Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 3

Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - 1
Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - 2

Thomas Shinder

Quản trị mạng - Trong phần thứ hai của loạt bài này chúng tôi đã giới thiệu cho các bạn về Network Policy Server. Trong phần ba này chúng tôi sẽ giới thiệu các thủ tục dưới đây:

  • Bổ sung máy chủ chính sách mạng vào NAP Exempt Group
  • Khởi động lại Network Policy Server
  • Yêu cầu chứng chỉ máy tính cho Network Policy Server
  • Xem chứng chỉ sức khỏe và máy tính đã cài đặt trên Network Policy Server
  • Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA
  • Cấu hình Subordinate CA trên Network Policy Server
  • Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ
  • Cấu hình Health Registration Authority để sử dụng subordinate CA nhằm phát hành các chứng chỉ sức khỏe.

Trong phần ba của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về máy chủ NPS. Đầu tiên chúng ta sẽ cấu hình chính sách NAP IPsec Enforcement trên NPS. Sau khi kết thúc việc tạo chính sách, chúng ta sẽ chuyển sang các hệ thống khách để có thể sử dụng chúng cho mục đích kiểm thử.

Cấu hình chính sách thực thi NAP IPsec trên máy chủ chính sách mạng

Trong phần này, chúng tôi sẽ thực hiện các thủ tục dưới đây:

  • Cấu hình NAP bằng NPS NAP wizard
  • Cấu hình Windows Security Health Validator
  • Cấu hình NAP CLIENT Settings trong Group Policy
  • Hạn chế phạm vi của NAP CLIENT Group Policy bằng cách sử dụng Security Group Filtering

Sau đây là bắt đầu!

Cấu hình NAP với một wizard

Wizard cấu hình NAP sẽ giúp bạn thiết lập NPS như một máy chủ chính sách sức khỏe NAP. Wizard thường cung cấp các thiết lập được sử dụng cho mỗi phương pháp thực thi NAP và tự động tạo các chính sách NAP mang tính tùy chỉnh để sử dụng cho thiết kế mạng của bạn. Bạn cũng có thể truy cập vào wizard cấu hình NAP từ giao diện NPS.

  1. Kích Start, kích Run, gõ nps.msc, sau đó nhấn ENTER.
  2. Trong phần panel bên trái của giao diện điều khiển NPS, bạn hãy kích NPS (Local).


Hình 1

  1. Trong phần panel chi tiết, dưới Standard Configuration, kích Configure NAP. Wizard cấu hình NAP sẽ bắt đầu. Trong trang Select Network Connection Method for Use with NAP, trong phần Network connection method, chọn IPsec with Health Registration Authority (HRA), sau đó kích Next.


Hình 2

  1. Trong trang Specify NAP Enforcement Servers Running HRA, kích Next. Vì máy chủ chính sách sức khỏe NAP này đã cài đặt HRA nên chúng ta không cần phải bổ sung thêm các máy khách RADIUS.


Hình 3

  1. Trong trang Configure User Groups and Machine Groups, kích Next. Bạn không cần phải cấu hình các nhóm cho môi trường test này.


Hình 4

  1. Trong trang Define NAP Health Policy, thẩm định rằng các hộp kiểm Windows Security Health Validator and Enable auto-remediation of client computers đã được tích, sau đó kích Next.


Hình 5

  1. Trong trang Completing NAP Enforcement Policy and RADIUS Client Configuration, kích Finish


Hình 6

  1. Để giao diện điều khiển Network Policy Server mở và thực hiện thủ tục dưới đây.


Hình 7

Cấu hình bộ hợp lệ hóa chính sách sức khỏe (SHV)

Mặc định, Windows SHV được cấu hình có yêu cầu đến tường lửa, sự bảo vệ virus và bảo vệ spyware và việc cập nhật một cách tự động. Với mạng test, chúng ta sẽ bắt đầu bằng cách chỉ yêu cầu Windows Firewall được kích hoạt. Sau đó chúng ta sẽ thực hiện với các chính sách để hiển thị cách các máy có thể được tạo đồng thuận và không đồng thuận như thế nào.
Thực hiện theo các bước dưới đây trên WIN2008SRV1:

  1. Trong panel bên trái của giao diện điều khiển Network Policy Server, bạn hãy mở Network Access Protection, sau đó kích System Health Validators. Trong phần panel giữa của giao diện, dưới Name, kích đúp vào Windows Security Health Validator.


Hình 8

  1. Trong hộp thoại Windows Security Health Validator Properties, kích Configure


Hình 9

  1. Xóa tất cả các hộp kiểm trừ A firewall is enabled for all network connections.


Hình 10

  1. Kích OK để đóng hộp thoại Windows Security Health Validator, sau đó kích tiếp OK để đóng hộp thoại Windows Security Health Validator Properties
  2. Đóng giao diện điều khiển Network Policy Server.

Cấu hình các thiết lập NAP CLIENT trong Group Policy

Các thiết lập NAP client dưới đây sẽ được sử dụng trong Group Policy object (GPO) bằng giao diện điều khiển Group Policy Management trong WIN2008DC:

  • NAP enforcement clients – Mách bảo các máy khách về phương pháp thực thi nào để sử dụng cho NAP. Trong ví dụ chúng tôi đang sử dụng HRA/IPsec enforcement client.
  • NAP Agent service – Đây là dịch vụ phía trình khách để cho phép máy khách biết về NAP
  • Security Center user interface – Cho phép dịch vụ máy khách NAP để cung cấp các thông tin đến người dùng quan tâm đến trạng thái bảo mật hiện hành của máy.

Sau khi các thiết lập này được cấu hình trong GPO, các bộ lọc bảo mật sẽ được bổ sung để thực hiện các thiết lập trên các máy bạn chỉ định. Phần dưới đây sẽ mô tả các bước này một cách chi tiết.
Thực hiện các bước dưới đây trên WIN2008DC để tạo Group Policy Object và các thiết lập GP cho GPO đối với NAP Clients:

  1. Trên WIN2008DC, kích Start, kích Run, đánh gpme.msc sau đó nhấn ENTER
  2. Trong hộp thoại Browse for a Group Policy Object, bên cạnh msfirewall.org, kích vào biểu tượng để tạo một GPO mới, đánh NAP Client GPO để đặt tên cho GPO mới, sau đó kích OK.


Hình 11

  1. Cửa sổ Group Policy Management Editor sẽ mở. Bạn điều hướng đến Computer Configuration/Policies/Windows Settings/Security Settings/System Services.
  2. Trong panel chi tiết, kích đúp vào Network Access Protection Agent.
  3. Trong hộp thoại Network Access Protection Agent Properties, tích vào hộp kiểm Define this policy setting, chọn Automatic sau đó kích OK.


Hình 12

  1. Trong phần panel bên trái của giao diện điều khiển, mở Network Access Protection\NAP Client Configuration\Enforcement Clients.
  2. Trong phần panel chi tiết, kích chuột phải vào IPSec Relying Party, sau đó kích Enable.


Hình 13

  1. Trong phần panel bên trái của giao diện, dưới NAP Client Configuration, mở Health Registration Settings\Trusted Server Groups. Kích phải vào Trusted Server Groups sau đó kích New.


Hình 14

  1. Trong cửa sổ Group Name, đánh HRA Servers sau đó kích Next.


Hình 15

  1. Trong cửa sổ Add Servers, bên dưới Add URLs of the health registration authority that you want the client to trust, đánh https://win2008srv1.msfirewall.org/domainhra/hcsrvext.dll sau đó kích Add. Đây là website sẽ xử lý các yêu cầu thẩm định miền cho các chứng chỉ sức khỏe.


Hình 16

  1. Kích Finish để hoàn thành quá trình thêm các nhóm máy chủ tin cậy HRA.
  2. Trong cây giao diện, kích Trusted Server Groups, sau đó trong panel chi tiết, kích Trusted HRA Servers. Thẩm định rằng bạn đã đánh trong panel chi tiết dưới Properties. URL phải được nhập vào đúng, bằng không máy khách sẽ không thể thu được chứng chỉ sức khỏe và sẽ bị từ chối truy cập vào mạng Ipsec đã được bảo vệ.


Hình 17

  1. Trong panel bên trái của giao diện điều khiển, kích phải vào NAP Client Configuration, sau đó kích Apply.
  2. Trong cây giao diện, điều hướng đến Computer Configuration\Policies\Administrative Templates\Windows Components\Security Center.
  3. Trong panel chi tiết, kích đúp vào Turn on Security Center (Domain PCs only), chọn Enabled, sau đó kích OK.


Hình 18

  1. Trở về nút Network Access Protection\NAP Client Configuration\Enforcement Clients. Kích chuột phải vào Enforcement Clients sau đó kích Refresh. Nếu trạng thái IPsec Relying PartyDisabled, hãy kích chuột phải vào nó lần nữa và kích Enable. Sau đó kích vào nút NAP Client Configuration lần nữa, tiếp đó kích phải vào nó và kích Apply.
  2. Nếu bạn được nhắc nhở áp dụng các thiết lập, hãy kích Yes.

Hạn chế phạm vi của NAP CLIENT Group Policy Object bằng Security Group Filtering

Tiếp đến, cấu hình các bộ lọc bảo mật cho NAP client. Điều này sẽ ngăn không cho các thiết lập NAP client được sử dụng cho các máy chủ trong miền.

  1. Trong WIN2008DC, kích Start, kích Run, đánh gpmc.msc và nhấn ENTER.
  2. Trong cây giao diện quản lý nhóm chính sách, hãy tìm đến phần Forest: msfirewall.org\Domains\msfirewall.org\Group Policy Objects\NAP Client GPO. Trong panel chi tiết, phần Security Filtering , kích Authenticated Users, sau đó kích Remove.


Hình 19

  1. Khi được nhắc nhở để thực hiện đặc quyền được remove, kích OK.
  2. Trong phần panel chi tiết, dưới Security Filtering, kích Add.
  3. Trong hộp thoạ Select User, Computer, or Group, dưới the object name to select (examples), đánh NAP client computers và sau đó kích OK.


Hình 20


Hình 21

  1. Đóng giao diện quản trị Group Policy Management.

Lưu ý rằng, lúc này nhóm bảo mật NAP client hiện không có các thành viên. Do vậy VISATASP1 VISTASP1-2 sẽ được bổ sung vào nhóm bảo mật này sau khi mỗi một máy được join vào miền.
Cấu hình để test VISTASP1 và VISTASP1-2
Lúc này chúng ta sẽ đi cấu hình các thành phần máy khách cho hệ thống. Trong phần này, chúng ta sẽ thực hiện những nhiệm vụ dưới đây:

  • Join VISTASP1vào miền
  • Bổ sung VISTASP1vào nhóm NAP CLIENTS Group
  • Xác nhận NAP Group Policy Settings trên VISTASP1
  • Export Enterprise Root CA Certificate từ VISTASP1
  • Imporrt Root CA Certificate vào VISTASP1
  • Cấu hình các thiết lập Configure NAP Client Settings trên VISTASP1-2
  • Đánh dấu NAP Agent trên VISTASP1-2
  • Cấu hình Windows Firewall with Advanced Security để cho phép VISTASP1 và VISTASP1-2 có thể PING đến nhau .

Join VISTASP1 vào miền

Khi cấu hình VISTASP1, sử dụng các hướng dẫn dưới đây. Khi cấu hình VISTASP1-2, thực hiện thẩm định thủ tục phát hành chứng chỉ sức khỏe trước khi join VISTASP1-2 vào miền msfirewall.org. VISTASP1-2 sẽ không được join vào miền để thẩm định thủ tục phát hành chứng chỉ sức khỏe nhằm minh họa các chứng chỉ sức khỏe khác trên các máy khách trong miền và các môi trường workgroup.

Chúng ta sẽ đi xem xét đến việc miền đã join các máy tính nhận các các chứng chỉ như thế nào khi join VISTASP1 vào miền, sau đó sẽ cấu hình VISTASP1 thành một NAP client và xem các máy tính thành viên không thuộc miền sẽ nhận chính chỉ sức khỏe và sự truy cập mạng như thế nào.

Thực hiện các bước dưới đây tên để join máy tính vào miền:

  1. Kích Start, kích phải vào Computer, sau đó kích Properties.
  2. Trong cửa sổ System, kích liên kết Advanced System Settings.
  3. Trong hộp thoại System Properties, kích tab Computer Name, sau đó kích Change.


Hình 22

  1. Trong hộp thoại Computer Name/Domain Changes, chọn Domain, sau đó đánh msfirewall.org.


Hình 23

  1. Kích More và trong Primary DNS suffix of this computer, đánh msfirewall.org.


Hình 24

  1. Kích OK hai lần.
  2. Khi được nhắc nhở về username và password, đánh tài khoản quản trị miền của bạn, sau đó kích OK.


Hình 25

  1. Khi bạn thấy xuất hiện hộp thoại chào đến với miền msfirewall.org, kích OK.


Hình 26

  1. Khi thấy hộp thoại nhắc nhở bạn khởi động lại máy tính, kích OK.


Hình 27

  1. Trong hộp thoại System Properties, kích Close.
  2. Trong hộp thoại nhắc bạn khởi động lại máy tính, kích Restart Later. Trước khi bạn khởi động lại máy tính, bạn phải bổ sung nó vào nhóm bảo mật các máy tính NAP client.


Hình 28

Đưa VISTASP1 vào NAP CLIENTS Group

Sau khi join vào miền, VISTASP1 phải được bổ sung vào nhóm NAP Clients để nó có thể nhận các thiết lập NAP client từ Group Policy Object đã cấu hình.
Thực hiện các bước dưới đây trên máy WIN2008DC:

  1. Trên máy WIN2008DC, kích Start, trỏ đến Administrative Tools, sau đó kích Active Directory Users and Computers.
  2. Trong phần panel bên trái của giao diện điều khiển, kích msfirewall.org.
  3. Trong phần panel chi tiết, kích đúp vào NAP Clients.
  4. Trong hộp thoại NAP Clients Properties, kích tab Members, sau đó kích Add.
  5. Trong hộp thoại Select Users, Contacts, Computers, or Groups, kích Object Types, chọn hộp kiểm Computers, sau đó kích OK.
  6. Trong phần Enter the object names to select (examples), đánh VISTASP1, sau đó kích OK.


Hình 29

  1. Thẩm định rằng VISTASP1 được hiển thị bên dưới Members, sau đó kích OK.


Hình 30

  1. Đóng giao diện điều khiển Active Directory Users and Computers.
  2. Khởi động lại VISTASP1.
  3. Sau khi VISTASP1 được khởi động lại, hãy đăng nhập với tư cách quản trị viên miền msfirewall.org.

Xác nhận các thiết lập NAP Group Policy trên VISTASP1

Sau khi khởi động lại, VISTASP1 sẽ nhận các thiết lập GP để kích hoạt dịch vụ NAP Agent và IPsec enforcement client. Cửa sổ lệnh sẽ được sử dụng để thẩm định các thiết lập này.

  1. Trên VISTASP1, kích Start, kích Run, đánh cmd, sau đó nhấn ENTER.
  2. Trong cửa sổ lệnh, đánh netsh nap client show grouppolicy và nhấn ENTER.
  3. Trong phần đầu ra của lệnh, phần Enforcement clients, thẩm định rằng trạng thái Admin của IPSec Relying PartyEnabled. Trong phần đầu ra của lệnh, dưới Trusted server group configuration, thẩm định rằng Trusted HRA Servers được hiển thị bên cạnh Group, rằng Enabled cũng được hiển thị bên cạnh Require Https, và rằng Domain HRA Web site URL mà bạn đã cấu hình trong thủ tục trước đó cũng được hiển thị bên cạnh Url.


Hình 31

  1. Trong cửa sổ lệnh, đánh netsh nap client show state và sau đó nhấn ENTER.
  2. Trong phần đầu ra của lệnh, dưới Enforcement client state, thẩm định rằng trạng thái Initialized của IPSec Relying PartyYes.


Hình 32

  1. Đóng cửa sổ lệnh.

Export chứng chỉ Enterprise Root CA từ VISTASP1

Do VISTASP1-2 không được join vào miền và không tin cậy msfirewall.org root CA, nên nó sẽ thất bại đối trong việc tin cậy chứng chỉ SSL trên WIN2008SRV1. Để cho phép VISTASP1-2 truy cập Health Registration Authority bằng SSL, bạn phải sử import một chứng chỉ CA vào mục Trusted Root Certification Authorities trên VISTASP1-2. Điều này có thể thực hiện bằng cách export chứng chỉ từ VISTASP1 và sau đó import nó vào VISTASP1-2.

  1. Trên VISTASP1, kích Start, và nhập vào Run trong hộp văn bản Search sau đó nhấn ENTER.
  2. Trong hộp Run, nhập mmc vào và kích OK.
  3. Trong menu File, kích Add/Remove Snap-in.
  4. Kích Certificates, kích Add, chọn Computer account, kích Next.
  5. Thẩm định rằng Local computer: (the computer this console is running on) đã được chọn, kích Finish sau đó kích OK.
  6. Trong cây giao diện, mở Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates. Trong phần panel chi tiết, kích chuột phải vào, trỏ tới sau đó kích Export.


Hình 33

  1. Trong trang Welcome to the Certificate Export Wizard, kích Next.
  2. Trong trang Export File Format, kích Next.


Hình 34

  1. Trong trang File to Export, đánh đường dẫn và tên cua file chứng chỉ CA trong hộp văn bản File name. Trong ví dụ này, chúng ta sẽ nhập vào c:\cacert. Kích Next.


Hình 35

  1. Kích Finish trên trang Completing the Certificate Export Wizard.
  2. Thẩm định rằng The export was successful được hiển thị, sau đó kích OK.


Hình 36

  1. Copy file chứng chỉ CA vào VISTASP1-2

Import chứng chỉ Root CA vào VISTASP1-2

Lúc này, chúng ta hãy cài đặt chứng chỉ CA trên VISTASP1-2. Sau khi cài đặt xong chứng chỉ, VISTASP1-2 sẽ xác nhận các CA của chúng ta để sử dụng cho Health Registration Authority sau khi cấu hình sử dụng NAP cho máy này.
Thực hiện các bước dưới đây trên VISTASP1-2:

  1. Trên VISTASP1-2, kích Start, sau đó vào Run trong hộp search.
  2. Nhập mmc vào trong hộp thoại Run, sau đó nhấn ENTER.
  3. Trên menu File, kích Add/Remove Snap-in.
  4. Kích Certificates, kích Add, chọn Computer account sau đó kích Next.
  5. Thẩm định rằng Local computer: (the computer this console is running on) đã được chọn, kích Finish và sau đó kích OK.
  6. Trong cây giao diện điều khiển, mở Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates.
  7. Kích chuột phải vào Certificates, trỏ đến All Tasks sau đó kích Import.


Hình 37

  1. Trong trang Welcome to the Certificate Import Wizard kích Next.
  2. Trong trang File to Import, kích Browse.
  3. Duyêt đến vị trí nơi bạn đã lưu chứng chỉ CA gốc từ VISTASP1và mở Open.
  4. Trong trang File to Import, thẩm định vị trí của file chứng chỉ CA gốc đã được hiển thị dưới File name và sau đó kích Next.


Hình 38

  1. Trong trang Certificate Store, chọn Place all certificates in the following store, thẩm định rằng Trusted Root Certification Authorities đã được hiển thị bên dưới Certificate store, sau đó kích Next.


Hình 39

  1. Trong trang Completing the Certificate Import Wizard, kích Finish.
  2. Thẩm định rằng The import was successful đã được hiển thị, sau đó kích OK.


Hình 40

Cấu hình các thiết lập NAP Client trên VISTASP1-2

VISTSP1-2 không được join vào miền nên nó không thể nhận các thiết lập NAP từ Group Policy. Mặc dù vậy chúng ta vẫn có thể cấu hình máy này để có thể nhận các thiết lập NAP bằng cách làm việc với kiến trúc NAP của chúng ta. Sau khi minh chứng rằng chúng ta có thể tạo các máy non-domain làm việc với NAP, chúng tôi sẽ join VISTASP1-2 vào miền để nó có thể nhận các thiết lập NAP của nó từ Group Policy.

  1. Trên VISTASP1-2, kích Start và nhập Run vào hộp search.
  2. Nhập vào napclcfg.msc, sau đó nhấn ENTER.


Hình 41

  1. Trong cây giao diện NAP Client Configuration, mở Health Registration Settings.
  2. Kích chuột phải vào Trusted Server Groups, sau đó kích New.


Hình 42

  1. Trong Group Name, đánh Trusted HRA Servers sau đó kích Next.


Hình 43

  1. Trong Add URLs of the health registration authority that you want the client to trust, đánh https://win2008srv1.msfirewall.org/domainhra/hcsrvext.dll sau đó kích Add. Đây là website sẽ xử lý các yêu cầu miền đã được thẩm định về chứng chỉ sức khỏe. Do đây là máy chủ đầu tiên trong danh sách nên các máy khách sẽ cố gắng đạt được chứng chỉ sức khỏe từ máy chủ tin cậy đầu tiên này.
  2. Trong Add URLs of the health registration authority that you want the client to trust, đánh https://win2008srv1.msfirewall.org/nondomainhra/hcsrvext.dll ,sau đó kích Add. Đây là website sẽ xử lý các yêu cầu nặc danh về chứng chỉ sức khỏe. Do đây là máy chủ thứ hai có trong danh sách nên các máy khách sẽ không tạo các yêu cầu đối với máy chủ này trừ khi máy chủ đầu tiên lỗi trong việc cung cấp chứng chỉ.
  3. Kích Finish để hoàn tất quá trình thêm các nhóm máy chủ tin cậy.


Hình 44

  1. Trong phần panel bên trái của giao diện điều khiển, kích Trusted Server Groups.
  2. Trong phần panel bên phải của giao diện, kích HRA Servers.
  3. Thẩm định rằng URL mà bạn đã đánh trong panel chi tiết dưới Properties. Các URL phải được nhập vào một cách đúng bằng không các máy khách sẽ không thể có được chứng chỉ sức khỏe, khi đó sẽ bị từ chối truy cập vào mạng Ipsec.


Hình 45

  1. Trong cây giao diện điều khiển NAP Client Configuration, kích Enforcement Clients.
  2. Trong phần panel chi tiết, kích chuột phải vào IPSec Relying Party, sau đó kích Enable.


Hình 46

  1. Đóng cửa sổ NAP Client Configuration.


Hình 47

Khởi tạo NAP Agent trên VISTASP1-2

Lúc này chúng ta cần khởi động dịch vụ NAP Client Service trên VISTASP1-2.
Thực hiện theo các bước dưới đây trên VISTASP1-2:

  1. Trên máy VISTASP1-2, kích Start, trỏ đến All Programs, kích Accessories, kích chuột phải vào Command Prompt sau đó kích Run as administrator.
  2. Trong cửa sổ lệnh, đánh net start napagent sau đó nhấn ENTER.
  3. Tại phần đầu ra của lệnh, thẩm định rằng dòng chữ sau được hiển thị The Network Access Protection Agent service was started successfully.


Hình 48

  1. Hãy để cửa sổ lệnh mở để thực hiện thủ tục dưới đây.

Xác nhận các thiết lập chính sách NAP trên VISTASP1-2

VISTASP1-2 sẽ nhận các thiết lập NAP client từ chính sách nội bộ. Chúng ta có thể thẩm định các thiết lập này từ dòng lệnh.

Thực hiện các bước dưới đây trên VISTASP1-2:.

  1. Tại nhắc lệnh, hãy đánh netsh nap client show configuration sau đó nhấn ENTER.
  2. Trong phần đầu ra của lệnh, dưới Enforcement clients, thẩm định rằng trạng thái Admin của IPSec Relying PartyEnabled. Trong phần Trusted server group configuration, thẩm định rằng Trusted HRA Servers được hiển thị bên cạnh GroupEnabled được hiển thị bên cạnh Require Https và rằng DomainHRA và NonDomainHRA Web site URL mà bạn đã cấu hình trong thủ tục trước đó được hiển thị bên cạnh URL.


Hình 49

  1. Trong cửa sổ lệnh, đánh netsh nap client show state, sau đó nhấn ENTER. Trong đầu ra lệnh, dưới phần Enforcement client state, hãy thẩm định rằng trạng thái Initialized của IPSec Relying PartyYes.


Hình 50

  1. Đóng nhắc lệnh

Cấu hình Windows Firewall với Advanced Security để cho phép Ping giữa VISTASP1 và VISTASP1-2

Ping sẽ được sử dụng để thẩm định kết nối mạng của VISTASP1VISTASP1-2. Để kích hoạt VISTASP1VISTASP1-2 nhằm đáp trả lệnh ping, một rule miễn sử dụng cho ICMPv4 phải được cấu hình trong Windows Firewall.

Thực hiện theo các bước dưới đây trên VISTASP1VISTASP1-2 để các máy này có thể ping cho nhau thông qua Windows Firewall với Advanced Security:

  1. Kích Start, nhập Run vào hộp thoại search và nhấn ENTER. Đánh wf.msc trong hộp văn bản Run, sau đó nhấn ENTER.
  2. Trong phần panel bên trái của giao diện điều khiển, kích chuột phải vào Inbound Rules sau đó kích New Rule.


Hình 51

  1. Chọn Custom sau đó kích Next.


Hình 52

  1. Chọn All programs sau đó kích Next.


Hình 53

  1. Cạnh Protocol type, hãy chọn ICMPv4sau đó kích Customize.


Hình 54

  1. Chọn Specific ICMP types, tích vào hộp kiểm Echo Request, kích OK, sau đó kích Next


Hình 55

  1. Kích Next để chấp nhận phạm vi mặc định.


Hình 56

  1. Trong trang Action, hãy thẩm định rằng tùy chọn Allow the connection đã được chọn, sau đó kích Next


Hình 57

  1. Kích Next để chấp nhận chính sách mặc định.
  2. Trong cửa sổ Name, dưới phần Name, bạn hãy đánh Allow Ping Inbound sau đó kích Finish


Hình 58

  1. Đóng Windows Firewall với giao diện điều khiển Advanced Security

Phần tiếp theo chúng ta sẽ đi kiểm tra để xác nhận rằng VISTASP1 và VISTASP1-2 có thể ping được nhau.

Kết luận

Trong phần ba này chúng ta đã cấu hình chính sách NAP IPsec, sau đó đã cấu hình các máy khách để kiểm thử. Trong phần tiếp theo của loạt bài này, chúng ta sẽ đi kiểm tra các máy khách và xem cách các chứng chỉ bảo mật được gán và được remove tự động như thế nào cùng với đó là cách các máy khách được kết nối và được hủy kết nối với mạng ra sao.

Thứ Tư, 03/12/2008 14:39
31 👨 1.579
0 Bình luận
Sắp xếp theo