PHẦN I: NAP-DHCP
I. Giới thiệu
Cấu hình Network Access Protection (NAP) để đưa ra các điều kiện bảo mật trong hệ thống DHCP
Sau khi hoàn tất bài lab, hệ thống DHCP của bạn sẽ đáp ứng được các nhu cầu sau:
- Các máy client an toàn sẽ được DHCP Server cung cấp đầy đủ thông số TCP/IP
- Các máy client không an toàn sẽ không được DHCP Server cung cấp Default Gateway
Các bài viết liên quan:
GIỚI THIỆU VỀ NETWORK ACCESS PROTECTION(NAP)
NETWORK ACCESS PROTECTION PHẦN II: NAP-VPN
Bài lab bao gồm các bước:
1. Cài đặt và cấu hình DHCP server
2. Cài đặt Network Policy and Access Service
3. Cấu hình NAP health policy server
4. Cấu hình NAP enforcement trên DHCP Server
5. Triển khai GPO để cấu hình NAP client
6. Cấu hình máy Client nhận IP từ DHCP
7. Cấu hình System Health validator
8. Máy Client kiểm tra kết quả
II. Chuẩn bị
Bài lab bao gồm 2 máy:
- Máy Server: Windows Server 2008 đã nâng cấp Domain Controller
- Máy Client: Windows Vista đã join vào domain
III. Thực hiện
1. Cài đặt và cấu hình DHCP server
- Tại máy Server, log on
Domain Administrator password
P@ssword
- Mở
Server Manager từ Administrative Tools, right click
Roles, chọn
Add Roles
- Trong cửa sổ
Before You Begin, chọn
Next
- Trong cửa sổ
Select Server Roles, đánh dấu chọn vào ô
DHCP Server, chọn
Next
- Trong cửa sổ
DHCP Server, chọn
Next
- Trong cửa sổ
Select Network Connection Bindings, kiểm tra có đánh dấu chọn vào địa chỉ IP hiện thời của máy Server, chọn
Next
- Trong cửa sổ
Specify IPv4 DNS Server Settings, để nguyên cấu hình mặc định, chọn
Next
- Trong cửa sổ
Specify IPv4 WINS Server Settings, chọn
WINS is not required for applications on this network, chọn
Next
- Trong cửa sổ
Add or Edit DHCP Scopes, chọn
Add
- Trong cửa sổ
Add Scope, cấu hình thông số TCP/IP như trong hình, chọn
OK
- Trong cửa sổ
Add or Edit DHCP Scopes, chọn
Next
- Trong cửa sổ
Configure DHCPv6 Stateless Mode, chọn
Disable DHCP stateless mode for this server, chọn
Next
- Trong cửa sổ
Authorize DHC Server, giữ cấu hình mặc định, chọn
Next
- Trong cửa sổ
Confirm Installation Selections, chọn
Install
- Trong cửa sổ
Installation Results, chọn
Close
- Mở
DHCP từ Administrative Tools, kiểm tra đã cài đặt và cấu hình thành công DHCP Server
2. Cài đặt Network Policy and Access Service
- Mở
Server Manager từ Administrative Tools, right click
Roles chọn
Add Roles
- Trong cửa
sổ Before You Begin, chọn
Next
- Trong cửa sổ
Select Server Roles, đánh dấu chọn vào ô
Network Policy and Access Services, chọn
Next
- Trong cửa sổ
Network Policy and Access Services, chọn
Next
- Trong cửa sổ
Select Role Services, đánh dấu chọn vào ô
Network Policy Server, chọn
Next
- Trong cửa sổ
Confirm Installation Selections, chọn
Install
- Trong cửa sổ
Installation Results, chọn
Close
3. Cấu hình NAP health policy server
- Trên máy Server, mở
Network Policy Server từ
Administrative Tools, bung
Network Access Protection, chọn
System Health Validators, right click
Windows Security Health Validators chọn
Properties
- Trong cửa sổ
Windows Security Health Validators Properties, chọn
Configure…
- Trong cửa sổ
Windows Security Health Validators, bỏ tất cả các ô chọn, trừ ô
A firewall is enable for all network connections, chọn
OK
- Trong cửa sổ
Windows Security Health Validators Properties, chọn
OK
- Trong cửa sổ
Network Access Policy,
bung Network Access Protection, right click
Remediation Server Groups chọn
New
- Trong cửa sổ
New Remediation Server Group, nhập
Rem1 vào ô
Group Name, chọn
Add
- Trong cửa sổ
Add New Server, nhập IP của máy Server (192.168.1.1) vào ô
IP address or DNS name, chọn
Resolve, chọn
OK
- Trong cửa sổ
New Remediation Server Group, kiểm tra đã add được địa chỉ của máy Server vào ô
Remediation Server, chọn
OK
- Trong cửa sổ
Network Policy Server, bung
Policies, right click
Health Policies chọn
New
- Trong cửa sổ
Create New Health Policy, nhập
Compliant vào ô
Policy name, trong ô
Client SHV checks chọn
Client passes all SHV checks, kiểm tra có đánh dấu chọn ô
Windows Security Health Validator, chọn
OK
- Trong cửa sổ
Network Policy Server, bung
Policies, right click
Health Policies chọn
New
- Trong cửa sổ
Create New Health Policy, nhập
NonCompliant vào ô
Policy name, trong ô
Client SHV checks chọn
Client fails one or more SHV checks, kiểm tra có đánh dấu chọn ô
Windows Security Health Validator, chọn
OK
- Kiểm tra đã tạo thành công 2 Health Policies:
Complient và
NonComplient
- Trong cửa sổ
Network Policy Server, bung
Policies, vào
Network Policies, lần lượt disable 2 policy đang có
- Right click
Network Policies chọn
New
- Trong cửa sổ
Specify Network Policy Name and Connection Type, nhập
Complian Full-Access vào ô
Policy name, chọn
Next
- Trong cửa sổ
Specify Conditions, chọn
Add
- Trong cửa sổ
Select condition, chọn mục
Health Policies, chọn
Add
- Trong cửa sổ
Health Policies, bung
Health policies chọn
Compliant, chọn
OK
- Trong cửa sổ
Specify Conditions, chọn
Next
- Trong cửa sổ
Specify Access Permission, chọn
Access granted, chọn
Next
- Trong cửa sổ
Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô
Perform machine health check only, chọn
Next
- Trong cửa sổ
Configure Constraints, giữ cấu hình mặc định, chọn
Next
- Trong cửa sổ
Configure Settings, chọn mục
NAP Enforcement, kiểm tra đảm bảo đang chọn
Allow full network access, chọn
Next
- Trong cửa sổ
Completing New Network Policy, chọn
Finish
- Right click
Network Policies chọn
New
- Trong cửa sổ
Specify Network Policy Name and Connection Type, nhập
NonCompliant Restricted vào ô
Policy name, chọn
Next
- Trong cửa sổ
Specify Conditions, chọn
Add
- Trong cửa sổ
Select condition, chọn mục
Health Policies, chọn
Add
- Trong cửa sổ
Health Policies, bung
Health policies chọn
NonCompliant, chọn
OK
- Trong cửa sổ
Specify Conditions, chọn
Next
- Trong cửa sổ
Specify Access Permission, chọn
Access granted, chọn
Next
- Trong cửa sổ
Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô
Perform machine health check only, chọn
Next
- Trong cửa sổ
Configure Constraints, giữ cấu hình mặc định, chọn
Next
- Trong cửa sổ
Configure Settings, chọn mục
NAP Enforcement, chọn
Allow limited access, đánh dấu chọn ô
Enable auto-remediation of client computers, chọn
Next
- Trong cửa sổ
Completing New Network Policy, chọn
Finish
- Kiểm tra đã tạo thành công 2 Network Policies
4. Cấu hình NAP enforcement trên DHCP Server
- Mở
DHCP từ Administrative Tools, bung
PCxx.nhatnghe.com, bung
IPv4, right click
Scope [192.168.1.0] NAP Scope chọn
Properties
- Trong cửa sổ
NAP Scope Properties, vào tab
Network Access Protection, chọn
Enable for this scope, chọn
Use default Network Access Protection profile, chọn
OK
- Trong cửa sổ
DHCP, bung
PCxx.nhatnghe.com, bung
IPv4, bung
Scope [192.168.1.0] NAP Scope, right click
Scope Options chọn
Configure Option…
- Trong cửa sổ
Scope Option, vào tab
Advanced, trong ô
Vendor Class chọn
DHCP Standard Option, trong ô
User Class chọn
Default User Class, đánh dấu chọn
015 DNS Server Name, nhập
nhatnghe.com vào ô
String value, chọn
OK
- Tương tự, right click
Scope Option, chọn
Configure Option
- Trong cửa sổ
Scope Option, vào tab
Advanced, trong ô
Vendor Class chọn
DHCP Standard Option, trong ô
User Class chọn
Default Network Access Protection Class, đánh dấu chọn
006 DNS Server, nhập
192.168.1.1vào ô
IP address, chọn
Add
- Đánh dấu chọn
015 DNS Server Name, nhập
restricted.
nhatnghe.com vào ô
String value, chọn
OK
- Kiểm tra đã cấu hình thành công các
DHCP Option
5. Triển khai GPO để cấu hình NAP client
- Mở
Active Directory Users and Computers từ Administrative Tools, right click
nhatnghe.com chọn
New, chọn
Organizational Unit
- Trong cửa sổ
New Object – Organizational Unit, đặt tên cho OU là
NAP Clients, chọn
OK
- Vào container
Computer, move máy computer account của máy Client vào OU
NAP Clients
- Kiểm tra computer account của máy Client đã được move vào OU NAP Client
- Mở
Group Policy Management từ Administrative Tools, bung
Forest:nhatnghe.com, bung
Domains, bung
nhanghe.com, right click OU
NAP Clients, chọn
Create a GPO in this domain, and link it here…
- Trong cửa sổ
New GPO, nhập
NAP Policy vào ô
Name, trong ô
Source Starter GPO chọn
(none), chọn
OK
- Bung OU
NAP Clients, right click
NAP Policy chọn
Edit
- Trong cửa sổ
Group Policy Management Editor, vào đường dẫn
Computer Configuration\Administrative Template\Windows Components\Security Center, right click
Turn on Security Center (Domain PCs only), chọn
Properties
- Trong cửa sổ Turn
on Security Center (Domain PCs only) Properties, chọn
Enable, chọn
OK
- Trong cửa sổ
Group Policy Management Editor, vào đường dẫn
Computer Configuration\Windows Settings\Security Settings\Network Access Protection\NAP Client Configuration\Enforcement Clients, right click
DHCP Quarantine Enforcement Client, chọn
Enable
- Trong cửa sổ
Group Policy Management Editor, vào đường dẫn
Computer Configuration\Windows Settings\Security Settings\System Services, right click
Network Access Protection Agent, chọn
Properties
- Trong cửa sổ
Network Access Protection Agent Properties, đánh dấu chọn
Define this policy setting, chọn
Automatic, chọn
OK
- Tắt cửa sổ
Group Policy Management Editor, trong hộp thoại
NAP Client Configuration chọn
Yes
- Mở command line, gõ lệnh
gpupdate /force
6. Cấu hình máy Client nhận IP từ DHCP
- Restart máy Client
- Log on
Administrator@nhatnghe.com password
P@ssword
- Trong Control Panel, mở
Windows Firewall, kiểm tra máy Client có bật Windows Firewall
- Trong Control Panel, mở
Network and Sharing Center
- Trong cửa sổ
Network and Sharing Center, chọn
Manage network connections
- Trong cửa sổ
Network Connections, right click
Local Area Connection chọn
Properties
- Trong cửa sổ
Local Area Connection Properties, bỏ dấu chọn
Internet Protocol Vertion 6 (TCP/IPv6). Chọn
Internet Protocol Vertion 4 (TCP/IPv4), chọn
Properties
- Trong cửa sổ
Internet Protocol Vertion 4 (TCP/IPv4) Properties, chọn
Obtain an IP address automatically, chọn
Obtain DNS server address automatically, chọn
OK
- Mở command line, gõ lệnh
ipconfig /all, kiểm tra máy Client đã được DHCP server cung cấp đầy đủ thông số TCP/IP
- Kiểm tra
Connection- specific DNS Suffix là
nhatnghe.com
- Kiểm tra
Quarantine State là
Not Restricted
Chú thích: Máy client có bật Windows Firewall nên đủ điều kiện nhận được các thông số TCP/IP (kể cả Default Gateway) từ DHCP server cung cấp
7. Cấu hình System Health validator
- Tại máy Server, logon
Administrator@nhatnghe.com password
P@ssword
- Mở
Network Policy Server từ Administrative Tools, bung
Network Access Protection, chọn
System Health Vatidators, right click
Windows Security Health Validator chọn
Properties
- Trong cửa sổ
Windows Security Health Validator Properties, chọn
Configure…
- Trong cửa sổ
Windows Security Health Validator, đánh dấu chọn ô
An antivirus application is on, chọn
OK
- Trong cửa sổ
Windows Security Health Validator Properties, chọn
OK
8. Máy Client kiểm tra kết quả
- Tại máy Client, log on
Administrator@nhatnghe.com password
P@ssword
- Mở
Security Center trong Control Panel
- Trong cửa sổ
Windows Security Center, kiểm tra mục
Virus Protection đang ở tình trạng
Not found (Máy Client không có cài chương trình Antivirus)
- Mở command line gõ lần lượt các lệnh:
ipconfig /release
ipconfig /renew
ipconfig /all
- Kiểm tra máy Client không đuợc cấp
Default Gateway
- Kiểm tra
Connection- specific DNS Suffix là
restricted.nhatnghe.com
- Kiểm tra
Quarantine State là
Restricted
Chú thích: Máy client không có cài chương trình Antivirus nên không được DHCP server cung cấp Default Gateway
Theo: Trần Thủy Hoàng (Msopenlab)