khởi tạo
Nếu cả hai test này đều thành công thì các thiết lập chính sách nhóm có liên quan đến NAP đang được áp dụng một cách thành công đối với máy khách. Nếu bạn nằm trong trường hợp này, hãy đóng cửa sổ nhắc lệnh bằng không bạn cần phải quay trở lại và kiểm tra cấu hình của mình.
Tạo một kết nối VPN
Bước cuối cùng trong quá trình cấu hình có liên quan đến việc thiết lập kết nối VPN đến Remote Access Server. Quá trình thực hiện điều đó khá đơn giản. Trong Windows Vista, mở Control Panel, kích đúp vào biểu tượng Network and Sharing Center. Khi cửa sổ Network and Sharing Center được mở, kích vào liên kết Setup a Connection or Network trong panel Tasks. Ở đây, bạn sẽ thấy một màn hình tương tự như màn hình thể hiện trong hình C, hỏi bạn về kiểu kết nối mà bạn muốn tạo là gì.
Hình C: Chọn tùy chọn “Connect to Workplace”, tiếp đó kích Next
Chọn tùy chọn Connect to a Workplace, kích Next. Nếu có các kết nối mạng hiện hữu sẵn, Windows sẽ hỏi bạn có muốn tạo một kết nối mới nữa không hay muốn sử dụng kết nối đang tồn tại. Chọn tùy chọn để tạo kết nối mới, sau đó kích Next.
Màn hình tiếp theo hỏi bạn có muốn sử dụng kết nối Internet hay không hay muốn tạo một kết nối quay số trực tiếp. Chọn tùy chọn Use My Internet Connection (VPN). Khi đó bạn sẽ được nhắc nhở nhập vào địa chỉ Internet và tên đích đến. Nhập địa chỉ IP của máy chủ RRAS hoặc URL của nó vào trường địa chỉ Internet, sau đó nhập vào phần mô tả kết nối trong trường Destination Name. Bạn có thể thấy một ví dụ về vấn đề này trong hình D. Khi đó bạn hãy chọn hộp kiểm Don’t Connect Now.
Hình D: Nhập vào địa chỉ IP của máy chủ RRAS và phần mô tả của máy chủ
mà bạn sẽ kết nối đến
Kích Next, bạn sẽ được đưa tới màn hình cho bạn tùy chọn để nhập vào các yêu cầu thẩm định. Khi thực hiện nhập các yêu cầu xong, kích nút Create, lúc này một kết nối mới sẽ được tạo, kích Close để đóng hộp thoại còn lại.
Đến đây bạn đã tạo được một kết nối VPN, chúng ta cần phải cấu hình một số thiết lập bảo mật. Để thực hiện điều đó, hãy kích chuột phải vào kết nối mà bạn đã tạo, sau đó chọn Properties.
Khi cửa sổ chứa trang thuộc tính của kết nối được mở, bạn hãy vào tab Security, chọn tùy chọn Advanced. Tiếp đến, kích nút Settings.
Lúc này Windows sẽ hiển thị hộp kiểm Advanced Security Settings như thể hiện trong hình E bên dưới. Chọn tùy chọn Require Encryption (Disconnect if Server Declines) từ danh sách sổ xuống Data Encryption. Tiếp đến, chọn tùy chọn Use Extensible Authentication Protocol (EAP), sau đó chọn tùy chọn Protected EAP (PEAP) (Encryption Enabled) từ phần Logon Security.
Hình E: Bạn phải cấu hình kết nối để sử dụng PEAP
Ở đây, bạn phải kích nút Properties. Khi thực hiện thao tác này, Windows sẽ hiển thị hộp thoại Protected EAP Properties như thể hiện trong hình F. Bảo đảm rằng các hộp kiểm Validate Server Certificate và Connect to these Servers đều được chọn. Bạn cũng cần bảo đảm rằng hộp văn bản bên dưới tùy chọn Connect to These Servers có chứa đúng danh cách các máy chủ.
Hình F: Phương pháp thẩm định phải được thiết lập là (EAP-MSCHAP V2)
Phần ở giữa của hộp thoại gồm có danh sách các quyền chứng chỉ khác. Với mục đích đơn giản hóa, chúng tôi đã chọn các hộp kiểm bên cạnh mỗi quyền chứng chỉ được liệt kê. Ở phần bên dưới của hộp thoại, bạn nên thiết lập tùy chọn Select Authentication Method là Secure Password (EAP-MSCHAP v2) và tích vào hộp kiểm Enable Quarantine Checks.
Bước tiếp theo trong quá trình này là kích vào nút Configure, sau đó chọn hộp kiểm Automatically Use My Windows Logon Name and Password (and Domain if Any). Kích OK bốn lần để đóng các hộp thoại khác.
Kiểm tra NAP
Đến đây, chúng ta hoàn toàn sẵn sàng cho việc test NAP. Như những gì đã được giới thiệu trong các phần trước, bạn có thể yêu cầu máy khách có đủ số lượng các tiêu chuẩn về sức khỏe, tuy nhiên với mục đích minh chứng, chúng tôi chỉ yêu cầu một vấn đề ở đây đó là tường lửa Windows được bật trên máy khách. Trong trường hợp này, bạn hãy mở Windows Security Center trên máy khách và tắt bỏ tường lửa Windows Firewall. Khi thực hiện xong thao tác này, bạn nên để lại cửa sổ màn hình Windows Security Center, như thể hiện trong hình G bên dưới, mục đích như vậy là để bạn có thể thẩm định trạng thái của Windows Firewall.
Hình G: Bảo đảm rằng tường lửa Windows đã được tắt
Lúc này, mở Control Panel và kích đúp vào biểu tượng Network and Sharing Center. Khi mục Network and Sharing Center được mở, hãy kích vào liên kết Connect to a Network, kích kết nối VPN mà bạn đã tạo từ trước, sau đó kích nút Connect. Khi được nhắc nhở, bạn hãy nhập các yêu cầu thẩm định và kích nút Connect. Khi Windows đăng ký máy tính của bạn trên mạng, Windows Firewall sẽ tự động được bật lên, xem thể hiện trong hình H.
Hình H: NAP sẽ kích hoạt tự động Windows Firewall khi kết nối VPN được thiết lập
Kết luận
Như những gì các bạn đã thấy trong phần 9 này, việc cấu hình Remote Access Server để sử dụng Network Access Protection là một quá trình khá phức tạp. Mặc dù vậy, nó thực sự xứng đáng với những cố gắng của bạn, vì việc cấu hình này có thể giúp bạn bảo đảm an ninh cho mạng của mình tốt hơn.