Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 3

Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 1
Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 2

Thomas Shinder

Quản trị mạng - Trong phần 2 của loạt bài này, chúng tôi đã giới thiệu cho các bạn về wizard cấu hình của NAP trong giao diện điều khiển NPS. Wizard cấu hình NAP đã tạo một số chính sách, cụ thể trong đó bao gồm các chính sách yêu cầu kết nối, chính sách sức khỏe và chính sách mạng. Trong phần 3 này, chúng tôi sẽ giới thiệu cho các bạn sâu hơn nữa về các chính sách này và xem chúng thực hiện những gì trong giải pháp thực thi DHCP.

Chính sách yêu cầu kết nối

Chính sách yêu cầu kết nối cho phép bạn chỉ định xem các yêu cầu kết nối được xử lý nội bộ hay được chuyển tiếp đến các máy chủ RADIUS từ xa. Trong hình bên dưới, bạn có thể thấy wizard đã tạo một chính sách yêu cầu kết nối NAP DHCP có các điều kiện và các thiết lập cụ thể. Như những gì bạn thấy trong hình bên dưới, một điều kiện được áp dụng cho chính sách này thì cũng được áp dụng cho các ngày trong tuần, và chỉ có phần Setting có giá trị Authentication provider là Local Computer (máy tính đang chạy dịch vụ NPS).

Hãy kích đúp vào chính sách này và xem hiện ra những gì.


Hình 1

Trên tab Overview, bạn có thể thấy chính sách đã được kích hoạt và phương thức kết nối mạng là DHCP. Điều này có nghĩa là rằng máy chủ DHCP là máy chủ truy cập mạng cho mạng này và máy chủ truy cập mạng DHCP truyền thông với máy chủ RADIUS (NPS) để xác định xem có hay không cho phép truy cập mạng, kiểu truy cập gì được phép đối với mạng dựa tên trạng thái sức khỏe máy khách.


Hình 2

Trên tab Conditions, bạn có thể thấy các điều kiện đã được xuất hiện trong giao diện điều khiển NPS trước đó. Chỉ có các điều kiện được áp dụng cho rule này mới được áp dụng cho tất cả các giờ trong tuần.


Hình 3

Trong trang Settings, kích vào liên kết Authentication trong phần panel bên trái của trang. Ở đây bạn có thể thấy các thiết lập thẩm định đã được thiết lập là Authenticate requests on this server. Máy chủ RADIUS (NPS) này là máy chủ thực hiện sự thẩm định quyền. Trong một số trường hợp, bạn sẽ muốn để máy chủ DHPC trên một máy tính tách biệt hoàn toàn với máy chủ NPS đang thực hiện thẩm định. Trong trường hợp đó, bạn vẫn cần cài đặt NPS trên máy chủ DHCP, nhưng sau đó bạn cấu hình máy chủ NPS để chuyển tiếp các yêu cầu thẩm định sang máy chủ RADIUS (NPS) từ xa bằng cách sử dụng Forward requests to the following remote RADIUS server group for authentication như thể hiện trong hình bên dưới.
Kích OK trong hộp thoại NAP DHCP Properties.


Hình 4

Như những gì bạn thấy, chính sách yêu cầu kết nối sẽ thiết lập các điều kiện và các thiết lập thẩm định cho toàn bộ chính sách NAP. Lúc này chúng ta hãy xem xét sâu hơn vào các chính sách mạng NAP.

Các chính sách mạng

Các chính sách mạng NAP cho phép bạn chỉ rõ ai được thẩm định để kết nối vào mạng và trong hoàn cảnh nào họ có thể hoặc không thể kết nối. Bạn có thể thấy được wizard của NAP đã tạo 3 chính sách mạng cho toàn bộ chính sách NAP của chúng ta:

  • NAP DHCP Compliant Rule này áp dụng cho các máy tính đồng thuận NAP

  • NAP DHCP Noncompliant Rule này áp dụng cho các máy tính không đồng thuận NAP

  • NAT DHCP Non NAP-Capable Rule này áp dụng cho các máy tính không thể xử lý các chính sách NAP.

Trong ba hình bên dưới, bạn có thể thấy ConditionsSettings cho mỗi rule này. Sự khác nhau chính giữa ba rule này là mức truy cập mà mỗi rule cung cấp cho các máy khách. Với sự đồng thuận hoàn toàn, mức truy cập toàn diện sẽ được cung cấp. Với sự không đồng thuận hoặc không thể sử dụng các máy NAP thì các máy này sẽ bị hạn chế truy cập mạng ở một mức độ nhất định.


Hình 5


Hình 6


Hình 7

Kích đúp vào một trong các rule và xem bên trong các rule còn những chi tiết gì. Khi bạn kích đúp vào rule NAP DHCP Noncompliant Properties, tab đầu tiên mà bạn nhìn thấy sẽ là tab Overview. Ở đây chúng ta có thể thấy được chính sách đã được kích hoạt, Access Permission được thiết lập là Grant access và các thuộc tính dial-in của người dùng được bỏ qua (vì các máy khách DHCP không truy cập vào mạng băng phương thức quay số). Cuối cùng, bạn sẽ thấy Network connection method được thiết lập là DHCP server.


Hình 8

Trong tab Conditions, bạn sẽ thấy NAP DHCP Noncompliant Health Policy được áp dụng khi NAP DHCP Noncompliant Properties Network Rule được áp dụng. Chúng ta sẽ xem xét sâu về các chính sách sức khỏe này.


Hình 9

Trong trang Constraints, wizard đã cấu hình những ràng buộc chính sách sức khỏe. Ở đây chỉ có một ràng buộc là một điều kiện sức khỏe cần được áp dụng và được kiểm tra còn không có các yêu cầu thẩm định nào khác.


Hình 10

Kích tab Settings, sau đó kích vào liên kết NAP Enforcement trong panel bên trái của hộp thoại. Trong phần panel bên phải bạn sẽ thấy wizard đã cấu hình mức truy cập được phép cho Network Policy này. Trong trường hợp này, wizard đã cấu hình chính sách là Allow limited access. Sự truy cập hạn chế được đặt ra như chỉ cho các địa chỉ IP, các ID mạng và các máy chủ yêu cầu các dịch vụ mạng cơ bản và cho phép điều đình lại. Bạn có thể thêm nhiều những thứ như thế này bằng cách kích vào nút Configure trong khung Remediation Server Group and Troubleshooting URL.

Nếu bạn kích nút Configure, khi đó bạn sẽ thấy nhóm Network Services đã tạo xuất hiện với tư cách là nhóm máy chủ điều đình lại để áp dụng cho chính sách mạng này.

Lưu ý rằng, dựa trên những phần chọn trong wizard, Network Policy cũng được cấu hình để cho phép tự động điều đình lại khi hộp kiểm Enable auto-remediation of client computers được đánh dấu.


Hình 11

Chính sách sức khỏe

Các chính sách sức khỏe được sử dụng với NAP để cho phép bạn chỉ rõ cấu hình yêu cầu cho các máy khách đồng thuận NAP truy cập mạng. Về mặt thực chất, các chính sách sức khỏe được sử dụng để xác định xem máy tính có hội tụ đủ các yếu tố cần thiết của một máy tính đồng thuận hay không. Như những gì có thể thấy trong hình bên dưới, wizard đã tạo ra hai chính sách sức khỏe.

  • NAP DHCP Compliant (Đồng thuận)
  • NAP DHCP Noncompliant (không đồng thuận)

Mục đích của mỗi chính sách này rất rõ ràng. Chính sách đồng thuận định nghĩa các máy tính đồng thuận với các chính sách sức khỏe của mạng còn chính sách kia định nghĩa các máy không đồng thuận.

Kích đúp vào entry NAP DHCP Noncompliant để xuất hiện hộp thoại NAP DHCP Noncompliant Properties.


Hình 12

Khi bạn kích vào nút Network Access Protection bên panel trái của giao diện điều khiển Network Policy Server, khi đó bạn sẽ thấy xuất hiện hai nút khác: System Health ValidatorRemediation Server Group. Hãy kích nút System Health Validator.

Ở đây bạn có thể thấy trong phần panel bên phải của giao diện điều khiển là một danh sách System Health Validators được áp dụng nhằm định rõ Health Policy như chúng ta đã thấy. Mặc định, chỉ có một SHV là Windows Security Health Validator. Khi kích SHV này bạn sẽ thấy trong phần panel bên dưới trong SHV một danh sách các cấu hình mã lỗi. Wizard đã thiết lập cho mỗi một trong số các mã lỗi này để máy khách tưởng rằng không đồng thuận.

Hãy xem xét chi tiết hơn bằng cách kích đúp vào entry Windows Security Health Validator.


Hình 13

Khi kích đúp vào đó, bạn sẽ thấy xuất hiện hộp thoại Windows Security Health Validator Properties. Ở đây bạn có thể thấy các thiết lập Error code resolution. Các thiết lập này được sử dụng để chỉ định cách quản lý các tình huống nơi mã lỗi xuất hiện trong quá trình thực thi NAP. Các mặc định được cấu hình bởi wizard hầu như an toàn hơn cả và chúng tôi cũng khuyên các bạn nên giữ chúng.

Kích nút Configure để cấu hình các thiết lập cho SHV này.


Hình 14

Khi kích nút đó, hộp thoại Windows Security Health Validator sẽ xuất hiện, hộp thoại này có hai tab: một là tab Windows Vista và tab Windows XP. Trong ví dụ này chúng tôi chỉ tập trung vào tab Windows Vista vì đó là máy khách mà chúng tôi sẽ test khi hoàn tất cấu hình.
Windows Security Health Validator cho phép bạn cấu hình những thành phần dưới đây:

  • Firewall: Bạn có thể kích hoạt tường lửa trên máy khách Vista để đồng thuận với chính sách sức khỏe chung.

  • Virus Protection: Có thể thi hành sự bảo vệ virus để đồng thuận. Thêm vào đó, có thể yêu cầu cập nhật sự bảo vệ virus cho sự đồng thuận.

  • Spyware Protection: Có thể sử dụng ứng dụng antispyware, thêm vào đó là cập nhật ứng dụng.

  • Automatic Updating: Khi việc cập nhật tự động được thiết lập, NAP agent trên máy khách sẽ giải quyết mọi vấn đề. Cho ví dụ, nếu một người dùng nào đó vô hiệu hóa Windows Firewall, thì NAP agent trên máy khác sẽ cố gắng kích hoạt tường lửa trở lại.

  • Security Update Protection: Khi tùy chọn này được thiết lập, bạn có thể hạn chế các máy khách truy cập vào mạng dựa trên trạng thái hiện hành của chúng đối với các nâng cấp bảo mật. Bạn cũng có thể sử dụng dang sách drop down như trong hình bên dưới để thiết lập kiểu nâng cấp bảo mật gì được yêu cầu. Cũng có thể thiết lập số giờ tối thiểu được cho phép khi máy khách đã kiểm tra các nâng cấp bảo mật mới và xem xem có muốn cho phép các máy khách sử dụng Windows Server Update Servers hoặc Windows Update hay không (Microsoft Update được cho phép một cách mặc định).


Hình 15

Hình bên dưới thể hiện các thiết lập SHV cho Windows Security Health Validator đối với máy khách Windows XP. Lưu ý rằng các tùy chọn chống malware không có ở đây.


Hình 16

Kết luận

Trong phần ba này, chúng tôi đã giới thiệu các thông tin chi tiết của các chính sách Health, Network và Connection Request được tạo bởi NAP wizard. Bên cạnh đó còn giới thiệu cả Windows Security Health Validator. Trong phần tiếp theo chúng tôi sẽ kiểm tra cài đặt DHCP server, sau đó test các chính sách NAP.

Thứ Hai, 15/09/2008 09:46
31 👨 1.439
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp