Windows Server 2008 - Network Access Protection NETWORK ACCESS PROTECTION
(NAP-DHCP)
Bài Lab được cung cấp bởi MCT Trần Thủy Hoàng
I. Mục đích
Cấu hình Network Access Protection (NAP) để đưa ra các điều kiện bảo mật trong hệ thống DHCP
Bài lab bao gồm các bước:
1. Cài đặt và cấu hình DHCP server
2. Cài đặt Network Policy and Access Service
3. Cấu hình NAP health policy server
4. Cấu hình NAP enforcement trên DHCP Server
5. Triển khai GPO để cấu hình NAP client
6. Cấu hình máy Client nhận IP từ DHCP
7. Cấu hình System Health validator
8. Máy Client kiểm tra kết quả
II. Chuẩn bị
Bài lab bao gồm 2 máy:
- Máy Server: Windows Server 2008 đã nâng cấp Domain Controller
- Máy Client: Windows Vista đã join vào domain
III. Thực hiện 1. Cài đặt và cấu hình DHCP server
- Tại máy Server, log on Domain Administrator password P@ssword
- Mở Server Manager từ Administrative Tools, right click Roles, chọn Add Roles
- Trong cửa sổ Before You Begin, chọn Next
- Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô DHCP Server, chọn Next
- Trong cửa sổ DHCP Server, chọn Next
- Trong cửa sổ Select Network Connection Bindings, kiểm tra có đánh dấu chọn vào địa chỉ IP hiện thời của máy Server, chọn Next
- Trong cửa sổ Specify IPv4 DNS Server Settings, để nguyên cấu hình mặc định, chọn Next
- Trong cửa sổ Specify IPv4 WINS Server Settings, chọn WINS is not required for applications on this network, chọn Next
- Trong cửa sổ Add or Edit DHCP Scopes, chọn Add
- Trong cửa sổ Add Scope, cấu hình thông số TCP/IP như trong hình, chọn OK
- Trong cửa sổ Add or Edit DHCP Scopes, chọn Next
- Trong cửa sổ Configure DHCPv6 Stateless Mode, chọn Disable DHCP stateless mode for this server, chọn Next
- Trong cửa sổ Authorize DHC Server, giữ cấu hình mặc định, chọn Next
- Trong cửa sổ Confirm Installation Selections, chọn Install
- Trong cửa sổ Installation Results, chọn Close
- Mở DHCP từ Administrative Tools, kiểm tra đã cài đặt và cấu hình thành công DHCP Server
2. Cài đặt Network Policy and Access Service
- Mở Server Manager từ Administrative Tools, right click Roles chọn Add Roles
- Trong cửa sổ Before You Begin, chọn Next
- Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô Network Policy and Access Services, chọn Next
- Trong cửa sổ Network Policy and Access Services, chọn Next
- Trong cửa sổ Select Role Services, đánh dấu chọn vào ô Network Policy Server, chọn Next
- Trong cửa sổ Confirm Installation Selections, chọn Install
- Trong cửa sổ Installation Results, chọn Close
3. Cấu hình NAP health policy server
- Trên máy Server, mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Validators, right click Windows Security Health Validators chọn Properties
- Trong cửa sổ Windows Security Health Validators Properties, chọn Configure…
- Trong cửa sổ Windows Security Health Validators, bỏ tất cả các ô chọn, trừ ô A firewall is enable for all network connections, chọn OK
- Trong cửa sổ Windows Security Health Validators Properties, chọn OK
- Trong cửa sổ Network Access Policy, bung Network Access Protection, right click Remediation Server Groups chọn New
- Trong cửa sổ New Remediation Server Group, nhập Rem1 vào ô Group Name, chọn Add
- Trong cửa sổ Add New Server, nhập IP của máy Server (192.168.1.1) vào ô IP address or DNS name, chọn Resolve, chọn OK
- Trong cửa sổ New Remediation Server Group, kiểm tra đã add được địa chỉ của máy Server vào ô Remediation Server, chọn OK
- Trong cửa sổ Network Policy Server, bung Policies, right click Health Policies chọn New
- Trong cửa sổ Create New Health Policy, nhập Compliant vào ô Policy name, trong ô Client SHV checks chọn Client passes all SHV checks, kiểm tra có đánh dấu chọn ô Windows Security Health Validator, chọn OK
- Trong cửa sổ Network Policy Server, bung Policies, right click Health Policies chọn New
- Trong cửa sổ Create New Health Policy, nhập NonCompliant vào ô Policy name, trong ô Client SHV checks chọn Client fails one or more SHV checks, kiểm tra có đánh dấu chọn ô Windows Security Health Validator, chọn OK
- Kiểm tra đã tạo thành công 2 Health Policies: Complient và NonComplient
- Trong cửa sổ Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô Perform machine health check only, chọn Next
- Trong cửa sổ Configure Constraints, giữ cấu hình mặc định, chọn Next
- Trong cửa sổ Configure Settings, chọn mục NAP Enforcement, chọn Allow limited access, đánh dấu chọn ô Enable auto-remediation of client computers, chọn Next
- Trong cửa sổ Completing New Network Policy, chọn Finish
- Kiểm tra đã tạo thành công 2 Network Policies
4. Cấu hình NAP enforcement trên DHCP Server
- Mở DHCP từ Administrative Tools, bung PCxx.nhatnghe.com, bung IPv4, right click Scope [192.168.1.0] NAP Scope chọn Properties
- Trong cửa sổ NAP Scope Properties, vào tab Network Access Protection, chọn Enable for this scope, chọn Use default Network Access Protection profile, chọn OK
- Trong cửa sổ DHCP, bung PCxx.nhatnghe.com, bung IPv4, bung Scope [192.168.1.0] NAP Scope, right click Scope Options chọn Configure Option…
- Trong cửa sổ Scope Option, vào tab Advanced, trong ô Vendor Class chọn DHCP Standard Option, trong ô User Class chọn Default User Class, đánh dấu chọn 015 DNS Server Name, nhập nhatnghe.com vào ô String value, chọn OK
- Tương tự, right click Scope Option, chọn Configure Option
- Trong cửa sổ Scope Option, vào tab Advanced, trong ô Vendor Class chọn DHCP Standard Option, trong ô User Class chọn Default Network Access Protection Class, đánh dấu chọn 006 DNS Server, nhập 192.168.1.1vào ô IP address, chọn Add
- Đánh dấu chọn 015 DNS Server Name, nhập restricted.nhatnghe.com vào ô String value, chọn OK
5. Triển khai GPO để cấu hình NAP client
- Mở Active Directory Users and Computers từ Administrative Tools, right click nhatnghe.com chọn New, chọn Organizational Unit
- Trong cửa sổ New Object – Organizational Unit, đặt tên cho OU là NAP Clients, chọn OK
- Vào container Computer, move máy computer account của máy Client vào OU NAP Clients
- Kiểm tra computer account của máy Client đã được move vào OU NAP Client
- Mở Group Policy Management từ Administrative Tools, bung Forest:nhatnghe.com, bung Domains, bung nhanghe.com, right click OU NAP Clients, chọn Create a GPO in this domain, and link it here…
- Trong cửa sổ New GPO, nhập NAP Policy vào ô Name, trong ô Source Starter GPO chọn (none), chọn OK
- Bung OU NAP Clients, right click NAP Policy chọn Edit
- Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Administrative Template\Windows Components\Security Center, right click Turn on Security Center (Domain PCs only), chọn Properties
- Trong cửa sổ Turn on Security Center (Domain PCs only) Properties, chọn Enable, chọn OK
- Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Windows Settings\Security Settings\Network Access Protection\NAP Client Configuration\Enforcement Clients, right click DHCP Quarantine Enforcement Client, chọn Enable
- Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Windows Settings\Security Settings\System Services, right click Network Access Protection Agent, chọn Properties
- Trong cửa sổ Network Access Protection Agent Properties, đánh dấu chọn Define this policy setting, chọn Automatic, chọn OK
- Tắt cửa sổ Group Policy Management Editor, trong hộp thoại NAP Client Configuration chọn Yes
6. Cấu hình máy Client nhận IP từ DHCP
- Restart máy Client
- Log on [Chỉ có thành viên mới thấy links này. ] password P@ssword
- Trong Control Panel, mở Windows Firewall, kiểm tra máy Client có bật Windows Firewall
- Trong Control Panel, mở Network and Sharing Center
- Trong cửa sổ Network and Sharing Center, chọn Manage network connections
- Trong cửa sổ Network Connections, right click Local Area Connection chọn Properties
- Trong cửa sổ Local Area Connection Properties, bỏ dấu chọn Internet Protocol Vertion 6 (TCP/IPv6). Chọn Internet Protocol Vertion 4 (TCP/IPv4), chọn Properties
- Trong cửa sổ Internet Protocol Vertion 4 (TCP/IPv4) Properties, chọn Obtain an IP address automatically, chọn Obtain DNS server address automatically, chọn OK
- Mở command line, gõ lệnh ipconfig /all, kiểm tra máy Client đã được DHCP server cung cấp đầy đủ thông số TCP/IP
- Kiểm tra Connection- specific DNS Suffix là nhatnghe.com
- Kiểm tra Quarantine State là Not Restricted
Chú thích: Máy client có bật Windows Firewall nên đủ điều kiện nhận được các thông số TCP/IP (kể cả Default Gateway) từ DHCP server cung cấp
7. Cấu hình System Health validator
- Tại máy Server, logon [Chỉ có thành viên mới thấy links này. ] password P@ssword
- Mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Vatidators, right click Windows Security Health Validator chọn Properties
- Trong cửa sổ Windows Security Health Validator Properties, chọn Configure…
- Trong cửa sổ Windows Security Health Validator, đánh dấu chọn ô An antivirus application is on, chọn OK
- Trong cửa sổ Windows Security Health Validator Properties, chọn OK
8. Máy Client kiểm tra kết quả
- Tại máy Client, log on [Chỉ có thành viên mới thấy links này. ] password P@ssword
- Mở Security Center trong Control Panel
- Trong cửa sổ Windows Security Center, kiểm tra mục Virus Protection đang ở tình trạng Not found (Máy Client không có cài chương trình Antivirus)
- Mở command line gõ lần lượt các lệnh:
ipconfig /release
ipconfig /renew
ipconfig /all
- Kiểm tra máy Client không đuợc cấp Default Gateway
- Kiểm tra Connection- specific DNS Suffix là restricted.nhatnghe.com
- Kiểm tra Quarantine State là Restricted
Chú thích: Máy client không có cài chương trình Antivirus nên không được DHCP server cung cấp Default Gateway
06/04/2010, 03:17 PM
Bài viết cùng chủ đề:
Linear Mode
