Giới thiệu bổ sung về Network Access Protection - Phần 1
Giới thiệu bổ sung về Network Access Protection - Phần 2
Giới thiệu bổ sung về Network Access Protection - Phần 3
Brien M. Posey
Trong phần này chúng tôi sẽ tiếp tục giới thiệu về Network Access Protection bằng cách giới thiệu cho bạn cách cấu hình Network Policy Server.
Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu hình thành phần VPN, đây là thành phần sẽ được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server.
Như đã giới thiệu ở các phần trước trong loạt bài này, công việc của Network Policy Server là so sánh các báo cáo về tình trạng sức khỏe mà nó nhận được từ các máy tính đang yêu cầu truy cập vào mạng đối với chính sách sức khỏe của hệ thống. Chính sách sức khỏe của hệ thống sẽ chỉ thị những gì được yêu cầu đối với các máy tính để chúng được coi là các máy tính khỏe mạnh (hay đủ tiêu chuẩn truy cập).
Trong triển khai thực, một chính sách sức khỏe của hệ thống yêu cầu các máy trạm phải chạy một hệ điều hành Windows hiện hành và có tất cả các bản vá bảo mật mới nhất. Không quan tâm đến những tiêu chuẩn gì bạn sử dụng để quyết định xem máy trạm đó có đủ sức khỏe hay không, bạn sẽ phải thực hiện một số công việc.
Với mục đích minh chứng, chúng tôi sẽ tạo một chỉ thị sức khỏe hệ thống rất đơn giản để kiểm tra xem tường lửa Windows có được kích hoạt hay không. Nếu tường lửa được kích hoạt thì chúng ta sẽ công nhận máy trạm đó đủ tiêu chuẩn về sức khỏe.
Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực, bạn sẽ không cấu hình Network Policy Server trên cùng một máy chủ với máy chủ VPN. Máy chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn nếu cấu hình Network Policy Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp những rủi ro vì Network Policy Server sẽ bị thỏa hiệp. Không có thành phần nào trong Windows ngăn chặn bạn sử dụng cùng một máy chủ cho cả hai thành phần VPN và Network Policy Server, vì vậy cho mục đích minh chứng chúng tôi sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai thành phần này.
Cấu hình Network Policy Server
Bắt đầu quá trình cấu hình bằng cách nhập lệnh MMC vào nhắc lệnh để mở giao diện quản lý của hoàn toàn trống rỗng của Microsoft. Khi giao diện được mở, bạn hãy chọn lệnh Add / Remove Snap-in từ menu File. Bạn sẽ gặp một hộp thoại Add or Remove Snap-Ins. Chọn tùy chọn Network Policy Server từ danh sách các snap-in có sẵn và kích nút Add. Lúc đó bạn sẽ thấy một nhắc nhở hỏi bạn xem bạn thích quản lý máy tính nội bộ hay máy tính khác. Hãy bảo đảm rằng tùy chọn Local Computer (máy nội bộ) được chọn, sau đó kích OK. Kích OK thêm một lần nữa và thành phần Network Policy Server sẽ được mở.
Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators, xem thể hiện trong hình A. Kích chuột phải vào đối tượng Windows System Health Validator trong panel trung tâm của giao diện điều khiển và chọn lệnh Properties. Khi đó Windows sẽ hiển thị cho bạn hộp thoại Windows Security Health Validator Properties, xem thể hiện trong hình B.
Hình A: Điều hướng trong cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators |
Hình B: Hộp thoại Windows Security Health Validator Properties được sử dụng để cấu hình bộ chỉ thị tình trạng sức khỏe của hệ thống. |
Kích nút Configure của hộp thoại, khi đó Windows sẽ hiển thị hộp thoại Windows Security Health Validator, xem thể hiện trong hình C. Như những gì bạn có thể thấy trong hình, hộpthoại này sẽ cho phép bạn định nghĩa chính sách của bộ chỉ thị tình trạng sức khỏe hệ thống. Mặc định hộp thoại này sẽ được cấu hình yêu cầu tường lửa của Windows, Windows update và các bộ bảo vệ chống virus và chống spyware cũng phải được kích hoạt và cập nhật thường xuyên. Do chúng ta chỉ quan tâm vào việc bảo đảm sao cho tường lửa Windows được kích hoạt, hãy để tùy chọn “A Firewall is Enabled for all Network Connections” được chọn và hủy chọn tất cả các tùy chọn khác. Kích OK hai lần để tiếp tục.
Hình C: Chọn hộp chọn 'A Firewall is Enabled for all Network Connections' và hủy chọn tất cả các hộp chọn còn lại. |
Tạo một chính sách sức khỏe cho hệ thống
Chúng ta đã cấu hình bộ chỉ thị sức khỏe hệ thống (System Health Validators), lúc này bạn phải cấu hình chính sách sức khỏe cho hệ thống (System Health Policy). Chính sách sức khỏe cho hệ thống sẽ định nghĩa các kết quả của việc hợp lệ hóa trạng thái sức khỏe hệ thống. Về cơ bản, điều đó có nghĩa là định nghĩa việc cho qua (pass) hay thất bại (fail) khi quá trình hợp lệ hóa trạng thái sức khỏe được thực hiện trên máy khách.
Để cấu hình chính sách sức khỏe của Network Policy Server, bạn hãy điều hướng thông qua cây giao diện đến NPS (Local) | Policies | Health Policies. Lúc này, kích chuột phải vào mục Health Policies, chọn lệnh New. Khi đó Windows sẽ hiển thị hộp thoại Create New Health Policy, xem thể hiện trong hình D.
Hình D: Bạn phải tạo một chính sách sức khỏe mới cho hệ thống. |
Như những gì bạn thấy trong hình, hộp thoại sẽ nhắc nhở bạn cần phải nhập vào tên của chính sách mới. Nhập từ Compliant vào trường Name. Lúc này, hãy bảo đảm rằng danh sách Client SHV Checks được thiết lập ở Client Passes all SHV Checks. Chọn hộp kiểm Windows System Health Validator và kích OK.
Đến đây chúng ta đã tạo được chính sách để định nghĩa. Tiếp đến chúng ta phải tạo một chính sách thứ hai để định nghĩa ý nghĩa của nó cho hệ thống. Để thực hiện điều đó, hãy kích chuột phải vào mục Health Policies và chọn lệnh New. Bạn sẽ thấy một cửa sổ tương tự như bạn đã làm việc lúc trước đấy không lâu.
Lúc này, hãy đặt tên cho chính sách mới là NonCompliant. Thiết lập danh sách trong hộp chọn Client SHV Checks là Client Fails one hoặc More SHV Checks. Chọn hộp kiểm Windows Security Health Validator và kích OK. Nếu bạn trở về màn hình chính của giao diện điều khiển Network Policy Server, hãy chọn mục Health Policies, khi đó bạn sẽ thấy cả hai chính sách Compliant và NonCompliant được hiển thị trong panel trung tâm của giao diện điều khiển, xem thể hiện trong hình E.
Hình E: Nếu trở về màn hình chính của giao diện điều khiển Network Policy Server, hãy chọn mục Health Policies, khi đó bạn sẽ thấy cả hai chính sách Compliant và NonCompliant được hiển thị trong panel trung tâm của giao diện điều khiển |
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn cách cấu hình bộ chỉ thị trạng thái sức khỏe của hệ thống để Windows sẽ kiểm tra xem các máy khách đang truy cập và mạng có kích hoạt tường lửa Windows hay không. Giới thiệu cho các bạn cách tạo một chính sách sức khỏe hệ thống để định nghĩa những gì là thỏa mãn và không thỏa mãn với chính sách sức khỏe mạng.
Phần tiếp theo trong loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách tạo các chính sách thẩm định sức khỏe, các chính sách thẩm định sức khỏe là các chính sách dùng để điều khiển những gì sẽ xảy ra nếu một máy khách đồng thuận với chính sách sức khỏe mạng hoặc những gì sẽ xảy ra nếu hệ thống đang yêu cầu truy cập mạng không thỏa mãn những yêu cầu cần thiết. Nó cũng chính là các chính sách để phân biệt mức truy cập.