Trao đổi với tôi

www.hdphim.info

11/27/09

[MCSA] Part 41 – Upgrade Server 2008 – Network Access Protection (NAP) DHCP

Như các bạn đã biết DHCP Server là một dịch vụ cấp phát IP tự động cho các máy tham gia vào hệ thống mạng.

Như vậy với bất kỳ yêu cầu cấp phát IP nào từ Client, DHCP Server đều đáp ứng đầy đủ các yêu cầu này.

Vấn đề phát sinh là nếu một máy Client nào đó trong hệ thống mạng được cấp IP hoàn chỉnh và có thể truy cập Internet rất tốt và giả sử khi đó máy Client này không được cài đặt các chương trình Anti Virus hoặc người dùng không có ý thức về bảo mật làm cho máy này vô tình bị nhiễm Virus từ Internet

Như vậy vô tình cả hệ thống chúng ta bị lây nhiễm Virus do máy Client này phát tán một cách vô ý. Vì vậy do nhu cầu thực tế hệ thống mạng đòi hỏi phải có một cơ chế chặt chẽ hơn đó chính là dịch vụ Network Access Protection (NAP).

Thực tế NAP ứng dụng rất nhiều lĩnh vực tuy nhiên trong bài chúng ta sẽ khảo sát NAP cho DHCP để DHCP Server cấp phát IP cho các Client một cách tự động nhưng với một tiêu chuẩn nào đó, nghĩa là các máy Client nếu thỏa đầy đủ các tiêu chuẩn mà DHCP Server đặt ra thì mới được cấp IP ngược lại sẽ được cấp IP nhưng không được cấp Default Gateway

Như vậy với các máy Client không thỏa các tiêu chuẩn mà DHCP Server đặt ra sẽ được phép truy cập trong mạng nội bộ mà thôi và không thể ra Internet được nhằm giảm đến mức tối đa khả năng lây nhiễm Virus từ Internet.

Như vậy trong mô hình này tôi sử dụng 2 máy trong đó

- Máy PC01 là máy đã lên DC có domain là gccom.net và sẽ cài đặt thêm dịch vụ NAP

- Máy PC02 máy Client

Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02

Card Lan

IP Address

Subnet Mask

Default gateway

Preferred DNS


Card Cross IP Address 172.16.1.1

Obtain

Subnet Mask 255.255.255.0
Default gateway
Preferred DNS
Card Cross: nối trực tiếp các cặp máy PC01 với PC02

Giả sử tôi đã có một DHCP Server rồi và DHCP Server này sẽ cấp phát IP tự động cho các máy trong mạng 172.16.1.0/24. Bây giờ tôi sẽ tiến hành cài NAP lên DHCP Server

Tại Server Manager bạn chọn Roles -> Add Roles

Trong màn hình Select Server Roles bạn chọn Network Policy and Access Services để cài đặt dịch vụ NAP

2009-01-14_145734_GF

Trong cửa sổ Select Role Services bạn click chọn Network Policy Server

2009-01-14_145755_GF

Màn hình sau khi cài đặt hoàn tất

2009-01-14_145945_GF

Tiếp tục bạn vào Start -> Programs -> Administrative Tools -> Network Policy Server (NPS)

2009-01-14_150012_GF

Trước tiên ta phải định nghĩa cho NPS một tiêu chuẩn về sức khỏe của hệ thống. Với định nghĩa này nếu các Client thỏa mọi điều kiện thì được xem là đạt chuẩn ngược lại được xem là không đạt

Tại Network Access Protection chọn System Health Validators, nhấp phải vào Windows Sercurity Health Validators chọn Properties

2009-01-14_150153_GF

Tiếp tục nhấp chọn Configure

2009-01-14_150213_GF

Trong bài giả sử tôi định nghĩa các máy Client nào có Firewall đã được bật thì xem như đạt chuẩn nên trong cửa sổ Windows Sercurity Health Validator tôi chọn A firewall is enable for all network connections

2009-01-14_150239_GF

Sau khi tạo một định nghĩa về chuẩn mực ta tiếp tục tạo các Policy để kiểm tra tình trạng sức khỏe cho các Client. Tại Policies chọn Health Policies nhấp phải vào Health Policies chọn New

2009-01-14_150307_GF

Trước tiên tôi tạo một Policy đặt tên là Full Access với qui định là bất cứ máy Client nào đạt đủ chuẩn về sức khỏe do Windows Sercirity Health Validator đặt ra sẽ được DHCP Server cấp phát IP hoàn chỉnh nên tại mục Client SHV checks tôi chọn là Clients passes all SHV checks

2009-01-14_150408_GF

Tiếp theo tôi tạo một Policy đặt tên là Limit Access với qui định là bất cứ máy Client nào không đạt chuẩn về sức khỏe do Windows Sercurity Health Validator đặt ra sẽ được DHCP Server cấp phát IP nhưng không có Default Gateway nên tại mục Client SHV checks tôi chọn là Clients fails one or more SHV checks

2009-01-14_150547_GF

Màn hình sau khi hoàn tất

2009-01-14_150607_GF

Bây giờ ta tạo tiếp các Network Policies để làm đường dẫn cho các Health Policies thực thi khi thỏa hoặc không thỏa các tiêu chuẩn mà Windows Sercurity Health Validator đã đặt ra

Tại Policies chọn Network Policies, mặc định trong này Windows đã tạo 2 Policy tuy nhiên tôi sẽ không sử dụng chúng vì vậy tôi phải tiến hành Disable chúng đi

2009-01-14_150627_GF

Tiếp tục nhấp phải vào Network Policies chọn New

2009-01-14_150656_GF

Đặt tên cho Policy thứ 1 là Full Access Policy nhằm làm đường dẫn cho Health Policy Full Access

2009-01-14_150844_GF

Tại cửa sổ Specify Conditions nhấp Add

2009-01-14_150930_GF

Chọn Health Policies

2009-01-14_150956_GF

Trong cửa sổ Health policies bạn chọn Health PolicyFull Access

2009-01-14_151017_GF

Màn hình sau khi chọn hoàn tất

2009-01-14_151043_GF

Trong màn hình Specify Access Permission bạn chọn Access granted

2009-01-14_151146_GF

Tại cửa sổ Configure Authentication Methods bạn chọn Perform machine health check only

2009-01-14_151209_GF

Giữ nguyên giá trị mặc định trong Configure Constraints

2009-01-14_151224_GF

Tiếp theo trong màn hình Configure Settings bạn chọn NAP Enforcement

Trong cửa sổ bên phải bạn chọn Allow full network access để đồng ý gán quyền không giới hạn cho Health PolicyFull Access

2009-01-14_151254_GF

Tương tự bạn tạo một Network là Limit Access Policy nhằm gán quyền nhưng có giới hạn cho Health Policy Limit Access

2009-01-14_151328_GF

Trong màn hình Specify Access Permission bạn chọn Access granted

2009-01-14_151430_GF

Tại cửa sổ Configure Authentication Methods bạn chọn Perform machine health check only

2009-01-14_151446_GF

Tiếp theo trong màn hình Configure Settings bạn chọn NAP Enforcement

Trong cửa sổ bên phải bạn chọn Allow limited access để đồng ý gán quyền có giới hạn cho Health Policy Limit Access

2009-01-14_151524_GF

Màn hình sau khi tạo 2 Network Policy hoàn tất

2009-01-14_211911_GF

Đến đây ta đã hoàn tất việc cấu hình NAP trên DHCP Server

Tuy nhiên mặc định tại DHCP Server sẽ không hiểu được các qui định này. Nên tại DHCP bạn chọn Scope tiếp tục nhấp phải vào Scope chọn Properties

2009-01-14_212004_GF

Tiếp tục chọn Tab Network Access Protection (NAP) và chọn Enable for this scope

2009-01-14_212116_GF

Tiếp tục nhấp phải vào Scope Options chọn Configure Options

2009-02-02_174857_GF

Chọn Tab Advanced chọn Default Network Access Protection Class trong User Class

Trong Available Options chọn 015 DNS Domain Name nhập giá trị là None

2009-02-02_174942_GF

Màn hình sau khi hoàn tất

2009-02-02_175002_GF

Như vậy đến đây các máy Client nếu thỏa đủ điều kiện Windows Sercurity Health Validator thì được DHCP Server cấp IP một cách hoàn chỉnh nhờ dựa vào Network PolicyFull Access Policy được qui định bởi Health Policy Full Access

Các máy Client không thỏa đủ điều kiện Windows Sercurity Health Validator thì được DHCP Server cấp IP nhưng không cấp Default Gateway nhờ dựa vào Network PolicyLimit Access Policy được qui định bởi Health PolicyLimit Access

Bây giờ ta tiếp tục cấu hình NAP cho các máy Client

Tại máy PC02 bạn vào Run nhập lệnh napclcfg.msc

2009-01-14_215828_GF

Trong màn hình NAP Client Configuration bạn Enable thuộc tính DHCP Quarantine Enforcement Client lên

2009-01-14_215829_GF

Vào tiếp Services chọn Network Access Protection Agent và chuyển sang chế động Automatic đồng thời Start dịch vụ này lên

2009-01-14_215830_GF

Bây giờ ta sẽ tiến hành kiểm tra bằng cách tắt tính năng Firewall của máy Client đi

2009-01-14_215827_GF

Bật DOS Command lên sẽ thấy máy Client nhận được IP từ DHCP Server tuy nhiên do không bật tính năng Firewall (không thỏa đủ điều kiện do Windows Sercurity Health Validator đặt ra) nên máy Client này không nhận được Default Gateway

Như vậy máy Client này chỉ có thể truy cập được torng mạng LAN mà thôi, không thể truy cập Internet được

2009-02-02_175934_GF

Màn hình thông báo quyền của Client bị hạn chế

2009-01-14_220036_GF

Bây giờ tôi bật tính năng Firewall của máy Client lên

2009-01-14_220335_GF

Vào lại DOS Command sẽ thấy máy nhận IP một cách hoàn chỉnh

2009-02-02_180021_GF

OK mình vừa trình bày xong phần Network Access Protection (NAP) DHCP trong 70-648, 70-649 của MCSA.