TS Gateway và NAP (Network Access Protection)

TS Gateway và NAP (Network Access Protection)

***

I. Giới thiệu
Trong bài TS Gateway trước ta đã thực hiện kết nối RDP thông qua kênh SSL của giao thức HTTPs. Để nâng cao mức bảo mật, ta có thể cấu hình TS Gateway server và client sử dụng Network Access Protection (NAP).
Với NAP, ta có thể đảm bảo chỉ những client thỏa các yêu cầu về chính sách sức khỏe (health policy) như bật firewall, cài chương trình chống virus/spyware, bật chế độ cập nhật tự động ... mới được phép kết nối tới mạng nội bộ qua TS Gateway server.

Bài lab gồm các bước sau:
1. Cấu hình TS Gateway server và client căn bản như bài lab trước.
2. Cấu hình NAP server
3. Cấu hình NAP client
Trong bài này ta sẽ yêu cầu client bật firewall mới được phép kết nối tới mạng nội bộ qua TS Gateway server.

II. Chuẩn bị
Mô hình gồm 3 máy:
- Máy 1: làm DC (W2K8)
- Máy 2: làm TS Gateway server và NPS (Network Policy Server) (W2K8)
- Máy 3: làm Máy Terminal Services client (Vista SP1)

+----+ 172.16.1.0/24 +------------+ 192.168.1.0/24 +--------+
| DC |------------------| TS Gateway |------------------| Client |
+----+ 1.32 1.31 +------------+ 1.31 1.39 +--------+

Địa chỉ IP:

LAN
Cross
DC (PC32)

disabled
IP/SM: 172.16.1.32
DG: 172.16.1.31
DNS: 172.16.1.32
TS Gateway Server (PC31)
IP/SM: 192.168.1.31
DG: 192.168.1.200
DNS: trống
IP/SM: 172.16.1.31
DG: trống
DNS: 172.16.1.32
Client (PC39)
IP/SM: 192.168.1.39
DG: 192.168.1.200
DNS: 203.162.4.191

disabled

Máy TS Gateway server join domain (pc31.nhatnghe32.local).

III. Thực hiện
1. Cấu hình TS Gateway server và client căn bản như bài lab trước.
Nhắc lại các ý chính của bài lab trước:
(i) Trên máy DC (pc32.nhatnghe32.local):
- Tạo user account u1 (password=123)
- Tạo group TS Gateway
- Add user u1 vào group Remote Desktop Users và TS Gateway
- Enable Remote Desktop
- Chỉnh Default Domain Controllers Policy -> User Rights Assignment: Add group Remote Desktop Users vào policy Allow log on through Terminal Services

(ii) Trên máy TS Gateway server (pc31.nhatnghe32.local):
- Install Stand-alone root CA
- Request và install Server Authentication certificate cho máy TS Gateway server (nhớ export certificate sang Local Computer store)


- Install TS Gateway role service

(iii) Trên máy Terminal Services client (pc39):
- chỉnh hosts file sao cho máy client có thể phân giải tên máy TS Gateway server (pc31.nhatnghe32.local)
- download CA certificate về máy client (nhớ copy certificate sang Local Computer, Trusted Root Certification Authority store)


- thực hiện kết nối Remote Desktop Connection tới máy DC



2. Cấu hình NAP server (trên máy TS Gateway server)
2.1 Bật tính năng yêu cầu Terminal Services client gởi statement of health (SoH) lên TS Gateway server trước khi kết nối RDP
B1: Click Start -> Programs -> Administrative Tools -> Terminal Services -> TS Gateway Manager


B2: Right click PC31 (Local) -> Properties


B3: Trong tab TS CAP Store, xác nhận mục Request clients to send a statement of health được chọn -> OK


2.2 Cấu hình Windows Security Health Validator (WSHV) trên TS Gateway server
B1: Click Start -> Programs -> Administrative Tools -> Network Policy Server
B2: Network Access Protection -> System Health Validators -> Right click Windows Security Health Validator -> Properties


B3: Click Configure...


B4: Trong tab Windows Vista xóa hết mọi check box trừ Firewall


B5: Click OK -> OK

2.3 Tạo NAP policy trên TS Gateway server (dùng NAP wizard)
B1: Click NPS (Local) -> Click Configure NAP


B2: Mục Network connection method chọn Terminal Services Gateway (TS Gateway). Mục Policy Name giữ nguyên tên default NAP TS Gateway -> Next


B3: Click Next


B4: Click Next


B5: Mục User Groups: (Required) đưa group TS Gateway vào -> Next


B6: Click Next


B7: Click Finish


3. Cấu hình NAP client (trên máy Terminal Services client)
3.1 Download và chạy lệnh Terminal Services NAP client configuration (Tsgqecclientconfig.cmd)
B1: Download Tsgqecclientconfig.txt tại (http://go.microsoft.com/fwlink/?LinkId=103093)
B2: Đổi tên file Tsgqecclientconfig.txt thành Tsgqecclientconfig.cmd
B3: Vào Start -> Run -> cmd
Nhập lệnh: tsgqecclientconfig pc31.nhatnghe32.local


B4: Restart máy client
B5: Mở Registry Editor -> Xác nhận trong khóa HKEY_LOCAL_MACHINE\Software\Microsoft\Terminal Server Client\TrustedGateways value GatewayFQDN là pc31.nhatnghe32.local.


3.2 Kiểm tra TS Gateway NAP policy đã áp đặt thành công lên Terminal Services client
Test 1: Máy client không bật firewall (hỗ trợ NAP)
B1: Tắt Windows Firewall
B2: Thực hiện kết nối Remote Desktop Connection tới máy DC -> không kết nối được


B3: Kiểm tra log file
Windows Logs\Security: Event ID 6276 cho biết client không truy cập TS Gateway server được và bị cô lập.


Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational: Event ID 204 cho biết client không thỏa NAP policy nên không thể truy cập TS Gateway server được.


Test 2: Máy client bật firewall (hỗ trợ NAP)
B1: Bật Windows Firewall
B2: Thực hiện kết nối Remote Desktop Connection tới máy DC -> kết nối thành công
B3: Kiểm tra log file
Windows Logs\Security: Event ID 6278 cho biết client truy cập TS Gateway server được.


Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational: Event ID 200 cho biết client thỏa NAP policy nên truy cập TS Gateway server được.

Test 3: Máy client không hỗ trợ NAP
B1: Tắt service Network Access Protection Agent
B2: Thực hiện kết nối Remote Desktop Connection tới máy DC -> không kết nối được
B3: Kiểm tra log file
Tương tự như Test 1:
- Windows Logs\Security: Event ID 6276 cho biết client không truy cập TS Gateway server được và bị cô lập.
- Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational: Event ID 204 cho biết client không thỏa NAP policy nên không thể truy cập TS Gateway server được.

Châu Tuấn