Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng (http://quantrinet.com/forum/index.php)
-   Module 5: Network Policies and Access Protection (http://quantrinet.com/forum/forumdisplay.php?f=250)
-   -   Phần i: Nap-dhcp (http://quantrinet.com/forum/showthread.php?t=3169)

hoctinhoc 06-08-2009 10:38 PM

Phần i: Nap-dhcp
 
PHẦN I: NAP-DHCP

I. Giới thiệu

Cấu hình Network Access Protection (NAP) để đưa ra các điều kiện bảo mật trong hệ thống DHCP
Sau khi hoàn tất bài lab, hệ thống DHCP của bạn sẽ đáp ứng được các nhu cầu sau:
- Các máy client an toàn sẽ được DHCP Server cung cấp đầy đủ thông số TCP/IP
- Các máy client không an toàn sẽ không được DHCP Server cung cấp Default Gateway



Các bài viết liên quan:


GIỚI THIỆU VỀ NETWORK ACCESS PROTECTION(NAP)



NETWORK ACCESS PROTECTION PHẦN II: NAP-VPN

Bài lab bao gồm các bước:


1. Cài đặt và cấu hình DHCP server

2. Cài đặt Network Policy and Access Service

3. Cấu hình NAP health policy server

4. Cấu hình NAP enforcement trên DHCP Server

5. Triển khai GPO để cấu hình NAP client

6. Cấu hình máy Client nhận IP từ DHCP

7. Cấu hình System Health validator

8. Máy Client kiểm tra kết quả

II. Chuẩn bị

Bài lab bao gồm 2 máy:

- Máy Server: Windows Server 2008 đã nâng cấp Domain Controller

- Máy Client: Windows Vista đã join vào domain

III. Thực hiện

1. Cài đặt và cấu hình DHCP server

- Tại máy Server, log on Domain Administrator password P@ssword

- Mở Server Manager từ Administrative Tools, right click Roles, chọn Add Roles



http://msopenlab.com/lab/NAP-DHCP/image001.jpg



- Trong cửa sổ Before You Begin, chọn Next

http://msopenlab.com/lab/NAP-DHCP/image002.jpg



- Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô DHCP Server, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image003.jpg



- Trong cửa sổ DHCP Server, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image004.jpg



- Trong cửa sổ Select Network Connection Bindings, kiểm tra có đánh dấu chọn vào địa chỉ IP hiện thời của máy Server, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image005.jpg



- Trong cửa sổ Specify IPv4 DNS Server Settings, để nguyên cấu hình mặc định, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image006.jpg



- Trong cửa sổ Specify IPv4 WINS Server Settings, chọn WINS is not required for applications on this network, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image007.jpg



- Trong cửa sổ Add or Edit DHCP Scopes, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image008.jpg



- Trong cửa sổ Add Scope, cấu hình thông số TCP/IP như trong hình, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image009.jpg



- Trong cửa sổ Add or Edit DHCP Scopes, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image010.jpg



- Trong cửa sổ Configure DHCPv6 Stateless Mode, chọn Disable DHCP stateless mode for this server, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image011.jpg



- Trong cửa sổ Authorize DHC Server, giữ cấu hình mặc định, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image012.jpg



- Trong cửa sổ Confirm Installation Selections, chọn Install



http://msopenlab.com/lab/NAP-DHCP/image013.jpg



- Trong cửa sổ Installation Results, chọn Close



http://msopenlab.com/lab/NAP-DHCP/image014.jpg



- Mở DHCP từ Administrative Tools, kiểm tra đã cài đặt và cấu hình thành công DHCP Server



http://msopenlab.com/lab/NAP-DHCP/image015.jpg



2. Cài đặt Network Policy and Access Service

- Mở Server Manager từ Administrative Tools, right click Roles chọn Add Roles



http://msopenlab.com/lab/NAP-DHCP/image016.jpg



- Trong cửa sổ Before You Begin, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image017.jpg



- Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô Network Policy and Access Services, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image018.jpg



- Trong cửa sổ Network Policy and Access Services, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image019.jpg



- Trong cửa sổ Select Role Services, đánh dấu chọn vào ô Network Policy Server, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image020.jpg



- Trong cửa sổ Confirm Installation Selections, chọn Install



http://msopenlab.com/lab/NAP-DHCP/image021.jpg



- Trong cửa sổ Installation Results, chọn Close



http://msopenlab.com/lab/NAP-DHCP/image022.jpg



3. Cấu hình NAP health policy server

- Trên máy Server, mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Validators, right click Windows Security Health Validators chọn Properties



http://msopenlab.com/lab/NAP-DHCP/image023.jpg



- Trong cửa sổ Windows Security Health Validators Properties, chọn Configure…



http://msopenlab.com/lab/NAP-DHCP/image024.jpg



- Trong cửa sổ Windows Security Health Validators, bỏ tất cả các ô chọn, trừ ô A firewall is enable for all network connections, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image025.jpg



- Trong cửa sổ Windows Security Health Validators Properties, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image026.jpg



- Trong cửa sổ Network Access Policy, bung Network Access Protection, right click Remediation Server Groups chọn New



http://msopenlab.com/lab/NAP-DHCP/image027.jpg



- Trong cửa sổ New Remediation Server Group, nhập Rem1 vào ô Group Name, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image028.jpg



- Trong cửa sổ Add New Server, nhập IP của máy Server (192.168.1.1) vào ô IP address or DNS name, chọn Resolve, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image029.jpg



- Trong cửa sổ New Remediation Server Group, kiểm tra đã add được địa chỉ của máy Server vào ô Remediation Server, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image030.jpg



- Trong cửa sổ Network Policy Server, bung Policies, right click Health Policies chọn New



http://msopenlab.com/lab/NAP-DHCP/image031.jpg



- Trong cửa sổ Create New Health Policy, nhập Compliant vào ô Policy name, trong ô Client SHV checks chọn Client passes all SHV checks, kiểm tra có đánh dấu chọn ô Windows Security Health Validator, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image032.jpg



- Trong cửa sổ Network Policy Server, bung Policies, right click Health Policies chọn New



http://msopenlab.com/lab/NAP-DHCP/image033.jpg



- Trong cửa sổ Create New Health Policy, nhập NonCompliant vào ô Policy name, trong ô Client SHV checks chọn Client fails one or more SHV checks, kiểm tra có đánh dấu chọn ô Windows Security Health Validator, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image034.jpg



- Kiểm tra đã tạo thành công 2 Health Policies: ComplientNonComplient



http://msopenlab.com/lab/NAP-DHCP/image035.jpg



- Trong cửa sổ Network Policy Server, bung Policies, vào Network Policies, lần lượt disable 2 policy đang có



http://msopenlab.com/lab/NAP-DHCP/image036.jpg



- Right click Network Policies chọn New



http://msopenlab.com/lab/NAP-DHCP/image037.jpg



- Trong cửa sổ Specify Network Policy Name and Connection Type, nhập Complian Full-Access vào ô Policy name, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image038.jpg



- Trong cửa sổ Specify Conditions, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image039.jpg



- Trong cửa sổ Select condition, chọn mục Health Policies, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image040.jpg



- Trong cửa sổ Health Policies, bung Health policies chọn Compliant, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image041.jpg



- Trong cửa sổ Specify Conditions, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image042.jpg



- Trong cửa sổ Specify Access Permission, chọn Access granted, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image043.jpg



- Trong cửa sổ Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô Perform machine health check only, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image044.jpg



- Trong cửa sổ Configure Constraints, giữ cấu hình mặc định, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image045.jpg



- Trong cửa sổ Configure Settings, chọn mục NAP Enforcement, kiểm tra đảm bảo đang chọn Allow full network access, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image046.jpg



- Trong cửa sổ Completing New Network Policy, chọn Finish



http://msopenlab.com/lab/NAP-DHCP/image047.jpg



- Right click Network Policies chọn New



http://msopenlab.com/lab/NAP-DHCP/image048.jpg



- Trong cửa sổ Specify Network Policy Name and Connection Type, nhập NonCompliant Restricted vào ô Policy name, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image049.jpg



- Trong cửa sổ Specify Conditions, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image050.jpg



- Trong cửa sổ Select condition, chọn mục Health Policies, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image051.jpg



- Trong cửa sổ Health Policies, bung Health policies chọn NonCompliant, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image052.jpg



- Trong cửa sổ Specify Conditions, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image053.jpg



- Trong cửa sổ Specify Access Permission, chọn Access granted, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image054.jpg



- Trong cửa sổ Configure Authentication Methods, bỏ trắng các ô chọn, chỉ đánh dấu chọn vào ô Perform machine health check only, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image055.jpg



- Trong cửa sổ Configure Constraints, giữ cấu hình mặc định, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image045.jpg



- Trong cửa sổ Configure Settings, chọn mục NAP Enforcement, chọn Allow limited access, đánh dấu chọn ô Enable auto-remediation of client computers, chọn Next



http://msopenlab.com/lab/NAP-DHCP/image056.jpg



- Trong cửa sổ Completing New Network Policy, chọn Finish



http://msopenlab.com/lab/NAP-DHCP/image057.jpg



- Kiểm tra đã tạo thành công 2 Network Policies



4. Cấu hình NAP enforcement trên DHCP Server

- Mở DHCP từ Administrative Tools, bung PCxx.nhatnghe.com, bung IPv4, right click Scope [192.168.1.0] NAP Scope chọn Properties


http://msopenlab.com/lab/NAP-DHCP/image058.jpg



- Trong cửa sổ NAP Scope Properties, vào tab Network Access Protection, chọn Enable for this scope, chọn Use default Network Access Protection profile, chọn OK


http://msopenlab.com/lab/NAP-DHCP/image059.jpg



- Trong cửa sổ DHCP, bung PCxx.nhatnghe.com, bung IPv4, bung Scope [192.168.1.0] NAP Scope, right click Scope Options chọn Configure Option…


http://msopenlab.com/lab/NAP-DHCP/image060.jpg



- Trong cửa sổ Scope Option, vào tab Advanced, trong ô Vendor Class chọn DHCP Standard Option, trong ô User Class chọn Default User Class, đánh dấu chọn 015 DNS Server Name, nhập nhatnghe.com vào ô String value, chọn OK


http://msopenlab.com/lab/NAP-DHCP/image061.jpg



- Tương tự, right click Scope Option, chọn Configure Option



http://msopenlab.com/lab/NAP-DHCP/image062.jpg



- Trong cửa sổ Scope Option, vào tab Advanced, trong ô Vendor Class chọn DHCP Standard Option, trong ô User Class chọn Default Network Access Protection Class, đánh dấu chọn 006 DNS Server, nhập 192.168.1.1vào ô IP address, chọn Add



http://msopenlab.com/lab/NAP-DHCP/image063.jpg



- Đánh dấu chọn 015 DNS Server Name, nhập restricted.nhatnghe.com vào ô String value, chọn OK


http://msopenlab.com/lab/NAP-DHCP/image064.jpg



- Kiểm tra đã cấu hình thành công các DHCP Option



http://msopenlab.com/lab/NAP-DHCP/image065.jpg



5. Triển khai GPO để cấu hình NAP client

- Mở Active Directory Users and Computers từ Administrative Tools, right click nhatnghe.com chọn New, chọn Organizational Unit


http://msopenlab.com/lab/NAP-DHCP/image066.jpg



- Trong cửa sổ New Object – Organizational Unit, đặt tên cho OU là NAP Clients, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image067.jpg



- Vào container Computer, move máy computer account của máy Client vào OU NAP Clients



http://msopenlab.com/lab/NAP-DHCP/image068.jpg



- Kiểm tra computer account của máy Client đã được move vào OU NAP Client



http://msopenlab.com/lab/NAP-DHCP/image069.jpg



- Mở Group Policy Management từ Administrative Tools, bung Forest:nhatnghe.com, bung Domains, bung nhanghe.com, right click OU NAP Clients, chọn Create a GPO in this domain, and link it here…


http://msopenlab.com/lab/NAP-DHCP/image070.jpg



- Trong cửa sổ New GPO, nhập NAP Policy vào ô Name, trong ô Source Starter GPO chọn (none), chọn OK



http://msopenlab.com/lab/NAP-DHCP/image071.jpg



- Bung OU NAP Clients, right click NAP Policy chọn Edit



http://msopenlab.com/lab/NAP-DHCP/image072.jpg



- Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Administrative Template\Windows Components\Security Center, right click Turn on Security Center (Domain PCs only), chọn Properties



http://msopenlab.com/lab/NAP-DHCP/image073.jpg



- Trong cửa sổ Turn on Security Center (Domain PCs only) Properties, chọn Enable, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image074.jpg



- Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Windows Settings\Security Settings\Network Access Protection\NAP Client Configuration\Enforcement Clients, right click DHCP Quarantine Enforcement Client, chọn Enable



http://msopenlab.com/lab/NAP-DHCP/image075.jpg



- Trong cửa sổ Group Policy Management Editor, vào đường dẫn Computer Configuration\Windows Settings\Security Settings\System Services, right click Network Access Protection Agent, chọn Properties



http://msopenlab.com/lab/NAP-DHCP/image076.jpg



- Trong cửa sổ Network Access Protection Agent Properties, đánh dấu chọn Define this policy setting, chọn Automatic, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image077.jpg



- Tắt cửa sổ Group Policy Management Editor, trong hộp thoại NAP Client Configuration chọn Yes



http://msopenlab.com/lab/NAP-DHCP/image078.jpg



- Mở command line, gõ lệnh gpupdate /force



http://msopenlab.com/lab/NAP-DHCP/image079.jpg



6. Cấu hình máy Client nhận IP từ DHCP

- Restart máy Client

- Log on Administrator@nhatnghe.com password P@ssword

- Trong Control Panel, mở Windows Firewall, kiểm tra máy Client có bật Windows Firewall

- Trong Control Panel, mở Network and Sharing Center



http://msopenlab.com/lab/NAP-DHCP/image080.jpg



- Trong cửa sổ Network and Sharing Center, chọn Manage network connections



http://msopenlab.com/lab/NAP-DHCP/image081.jpg



- Trong cửa sổ Network Connections, right click Local Area Connection chọn Properties



http://msopenlab.com/lab/NAP-DHCP/image082.jpg



- Trong cửa sổ Local Area Connection Properties, bỏ dấu chọn Internet Protocol Vertion 6 (TCP/IPv6). Chọn Internet Protocol Vertion 4 (TCP/IPv4), chọn Properties



http://msopenlab.com/lab/NAP-DHCP/image083.jpg



- Trong cửa sổ Internet Protocol Vertion 4 (TCP/IPv4) Properties, chọn Obtain an IP address automatically, chọn Obtain DNS server address automatically, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image084.jpg



- Mở command line, gõ lệnh ipconfig /all, kiểm tra máy Client đã được DHCP server cung cấp đầy đủ thông số TCP/IP

- Kiểm tra Connection- specific DNS Suffixnhatnghe.com

- Kiểm tra Quarantine StateNot Restricted

Chú thích: Máy client có bật Windows Firewall nên đủ điều kiện nhận được các thông số TCP/IP (kể cả Default Gateway) từ DHCP server cung cấp



http://msopenlab.com/lab/NAP-DHCP/image085.jpg



7. Cấu hình System Health validator

- Tại máy Server, logon Administrator@nhatnghe.com password P@ssword

- Mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Vatidators, right click Windows Security Health Validator chọn Properties



http://msopenlab.com/lab/NAP-DHCP/image086.jpg



- Trong cửa sổ Windows Security Health Validator Properties, chọn Configure…



http://msopenlab.com/lab/NAP-DHCP/image024.jpg



- Trong cửa sổ Windows Security Health Validator, đánh dấu chọn ô An antivirus application is on, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image087.jpg



- Trong cửa sổ Windows Security Health Validator Properties, chọn OK



http://msopenlab.com/lab/NAP-DHCP/image026.jpg



8. Máy Client kiểm tra kết quả

- Tại máy Client, log on Administrator@nhatnghe.com password P@ssword

- Mở Security Center trong Control Panel



http://msopenlab.com/lab/NAP-DHCP/image088.jpg



- Trong cửa sổ Windows Security Center, kiểm tra mục Virus Protection đang ở tình trạng Not found (Máy Client không có cài chương trình Antivirus)


http://msopenlab.com/lab/NAP-DHCP/image089.jpg



- Mở command line gõ lần lượt các lệnh:

ipconfig /release

ipconfig /renew

ipconfig /all

- Kiểm tra máy Client không đuợc cấp Default Gateway

- Kiểm tra Connection- specific DNS Suffixrestricted.nhatnghe.com

- Kiểm tra Quarantine State Restricted

Chú thích: Máy client không có cài chương trình Antivirus nên không được DHCP server cung cấp Default Gateway



http://msopenlab.com/lab/NAP-DHCP/image090.jpg

Theo: Trần Thủy Hoàng (Msopenlab)

:battay:


Bây giờ là 04:09 PM. Giờ GMT +7

Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.