Phần i: Nap-dhcp
PHẦN I: NAP-DHCP I. Giới thiệuCấu hình Network Access Protection (NAP) để đưa ra các điều kiện bảo mật trong hệ thống DHCP Sau khi hoàn tất bài lab, hệ thống DHCP của bạn sẽ đáp ứng được các nhu cầu sau: - Các máy client an toàn sẽ được DHCP Server cung cấp đầy đủ thông số TCP/IP - Các máy client không an toàn sẽ không được DHCP Server cung cấp Default Gateway Các bài viết liên quan: GIỚI THIỆU VỀ NETWORK ACCESS PROTECTION(NAP) NETWORK ACCESS PROTECTION PHẦN II: NAP-VPN Bài lab bao gồm các bước: 1. Cài đặt và cấu hình DHCP server 2. Cài đặt Network Policy and Access Service 3. Cấu hình NAP health policy server 4. Cấu hình NAP enforcement trên DHCP Server 5. Triển khai GPO để cấu hình NAP client 6. Cấu hình máy Client nhận IP từ DHCP 7. Cấu hình System Health validator 8. Máy Client kiểm tra kết quả II. Chuẩn bị Bài lab bao gồm 2 máy: - Máy Server: Windows Server 2008 đã nâng cấp Domain Controller - Máy Client: Windows Vista đã join vào domain III. Thực hiện 1. Cài đặt và cấu hình DHCP server - Tại máy Server, log on Domain Administrator password P@ssword - Mở Server Manager từ Administrative Tools, right click Roles, chọn Add Roles http://msopenlab.com/lab/NAP-DHCP/image001.jpg - Trong cửa sổ Before You Begin, chọn Next http://msopenlab.com/lab/NAP-DHCP/image002.jpg - Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô DHCP Server, chọn Next http://msopenlab.com/lab/NAP-DHCP/image003.jpg - Trong cửa sổ DHCP Server, chọn Next http://msopenlab.com/lab/NAP-DHCP/image004.jpg - Trong cửa sổ Select Network Connection Bindings, kiểm tra có đánh dấu chọn vào địa chỉ IP hiện thời của máy Server, chọn Next http://msopenlab.com/lab/NAP-DHCP/image005.jpg - Trong cửa sổ Specify IPv4 DNS Server Settings, để nguyên cấu hình mặc định, chọn Next http://msopenlab.com/lab/NAP-DHCP/image006.jpg - Trong cửa sổ Specify IPv4 WINS Server Settings, chọn WINS is not required for applications on this network, chọn Next http://msopenlab.com/lab/NAP-DHCP/image007.jpg - Trong cửa sổ Add or Edit DHCP Scopes, chọn Add http://msopenlab.com/lab/NAP-DHCP/image008.jpg - Trong cửa sổ Add Scope, cấu hình thông số TCP/IP như trong hình, chọn OK http://msopenlab.com/lab/NAP-DHCP/image009.jpg - Trong cửa sổ Add or Edit DHCP Scopes, chọn Next http://msopenlab.com/lab/NAP-DHCP/image010.jpg - Trong cửa sổ Configure DHCPv6 Stateless Mode, chọn Disable DHCP stateless mode for this server, chọn Next http://msopenlab.com/lab/NAP-DHCP/image011.jpg - Trong cửa sổ Authorize DHC Server, giữ cấu hình mặc định, chọn Next http://msopenlab.com/lab/NAP-DHCP/image012.jpg - Trong cửa sổ Confirm Installation Selections, chọn Install http://msopenlab.com/lab/NAP-DHCP/image013.jpg - Trong cửa sổ Installation Results, chọn Close http://msopenlab.com/lab/NAP-DHCP/image014.jpg - Mở DHCP từ Administrative Tools, kiểm tra đã cài đặt và cấu hình thành công DHCP Server http://msopenlab.com/lab/NAP-DHCP/image015.jpg 2. Cài đặt Network Policy and Access Service - Mở Server Manager từ Administrative Tools, right click Roles chọn Add Roles http://msopenlab.com/lab/NAP-DHCP/image016.jpg - Trong cửa sổ Before You Begin, chọn Next http://msopenlab.com/lab/NAP-DHCP/image017.jpg - Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô Network Policy and Access Services, chọn Next http://msopenlab.com/lab/NAP-DHCP/image018.jpg - Trong cửa sổ Network Policy and Access Services, chọn Next http://msopenlab.com/lab/NAP-DHCP/image019.jpg - Trong cửa sổ Select Role Services, đánh dấu chọn vào ô Network Policy Server, chọn Next http://msopenlab.com/lab/NAP-DHCP/image020.jpg - Trong cửa sổ Confirm Installation Selections, chọn Install http://msopenlab.com/lab/NAP-DHCP/image021.jpg - Trong cửa sổ Installation Results, chọn Close http://msopenlab.com/lab/NAP-DHCP/image022.jpg 3. Cấu hình NAP health policy server - Trên máy Server, mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Validators, right click Windows Security Health Validators chọn Properties http://msopenlab.com/lab/NAP-DHCP/image023.jpg - Trong cửa sổ Windows Security Health Validators Properties, chọn Configure… http://msopenlab.com/lab/NAP-DHCP/image024.jpg - Trong cửa sổ Windows Security Health Validators, bỏ tất cả các ô chọn, trừ ô A firewall is enable for all network connections, chọn OK http://msopenlab.com/lab/NAP-DHCP/image025.jpg - Trong cửa sổ Windows Security Health Validators Properties, chọn OK http://msopenlab.com/lab/NAP-DHCP/image026.jpg - Trong cửa sổ Network Access Policy, bung Network Access Protection, right click Remediation Server Groups chọn New http://msopenlab.com/lab/NAP-DHCP/image027.jpg - Trong cửa sổ New Remediation Server Group, nhập Rem1 vào ô Group Name, chọn Add http://msopenlab.com/lab/NAP-DHCP/image028.jpg - Trong cửa sổ Add New Server, nhập IP của máy Server (192.168.1.1) vào ô IP address or DNS name, chọn Resolve, chọn OK http://msopenlab.com/lab/NAP-DHCP/image029.jpg - Trong cửa sổ New Remediation Server Group, kiểm tra đã add được địa chỉ của máy Server vào ô Remediation Server, chọn OK http://msopenlab.com/lab/NAP-DHCP/image030.jpg - Trong cửa sổ Network Policy Server, bung Policies, right click Health Policies chọn New http://msopenlab.com/lab/NAP-DHCP/image031.jpg - Trong cửa sổ Create New Health Policy, nhập Compliant vào ô Policy name, trong ô Client SHV checks chọn Client passes all SHV checks, kiểm tra có đánh dấu chọn ô Windows Security Health Validator, chọn OK http://msopenlab.com/lab/NAP-DHCP/image032.jpg - Trong cửa sổ Network Policy Server, bung Policies, right click Health Policies chọn New http://msopenlab.com/lab/NAP-DHCP/image033.jpg - Trong cửa sổ Create New Health Policy, nhập NonCompliant vào ô Policy name, trong ô Client SHV checks chọn Client fails one or more SHV checks, kiểm tra có đánh dấu chọn ô Windows Security Health Validator, chọn OK http://msopenlab.com/lab/NAP-DHCP/image034.jpg - Kiểm tra đã tạo thành công 2 Health Policies: Complient và NonComplient http://msopenlab.com/lab/NAP-DHCP/image035.jpg - Trong cửa sổ Network Policy Server, bung Policies, vào Network Policies, lần lượt disable 2 policy đang có http://msopenlab.com/lab/NAP-DHCP/image036.jpg - Right click Network Policies chọn New http://msopenlab.com/lab/NAP-DHCP/image037.jpg - Trong cửa sổ Specify Network Policy Name and Connection Type, nhập Complian Full-Access vào ô Policy name, chọn Next http://msopenlab.com/lab/NAP-DHCP/image038.jpg - Trong cửa sổ Specify Conditions, chọn Add http://msopenlab.com/lab/NAP-DHCP/image039.jpg - Trong cửa sổ Select condition, chọn mục Health Policies, chọn Add http://msopenlab.com/lab/NAP-DHCP/image040.jpg - Trong cửa sổ Health Policies, bung Health policies chọn Compliant, chọn OK http://msopenlab.com/lab/NAP-DHCP/image041.jpg - Trong cửa sổ Specify Conditions, chọn Next http://msopenlab.com/lab/NAP-DHCP/image042.jpg - Trong cửa sổ Specify Access Permission, chọn Access granted, chọn Next http://msopenlab.com/lab/NAP-DHCP/image043.jpg - Trong cửa sổ Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô Perform machine health check only, chọn Next http://msopenlab.com/lab/NAP-DHCP/image044.jpg - Trong cửa sổ Configure Constraints, giữ cấu hình mặc định, chọn Next http://msopenlab.com/lab/NAP-DHCP/image045.jpg - Trong cửa sổ Configure Settings, chọn mục NAP Enforcement, kiểm tra đảm bảo đang chọn Allow full network access, chọn Next http://msopenlab.com/lab/NAP-DHCP/image046.jpg - Trong cửa sổ Completing New Network Policy, chọn Finish http://msopenlab.com/lab/NAP-DHCP/image047.jpg - Right click Network Policies chọn New http://msopenlab.com/lab/NAP-DHCP/image048.jpg - Trong cửa sổ Specify Network Policy Name and Connection Type, nhập NonCompliant Restricted vào ô Policy name, chọn Next http://msopenlab.com/lab/NAP-DHCP/image049.jpg - Trong cửa sổ Specify Conditions, chọn Add http://msopenlab.com/lab/NAP-DHCP/image050.jpg - Trong cửa sổ Select condition, chọn mục Health Policies, chọn Add http://msopenlab.com/lab/NAP-DHCP/image051.jpg - Trong cửa sổ Health Policies, bung Health policies chọn NonCompliant, chọn OK http://msopenlab.com/lab/NAP-DHCP/image052.jpg - Trong cửa sổ Specify Conditions, chọn Next http://msopenlab.com/lab/NAP-DHCP/image053.jpg - Trong cửa sổ Specify Access Permission, chọn Access granted, chọn Next http://msopenlab.com/lab/NAP-DHCP/image054.jpg - Trong cửa sổ Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô Perform machine health check only, chọn Next http://msopenlab.com/lab/NAP-DHCP/image055.jpg - Trong cửa sổ Configure Constraints, giữ cấu hình mặc định, chọn Next http://msopenlab.com/lab/NAP-DHCP/image045.jpg - Trong cửa sổ Configure Settings, chọn mục NAP Enforcement, chọn Allow limited access, đánh dấu chọn ô Enable auto-remediation of client computers, chọn Next http://msopenlab.com/lab/NAP-DHCP/image056.jpg - Trong cửa sổ Completing New Network Policy, chọn Finish http://msopenlab.com/lab/NAP-DHCP/image057.jpg - Kiểm tra đã tạo thành công 2 Network Policies 4. Cấu hình NAP enforcement trên DHCP Server - Mở DHCP từ Administrative Tools, bung PCxx.nhatnghe.com, bung IPv4, right click Scope [192.168.1.0] NAP Scope chọn Properties http://msopenlab.com/lab/NAP-DHCP/image058.jpg - Trong cửa sổ NAP Scope Properties, vào tab Network Access Protection, chọn Enable for this scope, chọn Use default Network Access Protection profile, chọn OK http://msopenlab.com/lab/NAP-DHCP/image059.jpg - Trong cửa sổ DHCP, bung PCxx.nhatnghe.com, bung IPv4, bung Scope [192.168.1.0] NAP Scope, right click Scope Options chọn Configure Option… http://msopenlab.com/lab/NAP-DHCP/image060.jpg - Trong cửa sổ Scope Option, vào tab Advanced, trong ô Vendor Class chọn DHCP Standard Option, trong ô User Class chọn Default User Class, đánh dấu chọn 015 DNS Server Name, nhập nhatnghe.com vào ô String value, chọn OK http://msopenlab.com/lab/NAP-DHCP/image061.jpg - Tương tự, right click Scope Option, chọn Configure Option http://msopenlab.com/lab/NAP-DHCP/image062.jpg - Trong cửa sổ Scope Option, vào tab Advanced, trong ô Vendor Class chọn DHCP Standard Option, trong ô User Class chọn Default Network Access Protection Class, đánh dấu chọn 006 DNS Server, nhập 192.168.1.1vào ô IP address, chọn Add http://msopenlab.com/lab/NAP-DHCP/image063.jpg - Đánh dấu chọn 015 DNS Server Name, nhập restricted.nhatnghe.com vào ô String value, chọn OK http://msopenlab.com/lab/NAP-DHCP/image064.jpg - Kiểm tra đã cấu hình thành công các DHCP Option http://msopenlab.com/lab/NAP-DHCP/image065.jpg 5. Triển khai GPO để cấu hình NAP client - Mở Active Directory Users and Computers từ Administrative Tools, right click nhatnghe.com chọn New, chọn Organizational Unit http://msopenlab.com/lab/NAP-DHCP/image066.jpg - Trong cửa sổ New Object – Organizational Unit, đặt tên cho OU là NAP Clients, chọn OK http://msopenlab.com/lab/NAP-DHCP/image067.jpg - Vào container Computer, move máy computer account của máy Client vào OU NAP Clients http://msopenlab.com/lab/NAP-DHCP/image068.jpg - Kiểm tra computer account của máy Client đã được move vào OU NAP Client http://msopenlab.com/lab/NAP-DHCP/image069.jpg - Mở Group Policy Management từ Administrative Tools, bung Forest:nhatnghe.com, bung Domains, bung nhanghe.com, right click OU NAP Clients, chọn Create a GPO in this domain, and link it here… http://msopenlab.com/lab/NAP-DHCP/image070.jpg - Trong cửa sổ New GPO, nhập NAP Policy vào ô Name, trong ô Source Starter GPO chọn (none), chọn OK http://msopenlab.com/lab/NAP-DHCP/image071.jpg - Bung OU NAP Clients, right click NAP Policy chọn Edit http://msopenlab.com/lab/NAP-DHCP/image072.jpg - Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Administrative Template\Windows Components\Security Center, right click Turn on Security Center (Domain PCs only), chọn Properties http://msopenlab.com/lab/NAP-DHCP/image073.jpg - Trong cửa sổ Turn on Security Center (Domain PCs only) Properties, chọn Enable, chọn OK http://msopenlab.com/lab/NAP-DHCP/image074.jpg - Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Windows Settings\Security Settings\Network Access Protection\NAP Client Configuration\Enforcement Clients, right click DHCP Quarantine Enforcement Client, chọn Enable http://msopenlab.com/lab/NAP-DHCP/image075.jpg - Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Windows Settings\Security Settings\System Services, right click Network Access Protection Agent, chọn Properties http://msopenlab.com/lab/NAP-DHCP/image076.jpg - Trong cửa sổ Network Access Protection Agent Properties, đánh dấu chọn Define this policy setting, chọn Automatic, chọn OK http://msopenlab.com/lab/NAP-DHCP/image077.jpg - Tắt cửa sổ Group Policy Management Editor, trong hộp thoại NAP Client Configuration chọn Yes http://msopenlab.com/lab/NAP-DHCP/image078.jpg - Mở command line, gõ lệnh gpupdate /force http://msopenlab.com/lab/NAP-DHCP/image079.jpg 6. Cấu hình máy Client nhận IP từ DHCP - Restart máy Client - Log on Administrator@nhatnghe.com password P@ssword - Trong Control Panel, mở Windows Firewall, kiểm tra máy Client có bật Windows Firewall - Trong Control Panel, mở Network and Sharing Center http://msopenlab.com/lab/NAP-DHCP/image080.jpg - Trong cửa sổ Network and Sharing Center, chọn Manage network connections http://msopenlab.com/lab/NAP-DHCP/image081.jpg - Trong cửa sổ Network Connections, right click Local Area Connection chọn Properties http://msopenlab.com/lab/NAP-DHCP/image082.jpg - Trong cửa sổ Local Area Connection Properties, bỏ dấu chọn Internet Protocol Vertion 6 (TCP/IPv6). Chọn Internet Protocol Vertion 4 (TCP/IPv4), chọn Properties http://msopenlab.com/lab/NAP-DHCP/image083.jpg - Trong cửa sổ Internet Protocol Vertion 4 (TCP/IPv4) Properties, chọn Obtain an IP address automatically, chọn Obtain DNS server address automatically, chọn OK http://msopenlab.com/lab/NAP-DHCP/image084.jpg - Mở command line, gõ lệnh ipconfig /all, kiểm tra máy Client đã được DHCP server cung cấp đầy đủ thông số TCP/IP - Kiểm tra Connection- specific DNS Suffix là nhatnghe.com - Kiểm tra Quarantine State là Not Restricted Chú thích: Máy client có bật Windows Firewall nên đủ điều kiện nhận được các thông số TCP/IP (kể cả Default Gateway) từ DHCP server cung cấp http://msopenlab.com/lab/NAP-DHCP/image085.jpg 7. Cấu hình System Health validator - Tại máy Server, logon Administrator@nhatnghe.com password P@ssword - Mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Vatidators, right click Windows Security Health Validator chọn Properties http://msopenlab.com/lab/NAP-DHCP/image086.jpg - Trong cửa sổ Windows Security Health Validator Properties, chọn Configure… http://msopenlab.com/lab/NAP-DHCP/image024.jpg - Trong cửa sổ Windows Security Health Validator, đánh dấu chọn ô An antivirus application is on, chọn OK http://msopenlab.com/lab/NAP-DHCP/image087.jpg - Trong cửa sổ Windows Security Health Validator Properties, chọn OK http://msopenlab.com/lab/NAP-DHCP/image026.jpg 8. Máy Client kiểm tra kết quả - Tại máy Client, log on Administrator@nhatnghe.com password P@ssword - Mở Security Center trong Control Panel http://msopenlab.com/lab/NAP-DHCP/image088.jpg - Trong cửa sổ Windows Security Center, kiểm tra mục Virus Protection đang ở tình trạng Not found (Máy Client không có cài chương trình Antivirus) http://msopenlab.com/lab/NAP-DHCP/image089.jpg - Mở command line gõ lần lượt các lệnh: ipconfig /release ipconfig /renew ipconfig /all - Kiểm tra máy Client không đuợc cấp Default Gateway - Kiểm tra Connection- specific DNS Suffix là restricted.nhatnghe.com - Kiểm tra Quarantine State là Restricted Chú thích: Máy client không có cài chương trình Antivirus nên không được DHCP server cung cấp Default Gateway http://msopenlab.com/lab/NAP-DHCP/image090.jpg Theo: Trần Thủy Hoàng (Msopenlab) :battay: |
Bây giờ là 04:09 PM. Giờ GMT +7 |
Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.