Giới thiệu bổ sung về Network Access Protection - Phần 6



Brien M. Pose
y
Quản trị mạng - Trong phần này chúng tôi sẽ giới thiệu hoàn tất cho
các bạn quá trình cấu hình và minh chứng chức năng hoạt động của
Network Access Protection.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn
cách thiết lập một nhóm bảo mật để có thể sử dụng nhằm mục đích
chỉ ra các máy tính nào sẽ được hoạt động bằng cách sử dụng Network

Access Protection. Trong phần này, chúng tôi sẽ kết thúc loạt bài này
bằng cách giới thiệu cho các bạn cách nhập một máy tính vào một
nhóm bạn đã tạo từ trước và sẽ thực hiện một số bài test để bảo đảm
rằng thực thi bảo vệ truy cập từ xa sẽ được kích hoạt. Cuối cùng,
chúng tôi sẽ giới thiệu cách kết nối đến VPN từ xa của bạn.
Bổ sung thêm các máy tính vào nhóm
Nhiệm vụ tiế
p theo mà chúng ta phải thực hiện đó là bổ sung thêm các

máy tính khách vào nhóm bảo mật đã tạo trong phần trước của loạt
bài này. Bắt đầu quá trình bằng việc mở giao diện điều khiển “Active
Directory Users and Computers”, sau đó bạn hãy chọn mục có chứa
tên miền của mình. Lý do tại sao chúng ta cần phải chọn mục này là vì
chúng ta đã tạo nhóm bảo mật ở mức miền, đúng hơn là đã đặt nó
nằm trong mục Users.
Khi bạn chọn mục mức miền, b
ạn sẽ thấy nhóm NAP Clients được hiển

thị trong panel chi tiết. Kích đúp vào nhóm này, khi đó Windows sẽ mở

trang thuộc tính của nhóm. Hãy vào tab Members của trang thuộc tính
và kích nút Add. Lúc này, nhập tên của máy tính khách vào phần
không gian trống được cấp. Tiếp đến, kích nút Locations và chọn mục
Computers và kích OK. Khi Windows trả về cho bạn màn hình Select
Users, Contacts, Computers hoặc Groups, khi đó hãy kích nút Check
Names để thẩm định rằng Windows có thể tìm thấy máy tính khách
của bạn thành công. Kích OK hai lần để hoàn tất quá trình.
Kiểm tra các thiết lập về Group Policy
Bạn đã thêm một máy khách vào nhóm bảo mật đã được tạo từ trước,
đây chính là lúc bạ
n cần phải test máy tính khách để bảo đảm rằng các

thiết lập chính sách nhóm có liên quan đến NAP có hiệu lực. Trước khi
thực hiện điều đó, bạn hãy khởi động lại máy tính, sau đó đăng nhập
với đặc quyền quản trị viên.
Khi bạn đăng nhập xong, hãy mở cửa sổ nhắc lệnh và nhập vào lệnh
sau:
NETSH NAP CLIENT SHOW GROUPPOLICY
Sau khi nhập xong lệnh này, bạn sẽ thấy một loạt các kết quả giống
như các kết quả
được thể hiện trong hình A bên dưới.

Hình A: Nhập vào lệnh NETSH NAP CLIENT SHOW GROUPPOLICY tại
cửa sổ nhắc lệnh
Như những gì bạn có thể thấy trong hình A ở trên, có một vài kiểu máy

khách thực thi khác nhau được xây dựng kèm với Windows. Điều này
là vì có một vài cách để có thể triển khai NAP. Chúng ta đang sử dụng

NAP để điều khiển sự truy cập đối với máy khách VPN nên chỉ có máy
khách thực thi mà chúng ta quan tâm mới là Remote Access
Quarantine Enforcement Client. Quan sát bên dưới phần Remote
Access Quarantine Enforcement Client và bảo đảm rằng dòng Admin
được thiết lập là Enabled như thể hiện trong hình A trên. Các máy
khách thực thi khác sẽ bị vô hiệu hóa trong cấu hình này.
Với test tiếp theo, bạn hãy nhập vào lệnh sau:
NETSH NAP CLIENT SHOW STATE
Như những gì các bạn thấy trong hình B bên dưới, đầu ra của lệnh này
là khá dài. Bạn hãy kéo thanh cuộn và tìm đến phần Remote Access
Quarantine Enforcement Client. Thẩm định rằng Remote Access
Quarantine Enforcement Client đã được khởi tạo.

Hình B: Thẩm định rằng Remote Access Quarantine Enforcement Client

đã được khởi tạo
Nếu cả hai test này đều thành công thì các thiết lập chính sách nhóm
có liên quan đến NAP đang được áp dụng một cách thành công đối với
máy khách. Nếu bạn nằm trong trường hợp này, hãy đóng cửa sổ nhắc

lệnh bằng không bạn cần phải quay trở lại và kiểm tra cấu hình của
mình.
Tạo một kết nối VPN
Bước cuối cùng trong quá trình cấu hình có liên quan đến việc thiết lập
kết nối VPN đến Remote Access Server. Quá trình thực hiện điều đó
khá đơn giản. Trong Windows Vista, mở Control Panel, kích đúp vào
biểu tượng Network and Sharing Center. Khi cửa sổ Network and
Sharing Center được mở, kích vào liên kết Setup a Connection or
Network trong panel Tasks. Ở đây, bạn sẽ thấy mộ
t màn hình tương tự


như màn hình thể hiện trong hình C, hỏi bạn về kiểu kết nối mà bạn
muốn tạo là gì.

Hình C: Chọn tùy chọn “Connect to Workplace”, tiếp đó kích Next
Chọn tùy chọn Connect to a Workplace, kích Next. Nếu có các kết nối
mạng hiện hữu sẵn, Windows sẽ hỏi bạn có muốn tạo một kết nối mới
nữa không hay muốn sử dụng kết nối đang tồn tại. Chọn tùy chọn để
tạo kết nối mới, sau đó kích Next.
Màn hình tiếp theo hỏi bạn có muốn sử dụng kết nối Internet hay
không hay muốn tạo một kết nối quay số trực tiếp. Chọn tùy chọn Use
My Internet Connection (VPN). Khi đó bạn sẽ được nhắc nhở nhập vào
địa chỉ Internet và tên đích đến. Nhập
địa chỉ IP của máy chủ RRAS
hoặc URL của nó vào trường địa chỉ Internet, sau đó nhập vào phần
mô tả kết nối trong trường Destination Name. Bạn có thể thấy một ví
dụ về vấn đề này trong hình D. Khi đó bạn hãy chọn hộp kiểm Don’t
Connect Now.

Hình D: Nhập vào địa chỉ IP của máy chủ RRAS và phần mô tả của
máy chủ
mà bạn sẽ kết nối đến
Kích Next, bạn sẽ được
đưa tới màn hình cho bạn tùy chọn để nhập
vào các yêu cầu thẩm định. Khi thực hiện nhập các yêu cầu xong, kích
nút Create, lúc này một kết nối mới sẽ được tạo, kích Close để đóng
hộp thoại còn lại.
Đến đây bạn đã tạo được một kết nối VPN, chúng ta cần phải cấu hình
một số thiết lập bảo mật. Để thực hiện điều đó, hãy kích chuột phải
vào kết nối mà bạn đã tạo, sau đó chọn Properties.

Khi cửa sổ chứa trang thuộc tính của kết nối được mở, bạn hãy vào tab

Security, chọn tùy chọn Advanced. Tiếp đến, kích nút Settings.
Lúc này Windows sẽ hiển thị hộp kiểm Advanced Security Settings như
thể hiện trong hình E bên dưới. Chọn tùy chọn Require Encryption
(Disconnect if Server Declines) từ danh sách sổ xuống Data
Encryption. Tiếp đến, chọn tùy chọn Use Extensible Authentication
Protocol (EAP), sau đó chọn tùy chọn Protected EAP (PEAP)
(Encryption Enabled) từ phần Logon Security.

Hình E: Bạn phải cấu hình kết nối để sử dụng PEAP
Ở đây, bạn phải kích nút Properties. Khi thực hiện thao tác này,
Windows sẽ hiển thị hộp thoạ
i Protected EAP Properties như thể hiện
trong hình F. Bảo đảm rằng các hộp kiểm Validate Server Certificate
và Connect to these Servers đều được chọn. Bạn cũng cần bảo đảm
rằng hộp văn bản bên dưới tùy chọn Connect to These Servers có chứa

đúng danh cách các máy chủ.

Hình F: Phương pháp thẩm định phải được thiết lập là (EAP-MSCHAP
V2)
Phần ở giữa của hộp thoại gồm có danh sách các quyền chứng chỉ
khác. Với mục đích đơn giản hóa, chúng tôi đã chọn các hộp kiểm bên
cạnh mỗi quyền chứng chỉ được liệt kê. Ở phần bên dưới của hộp
thoại, bạn nên thiết lập tùy chọn Select Authentication Method là
Secure Password (EAP-MSCHAP v2) và tích vào hộp kiểm Enable
Quarantine Checks.
Bướ
c tiếp theo trong quá trình này là kích vào nút Configure, sau đó

chọn hộp kiểm Automatically Use My Windows Logon Name and
Password (and Domain if Any). Kích OK bốn lần để đóng các hộp thoại
khác.
Kiểm tra NAP
Đến đây, chúng ta hoàn toàn sẵn sàng cho việc test NAP. Như những
gì đã được giới thiệu trong các phần trước, bạn có thể yêu cầu máy
khách có đủ số lượng các tiêu chuẩn về sức khỏe, tuy nhiên với mục
đích minh chứng, chúng tôi chỉ yêu cầu một vấn đề ở đây đó là tường
lửa Windows được bật trên máy khách. Trong trường hợp này, bạn hãy

mở Windows Security Center trên máy khách và tắt bỏ tường lửa
Windows Firewall. Khi thực hiện xong thao tác này, bạn nên để lại cửa
sổ màn hình Windows Security Center, như thể hiện trong hình G bên
dưới, mục đích như vậy là để bạn có thể thẩm định trạng thái của
Windows Firewall.

Hình G: Bảo đảm rằng tường lửa Windows đã được tắt
Lúc này, mở Control Panel và kích đúp vào biểu tượng Network and
Sharing Center. Khi mục Network and Sharing Center được mở, hãy
kích vào liên kết Connect to a Network, kích kết nố
i VPN mà bạn đã
tạo từ trước, sau đó kích nút Connect. Khi được nhắc nhở, bạn hãy
nhập các yêu cầu thẩm định và kích nút Connect. Khi Windows đăng
ký máy tính của bạn trên mạng, Windows Firewall sẽ tự động được bật
lên, xem thể hiện trong hình H.

Hình H: NAP sẽ kích hoạt tự động Windows Firewall khi kết nối VPN
được thiết lập
Kết luận
Như những gì các bạn đã thấy trong phần 9 này, việc cấu h

ì
nh Remote
Access Server để sử dụng Network Access Protection là một quá trình
khá phức tạp. Mặc dù vậy, nó thực sự xứng đáng với những cố gắng
của bạn, vì việc cấu hình này có thể giúp bạn bảo đảm an ninh cho
mạng của mình tốt hơn.
