Jun 20, 2012
124 Views

Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy

Written by

Network Access Protection là một công nghệ mới có trong Windows Server 2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết nối với các máy tính khác trong mạng của mình.Network Access Protection (hoặc NAP) cho phép bạn thiết lập các chính sách “sức khỏe” mà các máy tính trong mạng phải có đủ các yếu tố này trước khi được phép truy cập mạng. Các máy tính có đầy đủ các yêu cầu cần thiết đối với chính sách truy cập mạng sẽ được phép truy cập vào mạng. Còn trong trường hợp khác, máy tính có thể không hoặc bạn có thể cấu hình các chính sách để cho phép máy tính kết nối với máy chủ “điều đình lại” nhằm cho phép máy tính tính đó có thể dàn xếp và cố gắng kết nối trở lại mạng sau khi “sự điều đình” thành công.

Có nhiều cách bạn có thể thi hành một chính sách NAP. Cách đơn giản nhất là sử dụng NAP với sự thi hành DHCP. Tuy nhiên, phương pháp này cũng là một phương pháp kém an toàn nhất vì người dùng có thể cấu hình một cách thủ công địa chỉ IP trên máy tính và vòng tránh được chính sách thực thi DHCP của NAP. Phương pháp an toàn nhất cho sự thi hành NAP chính là IPsec. Khi sử dụng thực thi IPsec NAP và đồng thuận với chính sách truy cập NAP thì máy tính sẽ được cấp phát một chứng chỉ sức khỏe để cho phép tạo một kết nối IPsec an toàn với các máy tính khác trên mạng “ảo” NAP. Tuy nhiên, NAP với thực thi IPsec lại là một cấu hình phức tạp nhất trong các phương pháp. 

Bản thân NAP cũng là một công nghệ khá phức tạp với hàng trăm thành phần. Khi sử dụng NAP với thực thi IPsec, bạn sẽ thấy có nhiều phần và việc khắc phục sự cố trở nên đơn giản hơn rất nhiều. Cũng có một sự phụ thuộc đối với Group Policy, điều đó làm tăng sự phức tạp của giải pháp, nguyên nhân gây ra điều đó là bạn thường cần phải khắc phục các vấn đề với Group Policy khi triển khai NAP.

Tất cả các khó khăn và thách thức ở trên không khiến chúng ta nản chí mà ý chúng tôi muốn nhấn mạnh ở đây là khi thực hiện triển khai này bạn phải biết về các thiết lập phức tạp và cấu hình của nó, để từ đó kiên nhẫn và test thật cẩn thận trong quá trình triển khai. Càng dành nhiều thời gian để test và tìm hiểu cách làm việc của giải pháp thì bạn sẽ càng thành công trong quá trình triển khai của mình.

NAP với sự thực thi chính sách IPsec sẽ là một phương pháp rất mạnh trong triển khai giải pháp NAP của bạn. bạn sẽ có hai giải pháp trong một: giải pháp thứ nhất là có được sự kiểm soát truy cập mạng NAP để cho phép bạn có thể khóa các máy tính không đảm bảo đủ các tiêu chí về “sức khỏe” kết nối vào mạng và thứ hai đó là bạn sẽ lợi dụng trong việc cách ly miền IPsec để từ đó có thể ngăn chặn các máy tính lừa bịp kết nối vào mạng của mình. NAP với việc cách ly miền IPsec sẽ cho phép bạn tạo một mạng ảo bên trong biên giới các mạng vật lý của bạn. Các máy tính trong mạng riêng ảo IPsec có thể nằm trên cùng một đoạn mạng hoặc đoạn VLAN nhưng được chia đoạn ảo với nhau bằng IPsec. Các máy tính không có chứng chỉ “sức khỏe” IPsec sẽ không thể truyền thông với các máy tính “khỏe mạnh” trong mạng.

Trong phần này chúng tôi sẽ giới thiệu cho các bạn từ việc khởi đầu đến kết thúc quá trình triển khai giải pháp NAP bằng thực thi chính sách IPsec. Môi trường ban đầu rất đơn giản, các bạn có thể thấy trong hình bên dưới.

Hình 1

Các máy tính mà chúng ta đang sử dụng trong mạng ví dụ là:

WIN2008DC

 

Đây là máy tính Windows Server 2008 phiên bản Enterprise, máy tính này đóng vai trò bộ điều khiển miềnmsfirewall.org. Chỉ có một role máy chủ đã cài đặt trên máy tính này là Certificate Authority server role. Chúng tôi đã tạo trên máy tính này một Enterprise Root CA. Nếu các bạn muốn mirror cấu hình này, trước tiên hãy một máy đóng vai trò điều khiển miền, sau đó sẽ thăng quyền thành điều khiển miền, cài đặt role CA và chọn tùy chọn Root CA. Nếu bạn muốn mirror một cấu hình CA doanh nghiệp, hãy đặt tên của nó là CA msfirewall-WIN2008DC-CA.

WIN2008SRV1

 

Đây là máy tính chạy hệ điều hành Windows Server 2008 phiên bản Enterprise và là một máy chủ thành viên trong miền msfirewall.org. Không có role máy chủ nào cấu hình trên máy này. Chúng ta sẽ cài đặt NPS server role trên nó và làm cho nó trở thành máy CA cấp thấp hơn, tuy nhiên nếu bạn muốn xây dựng lab này, hãy cài đặt Windows Server 2008 trên máy tính và thực hiện theo các hướng dẫn như chúng tôi giới thiệu trong loạt bài này.

VISTASP1

 

Đây là máy tính chạy hệ điều hành Vista SP1. Máy tính này được gia nhập vào miền msfirewall.org. Chúng tôi đã sử dụng một cài đặt Vista mặc định và sau đó cài đặt SP1. Nếu bạn đã có một cài đặt SP1 từ trước thì điều đó không có gì phải đề cập.

VISTASP1-2

 

Đây là máy tính chạy hệ điều hành Vista, giống như VISTASP1. Máy tính này được cài đặt trong một nhóm làm việc có tên WORKGROUP. Chúng ta sẽ nhập máy tính này vào một miền nào đó sau khi test các chính sách NAP và IPsec.

Các bước chính chúng ta sẽ thực hiện trong loạt bài này gồm có:

  • Cấu hình bộ điều khiển miền
  • Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA
  • Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server
  • Cấu hình VISTASP1 và VISTASP1-2 cho việc test
  • Test Health Certificate và Auto-remediation Configuration
  • Thẩm định thực thi chính sách NAO trên VISTASP1
  • Cấu hình và test các chính sách IPsec.

Mục tiêu của chúng tôi trong loạt bài này là giới thiệu cho các bạn về cách cấu hình một giải pháp và chứng tỏ rằng giải pháp đã làm việc.

Cấu hình bộ điều khiển miền

 

Trong phần này, chúng ta sẽ thực hiện các bước dưới đây:

  • Xác nhận cấu hình Enterprise Root CA trên bộ điều khiển miền
  • Tạo nhóm bảo mật NAP CLIENTS
  • Tạo nhóm bảo mật NAP Exempt
  • Tạo và cấu hình Certificate Template cho NAP Exempt Computers
  • Làm cho Certificate Template hiện hữu trong việc công bố trong Group Policy.
  • Phân phối NAP Exemption Health Certificate thông qua Group Policy Autoenrollment

Xác nhận cấu hình Root CA

 

Thẩm định rằng các yêu cầu chứng chỉ không cần đến sự phê chuẩn của quản trị viên. Thực hiện các bước dưới đây trên máy tính bộ điều khiển miền, WIN2008DC:

1. Kích Start, trỏ tới Administrative Tools và sau đó kích Certification Authority

2. Trong phần panel bên trái của giao diện, kích chuột phải vào CA, sau đó kích Properties.

Hình 2

3. Kích tab Policy Module, sau đó kích Properties

Hình 3

4. Thẩm định rằng tùy chọn Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate đã được chọn.

Hình 4

5. Kích OK hai lần, sau đó đóng giao diện điều khiển Certification Authority

Tạo nhóm NAP CLIENTS

Tiếp đến, tạo một nhóm lọc bảo mật Group Policy. Những gì chúng ta sẽ thực hiện lúc này là tạo một Group Policy Object để sử dụng các máy chính sách NAP sẽ sử dụng, sau đó cấu hình GPO chỉ cho các thành viên của nhóm. Theo cách này, chúng ta không cần tạo một OU cho các máy khách NAP. Tất cả những gì chúng ta cần thực hiện ở đây là add các máy khách NAP vào nhóm bảo mật. VISTASP1 và VISTASP1-2 sẽ được add vào nhóm này sau khi chúng ta gia nhập miền.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Trong phần panel bên trái của giao diện Active Directory Users and Computers, kích chuột phải vàomsfirewall.org, trỏ đến New và sau đó kích Group.

Hình 5

2. Trong hộp thoại New Object – Group, trong Group name, đánh NAP Clients. Trong Group scope, chọnGlobal, còn trong Group type chọn Security, sau đó kích OK

Hình 6

3. Để giao diện điều khiển Active Directory Users and Computers mở cho thủ tục dưới đây.

Tạo nhóm NAP Exempt

 

Sẽ có các máy trong mạng của bạn cần truyền thông với các thành viên của mạng bảo mật, những người này không thể có đủ các yêu cầu bảo mật NAP cần thiết. Có các máy tính cơ sở hạ tầng mạng, chẳng hạn như các bộ điều khiển miền, máy chủ DHCP và các thành phần khác cần truyền thông với các máy tính trong mạng an toàn.

Trong ví dụ của chúng tôi, WIN2008SRV1 cần kết nối với các thành viên của mạng an toàn để cung cấp cho chúng các chứng chỉ sức khỏe, các chứng chỉ đó sẽ được sử dụng để thiết lập truyền thông IPsec an toàn giữa các thành viên trong mạng an toàn. Chính vì vậy chúng ta sẽ đặt máy tính này là một nhóm riêng và sau đó cấu hình chứng chỉ sức khỏe sẽ được triển khai tự động cho máy tính này. Chứng chỉ sức khỏe sẽ được triển khai cho máy tính này bằng cách sử dụng sự kết nạp tự động.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Trong giao diện điều khiển Active Directory Users and Computers, kích chuột phải vào msfirewall.org và trỏ đến New, sau đó kích Group.

Hình 7

2. Trong Group name, đánh IPsec NAP Exemption. Trong Group scope, chọn Global và trong Group typechọn Security, sau đó kích OK

Hình 8

3. Để lại giao diện điều khiển Active Directory Users and Computers cho thủ tục dưới đây.

Hình 9

Tạo và cấu hình mẫu chứng chỉ cho NAP Exempt Computer

 

Một mẫu chứng chỉ phải được tạo cho các máy tính được cấp miễn các kiểm tra sức khỏe NAP. Mẫu chứng chỉ này sẽ được cấu hình hai chính sách ứng dụng: thẩm định máy khách và thẩm định sức khỏe hệ thống. Mẫu chứng chỉ này sẽ được cấu hình với System Health Authentication OID để nó có thể được sử dụng nhằm truyền thông với các máy tính đồng thuận NAP trong mạng an toàn.

Sau khi tạo mẫu chứng chỉ, chúng ta sẽ công bố mẫu chứng chỉ để nó trở lên hiện hữu đối với Active Directory cho các máy tính là các thành viên của nhóm NAP Exempt. Sau khi công bố mẫu chứng chỉ cho Active Directory, chúng ta sẽ cấu hình Group Policy để chứng chỉ sẽ tự động gán cho các thành viên của nhóm NAP Exempt bằng tính năng tự động kết nạp (Autoenrollment).

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Kích Start, kích Run và đánh certtmpl.msc sau đó nhấn ENTER

2. Trong phần panel ở giữa của Certificate Template Console, kích chuột phải vào Workstation Authentication, sau đó kích Duplicate Template. Mẫu này được sử dụng vì nó đã được cấu hình với chính sách thẩm định ứng dụng máy khách.

Hình 10

3. Trong hộp thoại Duplicate Template, chọn tùy chọn Windows 2003 ServerEnterprise Edition và kích OK.

Hình 11

4. Trong Template display name, đánh System Health Authentication. Hãy tích vào hộp kiểm Publish certificate in Active Directory.

Hình 12

5. Kích tab Extensions, sau đó kích Application Policies. Tiếp đó kích nút Edit

Hình 13

6. Trong hộp thoại Edit Application Policies Extension, kích Add.

Hình 14

7. Trong hộp thoại Add Application Policy, chọn chính sách System Health Authentication và kích OK.

Hình 15

8. Kich OK trong hộp thoại Edit Application Policy Extension

Hình 16

9. Kích tab Security và kích Add. Trong hộp thoại Select UsersComputers or Groups, bạn nhập vào NAP Exempt trong hộp văn bản Enter the object name to select và kích Check Names. Sau đó kích OK.

Hình 17

10. Kích IPsec NAP Exemption, sau đó tích vào hộp kiểm bên cạnh AllowEnroll và Autoenroll sau đó kíchOK.

Hình 18

11. Đóng giao diện điều khiển các mẫu chứng chỉ.

Làm cho mẫu chứng chỉ hiện hữu cho việc công bố trong Group Policy

Thực hiện theo các bước dưới đây để kích hoạt mẫu chứng chỉ mới trở thành hiện hữu trong Active Directory Group Policy. Sau khi thực hiện điều đó, chúng ta sẽ có thể làm cho chứng chỉ trở lên hiện hữu đối với các thành viên của nhóm NAP Exempt thông qua việc tự động kết nạp.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Kích Start, kích Run, đánh certsrv.msc sau đó nhấn ENTER.

2. Mở phần tên máy chủ trong panel bên trái của giao diện điều khiển, trong cây giao diện, kích vào Certificate Templates, trỏ tới New, sau đó kích Certificate Template to Issue.

Hình 19

3. Kích System Health Authentication, sau đó kích OK

Hình 20

4. Trong panel bên trái của giao diện điều khiển, kích Certificate Templates, trong phần panel chi tiết nằm trong phần Name, hãy thẩm định rằng System Health Authentication đã được hiển thị.

Hình 21

5. Đóng giao diện Certification Authority

Phân phối chứng chỉ sức khỏe NAP Exemption trong Group Policy Autoenrollment

 

Chúng ta đã công bố mẫu chứng chỉ, chính vì vậy lúc này có thể làm cho nó trở thành hiên hữu đối với các máy thuộc về nhóm NAP Exempt. Chúng ta sẽ thực hiện điều đó bằng cách sử dụng sự kết nạp tự động (autoenrollment).

Thực hiện theo các bước dưới đây trên máy để kích hoạt sự kết nạp tự động (autoenrollment) của chứng chỉ này:

1. Kích Start và sau đó kích Run. Nhập gpmc.msc vào hộp văn bản Open và kích OK.

2. Trong giao diện điều khiển Group Policy Management, hãy kích để mở phần tên miền msfirewall.org và kích chuột phải vào Default Domain Policy và kích Edit.

Hình 22

3. Trong panel bên trái của Group Policy Management Editor, mở Computer ConfigurationWindows SettingsSecurity SettingsPublic Key Policies. Trong phần giữa của giao diện điều khiển, hãy kích đúpCertificate Services Client – Auto-Enrollment.

Hình 23

4. Trong hộp thoại Certificate Services Client – Auto-Enrollment Properties, bạn hãy chọn tùy chọn từ danh sách Configuration Model. Tích vào các hộp thoại Renew Expired certificatesupdate pending certificates, and remove revoked certificates và Update certificates that use certificate templates. KíchOK.

Hình 24

5. Đóng Group Policy Management Editor

6. Đóng giao diện điều khiển Group Policy Management

Kết luận

 

Trong phần 1 này chúng tôi đã giới thiệu cho các bạn các yêu cầu về cấu hình cho máy tính được sử dụng làm bộ điều khiển miền. Trong bài là giới thiệu về việc xác nhận cấu hình root CA của doanh nghiệp, việc tạo các nhóm bảo mật NAP CLIENTS và NAP Exempt, tạo và cấu hình mẫu chứng chỉ cho các máy tính ví dụ NAP, làm cho mẫu chứng chỉ hiện hữu để công bố trong Group Policy, tiếp đó là phân phối chứng chỉ “sức khỏe” NAP exemption cho Group Policy. Trong phần tiếp theo của loạt bài này chúng tôi sẽ cài đặt Network Policy Server và các quyền Health Registration cũng như tạo một chính sách NAP.

Dưới đây là danh sách các bước để thực hiện giải pháp.

• Cấu hình Domain Controller

• Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới)

• Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server

• Cấu hình VISTASP1 và VISTASP1-2 cho việc kiểm thử

• Test Health Certificate và Auto-remediation Configuration

• Thẩm định NAP Policy Enforcement trên VISTASP1

• Cấu hình và test các chính sách IPsec

Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu các bước cần thiết để cấu hình domain controller trong NAP với môi trường thực thi IPsec. Trong phần 2 này, chúng tôi sẽ chuyển sang bước thứ hai, đây là bước cài đặt và cấu hình Network Policy Server, Health Registration Authority và subordinate CA.

Cài đặt và cấu hình Network Policy Server, Health Registration Authority và CA cấp dưới.

 

Chúng ta hãy quan tâm trước tiên về phần Network Policy Server. Network Policy Server hoặc NPS đảm nhận RADIUS server role. NPS là tên mới được thay cho tên trước đây Internet Access Server (IAS) của Microsoft. Có hai thành phần chính đối với máy chủ NPS mới đó là: thành phần RADIUS (đây là thành phần gồm có sự hỗ trợ mới cho NAP) và thành phần RRAS. Chúng ta sẽ không đề cập đến thành phần RRAS trong kịch bản này chính vì vậy sẽ không cài đặt và cấu hình RRAS.Chúng ta cần thực hiện một số bước dưới đây để tạo một máy chủ NPS cùng với Health Registration Authority và CA cấp dưới cung được cài đặt và được cấu hình trên máy này:

• Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group

• Khởi động lại máy chủ Network Policy Server

• Yêu cầu một chứng chỉ máy tính cho Network Policy Server

• Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server.

• Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới).

• Cấu hình Subordinate CA trên Network Policy Server

• Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ.

• Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hành các chứng chỉ “sức khỏe”.

Chúng ta hãy xem xét chi tiết đến từng bước này.

Bổ sung Network Policy Server vào nhóm NAP Exempt Group

Chúng ta cần phải thiết lập sao cho máy tính WIN2008SRV1 trở thành một thành viên của nhóm NAP Exempt Group để từ đó nó có thể tự động kết nạp chứng chỉ sức khỏe đã tạo. Điều này sẽ cho phép máy tính này hành động như một máy chủ chính sách NAP và Health Registration Authority trong việc truyền thông với các máy tính khác ở một mạng an toàn, thậm chí máy tính này không là có đủ các yêu cầu của NAP.

Thực hiện các bước dưới đây trên domain controller của máy tính WIN2008DC:

1. Trên WIN2008DC, click Start, trỏ đến Administrative Tools, sau đó kích Active Directory Users andComputers.

2. Trong phần Panel bên trái của giao diện điều khiển Active Directory Users and Computers, hãy mở rộng phần msfirewall.org, sau đó kích nút Users.

3. Kích đúp vào nhóm NAP Exempt trong phần panel bên phải của giao diện điều khiển.

4. Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers, sau đó kích OK.

Hình 1

5. Trong Enter the object names to select (examples), đánh WIN2008SRV1, sau đó kích Check Names. Kích OK, sau đó kích tiếp OK trong hộp thoại NAP Exempt Properties.

 

Hình 2

 

Hình 3

6. Đóng giao diện điều khiển Active Directory Users and Computers

Khởi động lại Network Policy Server

Để kích hoạt các thiết lập thành viên miền nmới và thành viên nhóm bảo mật, hãy khởi động lại WIN2008SRV1.

1. Khởi động lại WIN2008SRV1.

2. Sau khi máy tính của bạn khởi động lại, đăng nhập vào máy tính dưới tài khoản quản trị viên.

Yêu cầu chứng chỉ máy tính cho máy chủ chính sách mạng

Máy WIN2008SRV1 cần một chứng chỉ để hỗ trợ các kết nối SSL cho máy chủ. Các kết nối SSL sẽ đến từ các máy khách NAP khi chúng kết nối đến Web server Health Registration Authority trên máy chủ NPS. Lưu ý rằng trong ví dụ này, máy chủ NPS và Health Registration Authority nằm trên cùng một máy. Tuy nhiên không bắt buộc phải thực hiện theo cách đó – bạn hoàn toàn có thể đặt Health Registration Authority và NPS server trên các máy khác nhau. Trong kịch bản đó, bạn cần phải cài đặt dịch vụ NPS trên máy tính HRA và cấu hình máy tính đó là một RADIUS proxy, do HRA là một máy chủ truy cập mạng trong kịch bản này và NAS cần khai báo dịch vụ NPS về trạng thái máy khách.

Thực hiện các bước dưới đây trên máy WIN2008SRV1 NPS:

1. Trên máy WINS2008SRV1, kích Start, kích Run, đánh mmc, sau đó nhấn ENTER.

2. Kích File, sau đó kích Add/Remove Snap-in.

3. Trong hộp thoại Add or Remove Snap-ins, kích Certificates sau đó kích Add. Trong hộp thoại Certificates snap-in, chọn tùy chọn Computer account và kích Next.

 

Hình 4

4. Trong hộp kiểm Select Computer, chọn tùy chọn Local Computer và kích Finish.

 

Hình 5

5. Kích OK trong hộp kiểm Add or Remove Snap-ins.

 

Hình 6

6. Trong giao diện điều khiển Certificates, mở nút Certificates (Local Computer), sau đó mở Personal. Kích nút Certificates, tiếp đó kích chuột phải vào đó và trỏ đến All Tasks sau đó kích Request New Certificate.

 

Hình 7

7. Kích Next trong trang Certificate Enrollment.

Trong trang Request Certificates, bạn có thể bắt gặp một danh sách các mẫu chứng chỉ có sẵn trên máy tính này. Lưu ý rằng, tuy có nhiều các mẫu chứng chỉ có sẵn nhưng chỉ có một số mẫu cho máy này, các mẫu này dựa trên các điều khoản được cấu hình cho các mẫu chứng chỉ. Tích vào hộp kiểm Computer và kích Enroll. Lưu ý rằng bạn có thể thực hiện các chi tiết về chứng chỉ này bằng cách kích nút Properties.

 

Hình 8

8. Kích Finish trong hộp thoại Certificate Installation Result.

 

Hình 9

9. Để lại cửa sổ này cho thủ tục tiếp dưới đây.

 

Hình 10

Xem máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server

Tiếp đến, thẩm định rằng WIN2008SRV1 có một chứng chỉ SSL và một chứng chỉ NAP exemption.

1. Trong panel bên trái của giao diện điều khiển Certificates, mở Certificates (Local Computer)PersonalCertificates. Trong panel bên phải, thẩm định rằng chứng chỉ đã được tự động kết nạp bởi WIN2008SRV1 với Intended Purposes của System Health Authentication và Client Authentication. Chứng chỉ này sẽ được sử dụng cho IPsec exemption của máy khách NAP.

 

Hình 11

2. Trong panel bên phải, hãy thẩm định rằng chứng chỉ đã được kết nạp với Intended Purposes của Client Authentication và Server Authentication. Chứng chỉ này sẽ được sử dụng cho thẩm định SSL bên phía trình chủ.

 

Hình 12

3. Đóng giao diện điều khiển Certificates. Nếu bạn gặp nhắc nhở cần lưu các thiết lập, hãy kích No.

Cài đặt các role Network Policy Server, Health Registration Authority, và Subordinate Certificate Server.

Tiếp đến, cài đặt các dịch vụ role để thiết lập WIN2008SRV1 thành một máy chủ chính sách sức khỏe NAP, máy chủ thực thi NAP và máy chủ NAP CA.

Thực hiện các bước dưới đây trên WIN2008SRV1:

1. Trong Server Manager, phần Roles Summary, bạn hãy kích Add Roles, sau đó kích Next.

 

Hình 13

2. Trong trang Select Server Roles, chọn các hộp kiểm Active Directory Certificate Services và Network Policy and Access Services, sau đó kích Next hai lần.

 

Hình 14

3. Trong trang Select Role Services, hãy chọn hộp kiểm Health Registration Authority, kích Add Required Role Services trong cửa sổ Add Roles Wizard và kích Next.

Hình 15

4. Trong trang Choose the Certification Authority to use with the Health Registration Authority, chọnInstall a local CA to issue health certificates for this HRA server, sau đó kích Next.

Hình 16

5. Trong trang Choose Authentication Requirements for the Health Registration Authority, chọn No, allow anonymous requests for health certificates, sau đó kích Next. Lựa chọn này sẽ cho phép các máy tính có thể được kết nạp các chính sách sức khỏe trong môi trường workgroup. Chúng ta sẽ xem xét một ví dụ về một máy tính của workgroup đang nhận chứng chỉ “sức khỏe” sau.

Hình 17

6. Trong trang Choose a Server Authentication Certificate for SSL Encryption, bạn hãy chọn Choose an existing certificate for SSL encryption (recommended), kích chứng chỉ được hiển thị trong tùy chọn này, sau đó kích Next.

Lưu ý:

Bạn có thể xem các thuộc tính của các chứng chỉ trong kho lưu trữ chứng chỉ của máy tính nội bộ bằng cách kích vào một chứng chỉ, chọn Properties sau đó kích tab Details. Một chứng chỉ được sử dụng cho thẩm định SSL phải có giá trị của trường Subject tương ứng với tên miền đầy đủ của máy chủ HRA (cho ví dụ như NPS1.Contoso.com) và giá trị trường Enhanced Key Usage của Server Authentication. Chứng chỉ cũng phải được phát hành từ một CA gốc được tin tưởng bởi máy khách.

Hình 18

7. Trong trang Introduction to Active Directory Certificate Services, kích Next.

8. Trong trang Select Role Services, thẩm định rằng các hộp kiểm Certification Authority đã được chọn, sau đó kích Next.

Hình 19

9. Trong trang Specify Setup Type, kích Standalone sau đó kích Next.

Hình 20

10. Trong trang Specify CA Type, kích Subordinate CA, sau đó kích Next. Chúng tôi chọn sử dụng CA cấp dưới cho mục đích an toàn hơn. CA cấp dưới chịu trách nhiệm cho việc phát hành các chứng chỉ, trong khi đó công việc chính của CA gốc là ký các chứng chỉ của các CA cấp dưới đang được phát hành. Điều này cho phép bạn có nhiều CA cấp dưới và một CA gốc. Trong môi trường sản xuất, bạn có thể đặt CA ở trạng thái ofline và chỉ kích hoạt nó ở trạng thái online khi ký các chứng chỉ cho các CA cấp dưới.

Hình 21

11. Trong trang Set Up Private Key, kích Create a new private key, sau đó kích Next.

Hình 22

12. Trong trang Configure Cryptography for CA, kích Next.

13. Trong trang Configure CA Name, phần Common name for this CA, đánh msfirewall-WIN2008SRV1-CA, sau đó kích Next.

Hình 23

14. Trong trang Request Certificate from a Parent CA, chọn Send a certificate request to a parent CA, sau đó kích Browse. Trong cửa sổ Select Certification Authority, hãy kích Root CA, sau đó kích OK.

Hình 24

15. Thẩm định rằng WIN2008DC.msfirewall.orgRoot CA đã được hiển thị bên cạnh Parent CA, sau đó kíchNext.

Hình 25

16. Kích Next ba lần để chấp nhận cơ sở dữ liệu mặc định, Web server, các thiết lập dịch vụ cho role, sau đó kích Install.

Hình 26

17. Thẩm định rằng tất cả các cài đặt đều thành công, sau đó kích Close. Lưu ý rằng các kết quả cài đặt nói rằng Attempt to configure Health Registration Authority failedFailed to get name of the local Certification Authority thì bạn cũng không quá lo lắng về sự thất bại đó. Chúng ta sẽ cấu hình Health Registration Authority trong các bước tiếp theo.

Hình 27

18. Để cửa sổ Server Manager mở để thực hiện thủ tục dưới đây.

Cấu hình CA cấp dưới trên Network Policy Server

CA cấp dưới phải được cấu hình tự động phát hành các chứng chỉ khi các máy khách NAP của người có đầy đủ các yêu cầu chính sách NAP yêu cầu một chứng chỉ. Mặc định, CA riêng sẽ đợi cho tới khi quản trị viên cho phép trước khi chứng chỉ được phát hành. Chúng ta không muốn đợi cho sự cho phép của quản trị viên chính vì vậy sẽ cấu hình CA riêng để có thể tự động phát hành các chứng chỉ khi yêu cầu đến.

Thực hiện các bước dưới đây trên máy WIN2008SRV1:

1. Trên WIN2008SRV1, kích Start, kích Run, đánh certsrv.msc, và sau đó nhấn ENTER.

2. Trong giao diện Certification Authority, kích chuột phải vào msfirewall-WIN2008SRV1-CA, sau đó kíchProperties.

Hình 28

3. Kích tab Policy Module, sau đó kích Properties.

Hình 29

4. Chọn Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate, sau đó kích OK.

Hình 30

5. Khi được nhắc nhở rằng AD CS phải được khởi động lại, bạn hãy kích OK. Kích OK, kích chuột phải vàomsfirewall-WIN2008SRV1-CA, trỏ đến All Tasks sau đó kích Stop Service.

Hình 31

6. Kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks, và kích Start Service.

Hình 32

7. Hãy để giao diện Certification Authority để thực hiện thủ tục dưới đây.

Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ.

Health Registration Authority phải được gắn các điều khoản bảo mật để yêu cầu, phát hành và quản lý các chứng chỉ. Nó cũng phài được phép quản lý CA cấp dưới để có thể vô hiệu hóa các chứng chỉ đã hết thời hạn từ kho lưu trữ các chứng chỉ.

Khi Health Registration Authority được kích hoạt trên một máy tính khác với máy tính phát hành CA, các điều khoản phải được gán cho máy HRA. Trong cấu hình này, HRA và CA được đặt trên cùng một máy tính. Trong kịch bản này, các điều khoản phải được gán cho Network Service.

Thực hiện các bước dưới đây trên WIN2008SRV1:

1. Trong phần panel bên trái của giao diện điều khiển, kích msfirewall-WIN2008SRV1-CA, sau đó kíchProperties.

2. Kích tab Security, sau đó kích Add.

Hình 33

3. Trong Enter the object names to select (examples), đánh Network Service và sau đó kích OK.

Hình 34

4. Kích Network Service, trong Allow, chọn các hộp kiểm Issue and Manage CertificatesManage CA, vàRequest Certificates, sau đó kích OK.

Hình 35

5. Đóng giao diện điều khiển Certification Authority.

Cấu hình Health Registration Authority để sử dụng CA cấp dưới nhằm phát hành các chứng chỉ “sức khỏe”

Bạn phải thông tin cho Health Registration Authority về CA nào có thể sử dụng để phát hành các chứng chỉ “sức khỏe”. Bạn có thể sử dụng CA riêng hoặc CA doanh nghiệp. Trong mạng ví dụ này, chúng ta đang sử dụng CA riêng đã được cài đặt trên WIN2008SRV1.

Thực hiện các bước dưới đây trên WIN2008SRV1:

1. Trên WIN2008SRV1, kích Server Manager.

2. Trong Server Manager, mở RolesNetwork Policy and Access ServicesHealth Registration Authority(WIN2008SRV1)Certification Authority.

Lưu ý:

Nếu Server Manager ở trạng thái mở khi bạn cài đặt HRA server role, thì bạn cần phải đóng lại và sau đó mở lại để truy cập vào giao diện HRA.

3. Trong phần panel bên trái của giao diện điều khiển HRA, hãy kích chuột phải vào Certification Authority và kích Add certification authority.

Hình 36

4. Kích Browse, kích msfirewall-WIN2008SRV1-SubCA, sau đó kích OK. Xem ví dụ dưới đây.

Hình 37

5. Kích OK, sau đó kích Certification Authority và thẩm định rằngWIN2008SRV1.msfirewall.orgmsfirewall-WIN2008SRV1-CA được hiển thị trong panel chi tiết. Tiếp theo chúng ta sẽ cấu hình các thuộc tính của CA riêng này.

Health Registration Authority có thể được cấu hình để sử dụng một CA riêng hoặc CA doanh nghiệp. Các thuộc tính của CA (mà chúng ta sẽ cấu hình tiếp theo) được cấu hình trên Health Registration Authority phải phù hợp với kiểu CA đã được chọn.

Hình 38

6. Kích chuột phải vào Certification Authority, sau đó kích Properties.

Hình 39

7. Thẩm định rằng tùy chọn Use standalone certification authority đã được tích và giá trị nằm trong Use standalone certification authority is selected and that the value under The certificates approved by this Health Registration Authority will be valid for là 4 giờ, sau đó bạn hãy kích OK. Xem ví dụ bên dưới.

Hình 40

8. Đóng Server Manager.

Kết luận

Trong phần hai của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách sử dụng thực thi IPsec với NAP, giới thiệu cho các bạn các thủ tục cần thiết để tạo máy chủ NPS server. Trên máy chủ này chúng ta đã cài đặt và cấu hình Windows Server 2008 Network Policy Server, Health Registration Authority và CA cấp dưới. Với các thành phần này, chúng ta đã hoàn toàn có thể sẵn sàng cho bước tiếp theo, bước cấu hình chính sách thực thi IPsec.

Trong phần này chúng tôi sẽ giới thiệu các thủ tục dưới đây:

  • Bổ sung máy chủ chính sách mạng vào NAP Exempt Group
  • Khởi động lại Network Policy Server
  • Yêu cầu chứng chỉ máy tính cho Network Policy Server
  • Xem chứng chỉ sức khỏe và máy tính đã cài đặt trên Network Policy Server
  • Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA
  • Cấu hình Subordinate CA trên Network Policy Server
  • Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ
  • Cấu hình Health Registration Authority để sử dụng subordinate CA nhằm phát hành các chứng chỉ sức khỏe.

Trong phần ba của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về máy chủ NPS. Đầu tiên chúng ta sẽ cấu hình chính sách NAP IPsec Enforcement trên NPS. Sau khi kết thúc việc tạo chính sách, chúng ta sẽ chuyển sang các hệ thống khách để có thể sử dụng chúng cho mục đích kiểm thử.

Cấu hình chính sách thực thi NAP IPsec trên máy chủ chính sách mạng

Trong phần này, chúng tôi sẽ thực hiện các thủ tục dưới đây:

  • Cấu hình NAP bằng NPS NAP wizard
  • Cấu hình Windows Security Health Validator
  • Cấu hình NAP CLIENT Settings trong Group Policy
  • Hạn chế phạm vi của NAP CLIENT Group Policy bằng cách sử dụng Security Group Filtering

Sau đây là bắt đầu!

Cấu hình NAP với một wizard

Wizard cấu hình NAP sẽ giúp bạn thiết lập NPS như một máy chủ chính sách sức khỏe NAP. Wizard thường cung cấp các thiết lập được sử dụng cho mỗi phương pháp thực thi NAP và tự động tạo các chính sách NAP mang tính tùy chỉnh để sử dụng cho thiết kế mạng của bạn. Bạn cũng có thể truy cập vào wizard cấu hình NAP từ giao diện NPS.

  1. Kích Start, kích Run, gõ nps.msc, sau đó nhấn ENTER.
  2. Trong phần panel bên trái của giao diện điều khiển NPS, bạn hãy kích NPS (Local).

Hình 1

  1. Trong phần panel chi tiết, dưới Standard Configuration, kích Configure NAP. Wizard cấu hình NAP sẽ bắt đầu. Trong trang Select Network Connection Method for Use with NAP, trong phần Network connection method, chọn IPsec with Health Registration Authority (HRA), sau đó kích Next.

Hình 2

  1. Trong trang Specify NAP Enforcement Servers Running HRA, kích Next. Vì máy chủ chính sách sức khỏe NAP này đã cài đặt HRA nên chúng ta không cần phải bổ sung thêm các máy khách RADIUS.

Hình 3

  1. Trong trang Configure User Groups and Machine Groups, kích Next. Bạn không cần phải cấu hình các nhóm cho môi trường test này.

Hình 4

  1. Trong trang Define NAP Health Policy, thẩm định rằng các hộp kiểm Windows Security Health Validatorand Enable auto-remediation of client computers đã được tích, sau đó kích Next.

Hình 5

  1. Trong trang Completing NAP Enforcement Policy and RADIUS Client Configuration, kích Finish

Hình 6

  1. Để giao diện điều khiển Network Policy Server mở và thực hiện thủ tục dưới đây.

Hình 7

Cấu hình bộ hợp lệ hóa chính sách sức khỏe (SHV)

Mặc định, Windows SHV được cấu hình có yêu cầu đến tường lửa, sự bảo vệ virus và bảo vệ spyware và việc cập nhật một cách tự động. Với mạng test, chúng ta sẽ bắt đầu bằng cách chỉ yêu cầu Windows Firewall được kích hoạt. Sau đó chúng ta sẽ thực hiện với các chính sách để hiển thị cách các máy có thể được tạo đồng thuận và không đồng thuận như thế nào.

Thực hiện theo các bước dưới đây trên WIN2008SRV1:

  1. Trong panel bên trái của giao diện điều khiển Network Policy Server, bạn hãy mở Network Access Protection, sau đó kích System Health Validators. Trong phần panel giữa của giao diện, dưới Name, kích đúp vào Windows Security Health Validator.

Hình 8

  1. Trong hộp thoại Windows Security Health Validator Properties, kích Configure

Hình 9

  1. Xóa tất cả các hộp kiểm trừ A firewall is enabled for all network connections.

Hình 10

  1. Kích OK để đóng hộp thoại Windows Security Health Validator, sau đó kích tiếp OK để đóng hộp thoạiWindows Security Health Validator Properties
  2. Đóng giao diện điều khiển Network Policy Server.

Cấu hình các thiết lập NAP CLIENT trong Group Policy

Các thiết lập NAP client dưới đây sẽ được sử dụng trong Group Policy object (GPO) bằng giao diện điều khiển Group Policy Management trong WIN2008DC:

  • NAP enforcement clients – Mách bảo các máy khách về phương pháp thực thi nào để sử dụng cho NAP. Trong ví dụ chúng tôi đang sử dụng HRA/IPsec enforcement client.
  • NAP Agent service – Đây là dịch vụ phía trình khách để cho phép máy khách biết về NAP
  • Security Center user interface – Cho phép dịch vụ máy khách NAP để cung cấp các thông tin đến người dùng quan tâm đến trạng thái bảo mật hiện hành của máy.

Sau khi các thiết lập này được cấu hình trong GPO, các bộ lọc bảo mật sẽ được bổ sung để thực hiện các thiết lập trên các máy bạn chỉ định. Phần dưới đây sẽ mô tả các bước này một cách chi tiết.

Thực hiện các bước dưới đây trên WIN2008DC để tạo Group Policy Object và các thiết lập GP cho GPO đối với NAP Clients:

  1. Trên WIN2008DC, kích Start, kích Run, đánh gpme.msc sau đó nhấn ENTER
  2. Trong hộp thoại Browse for a Group Policy Object, bên cạnh msfirewall.org, kích vào biểu tượng để tạo một GPO mới, đánh NAP Client GPO để đặt tên cho GPO mới, sau đó kích OK.

Hình 11

  1. Cửa sổ Group Policy Management Editor sẽ mở. Bạn điều hướng đến Computer Configuration/Policies/Windows Settings/Security Settings/System Services.
  2. Trong panel chi tiết, kích đúp vào Network Access Protection Agent.
  3. Trong hộp thoại Network Access Protection Agent Properties, tích vào hộp kiểm Define this policy setting, chọn Automatic sau đó kích OK.

Hình 12

  1. Trong phần panel bên trái của giao diện điều khiển, mở Network Access ProtectionNAP Client ConfigurationEnforcement Clients.
  2. Trong phần panel chi tiết, kích chuột phải vào IPSec Relying Party, sau đó kích Enable.

Hình 13

  1. Trong phần panel bên trái của giao diện, dưới NAP Client Configuration, mở Health Registration SettingsTrusted Server Groups. Kích phải vào Trusted Server Groups sau đó kích New.

Hình 14

  1. Trong cửa sổ Group Name, đánh HRA Servers sau đó kích Next.

Hình 15

  1. Trong cửa sổ Add Servers, bên dưới Add URLs of the health registration authority that you want the client to trust, đánh https://win2008srv1.msfirewall.org/domainhra/hcsrvext.dll sau đó kích Add. Đây là website sẽ xử lý các yêu cầu thẩm định miền cho các chứng chỉ sức khỏe.

Hình 16

  1. Kích Finish để hoàn thành quá trình thêm các nhóm máy chủ tin cậy HRA.
  2. Trong cây giao diện, kích Trusted Server Groups, sau đó trong panel chi tiết, kích Trusted HRA Servers. Thẩm định rằng bạn đã đánh trong panel chi tiết dưới Properties. URL phải được nhập vào đúng, bằng không máy khách sẽ không thể thu được chứng chỉ sức khỏe và sẽ bị từ chối truy cập vào mạng Ipsec đã được bảo vệ.

Hình 17

  1. Trong panel bên trái của giao diện điều khiển, kích phải vào NAP Client Configuration, sau đó kích Apply.
  2. Trong cây giao diện, điều hướng đến Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsSecurity Center.
  3. Trong panel chi tiết, kích đúp vào Turn on Security Center (Domain PCs only), chọn Enabled, sau đó kíchOK.

Hình 18

  1. Trở về nút Network Access ProtectionNAP Client ConfigurationEnforcement Clients. Kích chuột phải vào Enforcement Clients sau đó kích Refresh. Nếu trạng thái IPsec Relying Party là Disabled, hãy kích chuột phải vào nó lần nữa và kích Enable. Sau đó kích vào nút NAP Client Configuration lần nữa, tiếp đó kích phải vào nó và kích Apply.
  2. Nếu bạn được nhắc nhở áp dụng các thiết lập, hãy kích Yes.

Hạn chế phạm vi của NAP CLIENT Group Policy Object bằng Security Group Filtering

Tiếp đến, cấu hình các bộ lọc bảo mật cho NAP client. Điều này sẽ ngăn không cho các thiết lập NAP client được sử dụng cho các máy chủ trong miền.

  1. Trong WIN2008DC, kích Start, kích Run, đánh gpmc.msc và nhấn ENTER.
  2. Trong cây giao diện quản lý nhóm chính sách, hãy tìm đến phần Forest: msfirewall.orgDomainsmsfirewall.orgGroup Policy ObjectsNAP Client GPO. Trong panel chi tiết, phần Security Filtering , kích Authenticated Users, sau đó kích Remove.

Hình 19

  1. Khi được nhắc nhở để thực hiện đặc quyền được remove, kích OK.
  2. Trong phần panel chi tiết, dưới Security Filtering, kích Add.
  3. Trong hộp thoạ Select User, Computer, or Group, dưới the object name to select (examples), đánhNAP client computers và sau đó kích OK.

Hình 20

Hình 21

  1. Đóng giao diện quản trị Group Policy Management.

Lưu ý rằng, lúc này nhóm bảo mật NAP client hiện không có các thành viên. Do vậy VISATASP1 và VISTASP1-2 sẽ được bổ sung vào nhóm bảo mật này sau khi mỗi một máy được join vào miền.

Cấu hình để test VISTASP1 và VISTASP1-2

Lúc này chúng ta sẽ đi cấu hình các thành phần máy khách cho hệ thống. Trong phần này, chúng ta sẽ thực hiện những nhiệm vụ dưới đây:

  • Join VISTASP1vào miền
  • Bổ sung VISTASP1vào nhóm NAP CLIENTS Group
  • Xác nhận NAP Group Policy Settings trên VISTASP1
  • Export Enterprise Root CA Certificate từ VISTASP1
  • Imporrt Root CA Certificate vào VISTASP1
  • Cấu hình các thiết lập Configure NAP Client Settings trên VISTASP1-2
  • Đánh dấu NAP Agent trên VISTASP1-2
  • Cấu hình Windows Firewall with Advanced Security để cho phép VISTASP1 và VISTASP1-2 có thể PING đến nhau .

Join VISTASP1 vào miền

Khi cấu hình VISTASP1, sử dụng các hướng dẫn dưới đây. Khi cấu hình VISTASP1-2, thực hiện thẩm định thủ tục phát hành chứng chỉ sức khỏe trước khi join VISTASP1-2 vào miền msfirewall.orgVISTASP1-2 sẽ không được join vào miền để thẩm định thủ tục phát hành chứng chỉ sức khỏe nhằm minh họa các chứng chỉ sức khỏe khác trên các máy khách trong miền và các môi trường workgroup.

Chúng ta sẽ đi xem xét đến việc miền đã join các máy tính nhận các các chứng chỉ như thế nào khi joinVISTASP1 vào miền, sau đó sẽ cấu hình VISTASP1 thành một NAP client và xem các máy tính thành viên không thuộc miền sẽ nhận chính chỉ sức khỏe và sự truy cập mạng như thế nào.

Thực hiện các bước dưới đây tên để join máy tính vào miền:

  1. Kích Start, kích phải vào Computer, sau đó kích Properties.
  2. Trong cửa sổ System, kích liên kết Advanced System Settings.
  3. Trong hộp thoại System Properties, kích tab Computer Name, sau đó kích Change.

Hình 22

  1. Trong hộp thoại Computer Name/Domain Changes, chọn Domain, sau đó đánh msfirewall.org.

Hình 23

  1. Kích More và trong Primary DNS suffix of this computer, đánh msfirewall.org.

Hình 24

  1. Kích OK hai lần.
  2. Khi được nhắc nhở về username và password, đánh tài khoản quản trị miền của bạn, sau đó kích OK.

Hình 25

  1. Khi bạn thấy xuất hiện hộp thoại chào đến với miền msfirewall.org, kích OK.

Hình 26

  1. Khi thấy hộp thoại nhắc nhở bạn khởi động lại máy tính, kích OK.

Hình 27

  1. Trong hộp thoại System Properties, kích Close.
  2. Trong hộp thoại nhắc bạn khởi động lại máy tính, kích Restart Later. Trước khi bạn khởi động lại máy tính, bạn phải bổ sung nó vào nhóm bảo mật các máy tính NAP client.

Hình 28

Đưa VISTASP1 vào NAP CLIENTS Group

Sau khi join vào miền, VISTASP1 phải được bổ sung vào nhóm NAP Clients để nó có thể nhận các thiết lập NAP client từ Group Policy Object đã cấu hình.

Thực hiện các bước dưới đây trên máy WIN2008DC:

  1. Trên máy WIN2008DC, kích Start, trỏ đến Administrative Tools, sau đó kích Active Directory Users and Computers.
  2. Trong phần panel bên trái của giao diện điều khiển, kích msfirewall.org.
  3. Trong phần panel chi tiết, kích đúp vào NAP Clients.
  4. Trong hộp thoại NAP Clients Properties, kích tab Members, sau đó kích Add.
  5. Trong hộp thoại Select Users, Contacts, Computers, or Groups, kích Object Types, chọn hộp kiểm Computers, sau đó kích OK.
  6. Trong phần Enter the object names to select (examples),  đánh VISTASP1, sau đó kích OK.

Hình 29

  1. Thẩm định rằng VISTASP1 được hiển thị bên dưới Members, sau đó kích OK.

Hình 30

  1. Đóng giao diện điều khiển Active Directory Users and Computers.
  2. Khởi động lại VISTASP1.
  3. Sau khi VISTASP1 được khởi động lại, hãy đăng nhập với tư cách quản trị viên miền msfirewall.org.

Xác nhận các thiết lập NAP Group Policy trên VISTASP1

Sau khi khởi động lại, VISTASP1 sẽ nhận các thiết lập GP để kích hoạt dịch vụ NAP Agent và IPsec enforcement client. Cửa sổ lệnh sẽ được sử dụng để thẩm định các thiết lập này.

  1. Trên VISTASP1, kích Start, kích Run, đánh cmd, sau đó nhấn ENTER.
  2. Trong cửa sổ lệnh, đánh netsh nap client show grouppolicy và nhấn ENTER.
  3. Trong phần đầu ra của lệnh, phần Enforcement clients, thẩm định rằng trạng thái Admin của IPSec Relying Party là Enabled. Trong phần đầu ra của lệnh, dưới Trusted server group configuration, thẩm định rằng Trusted HRA Servers được hiển thị bên cạnh Group, rằng Enabled cũng được hiển thị bên cạnhRequire Https, và rằng Domain HRA Web site URL mà bạn đã cấu hình trong thủ tục trước đó cũng được hiển thị bên cạnh Url.

Hình 31

  1. Trong cửa sổ lệnh, đánh netsh nap client show state và sau đó nhấn ENTER.
  2. Trong phần đầu ra của lệnh, dưới Enforcement client state, thẩm định rằng trạng thái Initialized củaIPSec Relying Party là Yes.

Hình 32

  1. Đóng cửa sổ lệnh.

Export chứng chỉ Enterprise Root CA từ VISTASP1

Do VISTASP1-2 không được join vào miền và không tin cậy msfirewall.org root CA, nên nó sẽ thất bại đối trong việc tin cậy chứng chỉ SSL trên WIN2008SRV1. Để cho phép VISTASP1-2 truy cập Health Registration Authority bằng SSL, bạn phải sử import một chứng chỉ CA vào mục Trusted Root Certification Authorities trênVISTASP1-2. Điều này có thể thực hiện bằng cách export chứng chỉ từ VISTASP1 và sau đó import nó vàoVISTASP1-2.

  1. Trên VISTASP1, kích Start, và nhập vào Run trong hộp văn bản Search sau đó nhấn ENTER.
  2. Trong hộp Run, nhập mmc vào và kích OK.
  3. Trong menu File, kích Add/Remove Snap-in.
  4. Kích Certificates, kích Add, chọn Computer account, kích Next.
  5. Thẩm định rằng Local computer: (the computer this console is running on) đã được chọn, kích Finishsau đó kích OK.
  6. Trong cây giao diện, mở Certificates (Local Computer)Trusted Root Certification AuthoritiesCertificates. Trong phần panel chi tiết, kích chuột phải vào, trỏ tới sau đó kích Export.

Hình 33

  1. Trong trang Welcome to the Certificate Export Wizard, kích Next.
  2. Trong trang Export File Format, kích Next.

Hình 34

  1. Trong trang File to Export, đánh đường dẫn và tên cua file chứng chỉ CA trong hộp văn bản File name. Trong ví dụ này, chúng ta sẽ nhập vào c:cacert. Kích Next.

Hình 35

  1. Kích Finish trên trang Completing the Certificate Export Wizard.
  2. Thẩm định rằng The export was successful được hiển thị, sau đó kích OK.

Hình 36

  1. Copy file chứng chỉ CA vào VISTASP1-2

Import chứng chỉ Root CA vào VISTASP1-2

Lúc này, chúng ta hãy cài đặt chứng chỉ CA trên VISTASP1-2. Sau khi cài đặt xong chứng chỉ, VISTASP1-2 sẽ xác nhận các CA của chúng ta để sử dụng cho Health Registration Authority sau khi cấu hình sử dụng NAP cho máy này.

Thực hiện các bước dưới đây trên VISTASP1-2:

  1. Trên VISTASP1-2, kích Start, sau đó vào Run trong hộp search.
  2. Nhập mmc vào trong hộp thoại Run, sau đó nhấn ENTER.
  3. Trên menu File, kích Add/Remove Snap-in.
  4. Kích Certificates, kích Add, chọn Computer account sau đó kích Next.
  5. Thẩm định rằng Local computer: (the computer this console is running on) đã được chọn, kích Finishvà sau đó kích OK.
  6. Trong cây giao diện điều khiển, mở Certificates (Local Computer)Trusted Root Certification AuthoritiesCertificates.
  7. Kích chuột phải vào Certificates, trỏ đến All Tasks sau đó kích Import.

Hình 37

  1. Trong trang Welcome to the Certificate Import Wizard kích Next.
  2. Trong trang File to Import, kích Browse.
  3. Duyêt đến vị trí nơi bạn đã lưu chứng chỉ CA gốc từ VISTASP1và mở Open.
  4. Trong trang File to Import, thẩm định vị trí của file chứng chỉ CA gốc đã được hiển thị dưới File name và sau đó kích Next.

Hình 38

  1. Trong trang Certificate Store, chọn Place all certificates in the following store, thẩm định rằng Trusted Root Certification Authorities đã được hiển thị bên dưới Certificate store, sau đó kích Next.

Hình 39

  1. Trong trang Completing the Certificate Import Wizard, kích Finish.
  2. Thẩm định rằng The import was successful đã được hiển thị, sau đó kích OK.

Hình 40

Cấu hình các thiết lập NAP Client trên VISTASP1-2

Vì VISTSP1-2 không được join vào miền nên nó không thể nhận các thiết lập NAP từ Group Policy. Mặc dù vậy chúng ta vẫn có thể cấu hình máy này để có thể nhận các thiết lập NAP bằng cách làm việc với kiến trúc NAP của chúng ta. Sau khi minh chứng rằng chúng ta có thể tạo các máy non-domain làm việc với NAP, chúng tôi sẽ join VISTASP1-2 vào miền để nó có thể nhận các thiết lập NAP của nó từ Group Policy.

  1. Trên VISTASP1-2, kích Start và nhập Run vào hộp search.
  2. Nhập vào napclcfg.msc, sau đó nhấn ENTER.

Hình 41

  1. Trong cây giao diện NAP Client Configuration, mở Health Registration Settings.
  2. Kích chuột phải vào Trusted Server Groups, sau đó kích New.

Hình 42

  1. Trong Group Name, đánh Trusted HRA Servers sau đó kích Next.

Hình 43

  1. Trong Add URLs of the health registration authority that you want the client to trust, đánhhttps://win2008srv1.msfirewall.org/domainhra/hcsrvext.dll sau đó kích Add. Đây là website sẽ xử lý các yêu cầu miền đã được thẩm định về chứng chỉ sức khỏe. Do đây là máy chủ đầu tiên trong danh sách nên các máy khách sẽ cố gắng đạt được chứng chỉ sức khỏe từ máy chủ tin cậy đầu tiên này.
  2. Trong Add URLs of the health registration authority that you want the client to trust, đánhhttps://win2008srv1.msfirewall.org/nondomainhra/hcsrvext.dll ,sau đó kích Add. Đây là website sẽ xử lý các yêu cầu nặc danh về chứng chỉ sức khỏe. Do đây là máy chủ thứ hai có trong danh sách nên các máy khách sẽ không tạo các yêu cầu đối với máy chủ này trừ khi máy chủ đầu tiên lỗi trong việc cung cấp chứng chỉ.
  3. Kích Finish để hoàn tất quá trình thêm các nhóm máy chủ tin cậy.

Hình 44

  1. Trong phần panel bên trái của giao diện điều khiển, kích Trusted Server Groups.
  2. Trong phần panel bên phải của giao diện, kích HRA Servers.
  3. Thẩm định rằng URL mà bạn đã đánh trong panel chi tiết dưới Properties. Các URL phải được nhập vào một cách đúng bằng không các máy khách sẽ không thể có được chứng chỉ sức khỏe, khi đó sẽ bị từ chối truy cập vào mạng Ipsec.

Hình 45

  1. Trong cây giao diện điều khiển NAP Client Configuration, kích Enforcement Clients.
  2. Trong phần panel chi tiết, kích chuột phải vào IPSec Relying Party, sau đó kích Enable.

Hình 46

  1. Đóng cửa sổ NAP Client Configuration.

Hình 47

Khởi tạo NAP Agent trên VISTASP1-2

Lúc này chúng ta cần khởi động dịch vụ NAP Client Service trên VISTASP1-2.

Thực hiện theo các bước dưới đây trên VISTASP1-2:

  1. Trên máy VISTASP1-2, kích Start, trỏ đến All Programs, kích Accessories, kích chuột phải vào Command Prompt sau đó kích Run as administrator.
  2. Trong cửa sổ lệnh, đánh net start napagent sau đó nhấn ENTER.
  3. Tại phần đầu ra của lệnh, thẩm định rằng dòng chữ sau được hiển thị The Network Access Protection Agent service was started successfully.

Hình 48

  1. Hãy để cửa sổ lệnh mở để thực hiện thủ tục dưới đây.

Xác nhận các thiết lập chính sách NAP trên VISTASP1-2

VISTASP1-2 sẽ nhận các thiết lập NAP client từ chính sách nội bộ. Chúng ta có thể thẩm định các thiết lập này từ dòng lệnh.

Thực hiện các bước dưới đây trên VISTASP1-2:.

  1. Tại nhắc lệnh, hãy đánh netsh nap client show configuration sau đó nhấn ENTER.
  2. Trong phần đầu ra của lệnh, dưới Enforcement clients, thẩm định rằng trạng thái Admin của IPSec Relying Party là Enabled. Trong phần Trusted server group configuration, thẩm định rằng Trusted HRA Servers được hiển thị bên cạnh Group và Enabled được hiển thị bên cạnh Require Https và rằng DomainHRA và NonDomainHRA Web site URL mà bạn đã cấu hình trong thủ tục trước đó được hiển thị bên cạnh URL.

Hình 49

  1. Trong cửa sổ lệnh, đánh netsh nap client show state, sau đó nhấn ENTER. Trong đầu ra lệnh, dưới phầnEnforcement client state, hãy thẩm định rằng trạng thái Initialized của IPSec Relying Party là Yes.

Hình 50

  1. Đóng nhắc lệnh

Cấu hình Windows Firewall với Advanced Security để cho phép Ping giữa VISTASP1 và VISTASP1-2

Ping sẽ được sử dụng để thẩm định kết nối mạng của VISTASP1 và VISTASP1-2. Để kích hoạt VISTASP1 vàVISTASP1-2 nhằm đáp trả lệnh ping, một rule miễn sử dụng cho ICMPv4 phải được cấu hình trong Windows Firewall.

Thực hiện theo các bước dưới đây trên VISTASP1 và VISTASP1-2 để các máy này có thể ping cho nhau thông qua Windows Firewall với Advanced Security:

  1. Kích Start, nhập Run vào hộp thoại search và nhấn ENTER. Đánh wf.msc trong hộp văn bản Run, sau đó nhấn ENTER.
  2. Trong phần panel bên trái của giao diện điều khiển, kích chuột phải vào Inbound Rules sau đó kích New Rule.

Hình 51

  1. Chọn Custom sau đó kích Next.

Hình 52

  1. Chọn All programs sau đó kích Next.

Hình 53

  1. Cạnh Protocol type, hãy chọn ICMPv4sau đó kích Customize.

Hình 54

  1. Chọn Specific ICMP types, tích vào hộp kiểm Echo Request, kích OK, sau đó kích Next

Hình 55

  1. Kích Next để chấp nhận phạm vi mặc định.

Hình 56

  1. Trong trang Action, hãy thẩm định rằng tùy chọn Allow the connection đã được chọn, sau đó kích Next

Hình 57

  1. Kích Next để chấp nhận chính sách mặc định.
  2. Trong cửa sổ Name, dưới phần Name, bạn hãy đánh Allow Ping Inbound sau đó kích Finish

Hình 58

  1. Đóng Windows Firewall với giao diện điều khiển Advanced Security

Phần tiếp theo chúng ta sẽ đi kiểm tra để xác nhận rằng VISTASP1 và VISTASP1-2 có thể ping được nhau.

Kết luận

Trong phần ba này chúng ta đã cấu hình chính sách NAP IPsec, sau đó đã cấu hình các máy khách để kiểm thử. Trong phần tiếp theo của loạt bài này, chúng ta sẽ đi kiểm tra các máy khách và xem cách các chứng chỉ bảo mật được gán và được remove tự động như thế nào cùng với đó là cách các máy khách được kết nối và được hủy kết nối với mạng ra sao.

Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách test các máy khách và cách các chứng chỉ bảo mật được gán, được gỡ bỏ tự động cũng như cách các máy khách được kết nối hoặc hủy kết nối với mạng như thế nào.Trong phần 3 của loạt bài gồm 4 phần về cấu hình NAP bằng thực thi chính sách Ipsec, chúng ta đã cấu hình chính sách NAP Ipsec và sau đó đã cấu hình các máy khách cho việc test thử. Trong phần cuối cùng này, chúng ta sẽ tiến hành test các máy khách và nghiên cứu cách các chứng chỉ bảo mật được gán hay được gỡ bỏ một cách tự động cũng như nghiên cứu cách máy khách được kết nối và hủy kết nối với mạng như thế nào.

Chúng ta sẽ tập trung vào 2 nhiệm vụ chính sau:

  • Test Health Certificate và Auto-remediation configuration
  • Thẩm định sự thực thi chính sách NAP trên VISTASP1

Test Health Certificate và Auto-remediation Configuration

Trong phần này chúng ta sẽ thực hiện các nhiệm vụ dưới đây:

  • Xác nhận rằng cả hai VISTASP1 và VISTASP1-2 đều có các chứng chỉ sức khỏe (Health Certificate)
  • Nhập VISTASP1-2 vào Domain
  • Thẩm định Auto-remediation trên VISTASP1

Xác nhận cả VISTASP1 và VISTASP1-2 đều có Health Certificate

Sử dụng thủ tục dưới đây để thẩm định sự kết nạp chứng chỉ sức khỏe của VISTASP1 trong môi trường miền đã được thẩm định và VISTASP1-2 trong môi trường nhóm làm việc (workgroup).

Thực hiện các bước dưới đây trên cả VISTASP1 và VISTASP1-2:

  1. Mở hộp thoại Run và nhập mmc, sau đó nhấn ENTER.
  2. Trên menu File, kích Add/Remove Snap-in.
  3. Kích Certificates, kích Add và chọn Computer account, sau đó kích Next.
  4. Thẩm định rằng Local computer: (the computer this console is running on) được chọn, kích Finish, và sau đó kích OK.
  5. Trong panel bên trái của giao diện điều khiển, kích đúp vào Certificates (Local Computer), kích đúpPersonal, sau đó kích Certificates.
  6. Trong panel chi tiết, bên dưới Issued By, thẩm định CA cấp dưới, msfirewall-WIN2008SRV1-CA, được hiển thị. Thẩm định rằng Intended Purposes hiển thị System Health Authentication. Vì VISTASP1-2 chưa được thẩm định đối với miền msfirewall.org, nên tên máy khách sẽ không được hiển thị bên dưới Issued To, và ý nghĩa chứng chỉ của Client Authentication không xuất hiện. Thẩm định rằng chứng chỉ trênVISTASP1-2 có Intended Purposes của System Health Authentication. Đây là một chứng chỉ sức khỏe NAP hợp lệ cho các máy khách trong môi trường nhóm làm việc. Một chứng chỉ sức khỏe miền đã được thẩm định tương tự như chứng chỉ đạt được tên VISTASP1.

Hình 1

Hình 2

  1. Đóng giao diện Certificates

Nhập VISTASP1-2 vào miền

Sử dụng thủ tục tương tự như bạn đã sử dụng ở trên để nhập VISTASP1 và miền msfirewall.org, nhậpVISTASP1-2 vào miền msfirewall.org. Đăng nhập với đặc quyền quản trị viên miền sau khi máy tính khởi động lại.

Thẩm định Auto-remediation trên VISTASP1

NAP Ipsec với chính sách mạng HRA Noncompliant chỉ rõ rằng các máy tính không đồng thuận (Noncompliant) sẽ tự động được điều đình lại. Thủ tục dưới đây sẽ thẩm định rằng VISTASP1 được điều đình lại tự động khi Windows Firewall bị tắt.

  1. Trên VISTASP1, mở hộp thoại Run và nhập vào firewall.cpl, sau đó nhấn ENTER.
  2. Trong panel điều khiển của Windows Firewall, kích hange settings, kích Off (not recommended), sau đó kích OK.
  3. Bạn có thể thấy một tin trong vùng thông báo chỉ thị rằng máy tính không có đủ các yêu cầu sức khỏe. Tin này được hiển thị vì Windows Firewall đã bị tắt. Kích vào tin này để xem thêm các thông tin chi tiết về trạng thái sức khỏe của of VISTASP1. Xem ví dụ bên dưới.

Hình 3

  1. Máy khách NAP sẽ tự động bật Windows Firewall để trở thành đồng thuận với các yêu cầu về sức khỏe của mạng. Tin dưới đây sẽ xuất hiện trong vùng thông báo: This computer meets the requirements of this network.

Hình 4

  1. Do Suto-remediation xuất hiện khá nhanh nên bạn có thể không thấy các tin này. Để xem lại biểu tượng thông báo NAP, bạn hãy đánh napstat tại nhắc lệnh, sau đó nhấn ENTER.

Thẩm định sự thực thi chính sách NAP trên VISTASP1

Chúng ta hãy xem cách thẩm định sự thực thi chính sách NAP đang được sử dụng trên hệ thống khách như thế nào. Bắt đầu bằng cách test với VISTASP1. Để thực hiện bài test, chúng ta thực hiện các thủ tục dưới dây:

  • Cấu hình Windows SHV ở mức hạn chế hơn bằng cách yêu cầu các máy tính phải cài đặt các phần mềm chống virus. Khi chúng ta chưa cài đặt bất kỳ phần mềm chống virus nào trên các máy khách nên các máy khách sẽ không có đủ yêu cầu này.
  • Refresh SoH (tuyên bố sức khỏe) trên VISTAP1. Thao tác này sẽ làm cho máy khách gửi một Statement of Health mới đến Health Registration Authority và sẽ báo cáo rằng máy khách không có được sự đồng thuận.
  • Xác nhận rằng chứng chỉ sức khỏe của máy khách được gỡ bỏ. Health Certificate được gỡ bỏ vì máy khách không có đủ sự đồng thuận.
  • Khôi phục chính sách sức khỏe về trạng thái ít hạn chế hơn để máy khách có thể đồng thuận. Chúng ta sẽ gỡ bỏ yêu cầu phần mềm chống virus để máy khách trở thành đồng thuận trở lại.
  • Refresh SoH trên VISTASP1 sẽ hiển thị máy tính hiện đã đồng thuận với chính sách mới.
  • Xác nhận rằng chứng chỉ sức khỏe máy khách được khôi phục.

Cấu hình WSHV để yêu cầu ứng dụng chống virus

Trước hết, cấu hình chính sách NAP để yêu cầu ứng dụng chống virus, làm cho CLIENT1 trở nên không đồng thuận.

Thực hiện theo các bước dưới đây trên WIN2008SRV1:

  1. Trên WIN2008SRV1, kích Start, kích Run, đánh nps.msc và nhấn ENTER.
  2. Trong panel bên trái của giao diện điều khiển, mở Network Access Protection, sau đó kích System Health Validators.

Hình 5

  1. Trong panel chi tiết, kích đúp vào Windows Security Health Validator, sau đó kích Configure.

Hình 6

  1. Trong hộp thoại Windows Security Health Validator, bên dưới Virus Protection, chọn hộp kiểm bên cạnhAn antivirus application is on.

Hình 7

  1. Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows Security Health Validator Properties.
  2. Để mở giao diện NPS cho các thủ tục sau.

Refresh SoH trên VISTASP1

Vì các chính sách sức khỏe đã được thay đổi sau khi VISTASP1 nhận một chứng chỉ sức khỏe nên chúng ta cần phải kích hoạt việc gửi đi một tuyên bố sức khỏe (SoH) mới từ VISTASP1 để đánh giá với các chính sách sức khỏe hạn chế hơn. Vấn đề này sẽ xuất hiện khi chứng chỉ sức khỏe trên VISTASP1 hết hạn, hoặc khi một sự thay đổi trong trạng thái sức khỏe của máy khách bị xóa. Chúng ta có thể tạo một thay đổi trong trạng thái sức khỏe bằng cách tắt Windows Firewall.

Thực hiện các bước dưới đây trên VISTASP1:

  1. Trên VISTASP1, kích Start, sau đó kích Control Panel.
  2. Kích Security, kích Windows Firewall, sau đó kích Change settings.
  3. Trong hộp thoại Windows Firewall Settings, kích Off (not recommended), sau đó kích OK.

Hình 8

  1. Windows Firewall được bật trở lại tự động vì auto-remediation được kích hoạt. Mặc dù vậy, do các chính sách NAP hiện yêu cầu ứng dụng chống virus nên VISTASP1 sẽ xuất hiện trong trạng thái không đồng thuận và sẽ không thể đạt được chứng chỉ sức khỏe.

Xác nhận chứng chỉ sức khỏe đã bị gỡ bỏ

Tiếp đến, xem các chứng chỉ máy tính trên CLIENT1 để thẩm định chứng chỉ sức khỏe đã bị gỡ bỏ.

  1. Trên VISTASP1, mở hộp thoại Run và đánh mmc, sau đó nhấn ENTER.
  2. Trên menu File, kích Add/Remote Snap-in
  3. Kích Certificates, kích Add, chọn Computer account, sau đó kích Next
  4. Thẩm định rằng Local computer: (the computer this console is running on) được chọn, kích Finish, sau đó kích OK.
  5. Trong cây giao diện, mở Certificates (Local Computer)Personal.
  6. Thẩm định rằng không có chứng chỉ sức khỏe nào được hiện diện.

Hình 9

  1. Để giao diện Certificates mở để thực hiện các thủ tục sau.

Gỡ bỏ yêu cầu sức khỏe chống virus để VISTASP1 trở thành đồng thuận

Thay đổi các chính sách NAP để VISTASP1 trở thành đồng thuận.

  1. Trên WIN2008SRV1, trong panel trái của giao diện NAP, mở Network Access Protection, sau đó kíchSystem Health Validators.
  2. Kích đúp vào Windows Security Health Validator và kích Configure.
  3. Trong hộp thoại Windows Security Health Validator, bên dưới Virus Protection, xóa hộp kiểm bên cạnhAn antivirus application is on.

Hình 10

  1. Kích OK và sau đó kích OK lần nữa để đóng cửa sổ Windows Security Health Validator Properties.
  2. Đóng giao diện NPS.

Refresh SoH trên VISTASP1

Thực hiện thủ tục trước để refresh SoH trên VISTASP1 bằng cách tắt Windows Firewall. Một SoH mới sẽ được kích hoạt và Windows Firewall sẽ được bật. Vì VISTASP1 lúc này đồng thuận với các chính sách NAP nên nó sẽ được dự trữ sẵn một chứng chỉ sức khỏe.

Xem các chứng chỉ máy tính trên VISTASP1 để thẩm định rằng chứng chỉ sức khỏe đã được khôi phục.

  1. Trên VISTASP1, trong giao diện điều khiển , cây giao diện, kích Personal.
  2. Kích chuột phải vào panel chi tiết và sau đó kích Refresh. Thẩm định rằng chứng chỉ sức khỏe đã hiện diện.

Hình 11

Hình 12

Kết luận

Trong loạt bài này chúng tôi đã cung cấp cho các bạn nhiều phần có liên quan đến giải pháp thực thi NAP Ipsec. Như những gì các bạn được giới thiệu trong bài, có nhiều thành phần trong giải pháp và mỗi một thành phần đó phải được cấu hình đúng cách để giải pháp làm việc. Nhiều quản trị viên Windows lo ngại về sự phức tạp của NAP với sự thực thi chính sách Ipsec và do đó đã không áp dụng công nghệ bảo mật hiệu quả và mạnh này. Trước khi thực hiện thử nghiệm các bạn hãy tạo một bản sao minh chứng của mình trong phòng thứ nghiệm trước khi thực hiện thực thi này tên mạng sản xuất.

Article Categories:
IT & Network
    http://linholiver.com

    https://linholiver.com/diary/about/