Mô hình kỹ thuật
Các thành phần cơ bản trong hệ thống mạng LAN:
Server giữ chức năng Domain Controller cũng chính là server
giữ các chức năng DHCP cấp phát IP, chức năng NPS điều
khiển truy cập mạng và chức năng GPM quản lý chính sách
nhóm
Server giữ chức năng Remediation Server cũng là WSUS
Server chứa các bản vá lỗi hệ điều hành và các phần mềm diệt
virus, spyware với phiên bản mới nhất cho các Client trong
mạng LAN
PC của nhân viên đã join Domain
Laptop của nhân viên chưa join Domain kết nối với mạng có
dây LAN
Laptop của nhân viên chưa join Domain kết nối với mạng
không dây LAN
Điểm truy cập không dây – Wireless Access Point vào mạng
LAN
9 trang |
Chia sẻ: thanhle95 | Lượt xem: 590 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Triển khai NPS - Network Policy Server - Part 1, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 1/9
[Lab] Triển khai NPS - Network Policy Server - Part 1
Một trong những phương pháp quan trọng để bảo mật thông tin và dữ
liệu là kiểm tra tình trạng an toàn của các máy tính trước khi cho phép
chúng truy cập vào mạng LAN. Do đặt thù thiết kế của hệ thống
DHCP Server, hiện nay hầu hết các hệ thống mạng LAN nói chung tồn
tại một thực trạng là một số máy tính (PC, Laptop) chưa đảm bảo các
điều kiện an toàn nhưng khi kết nối vào mạng LAN vẫn được cấp phát
địa chỉ IP và truy cập mọi tài nguyên trong mạng LAN (nếu được phân
quyền). Một số điều kiện chưa đảm bảo an toàn của máy tính như sau:
Chưa bật tính năng Firewall: Domain, Private, Public
Chưa cài đặt chương trình diệt virus
Chưa update chương trình diệt virus lên phiên bản mới nhất
Chưa cài đặt chương trình bảo vệ chống spyware
Chưa update chương trình chống spyware lên phiên bản mới
nhất
Chưa cho phép máy tính ở chế độ cập nhật các bản vá
Chưa cập nhật đầy đủ các bản vá về security cho các máy tính
Khi một Client không đảm bảo các tiêu chuẩn an toàn khi truy
cập vào mạng sẽ dẫn đến các nguy cơ, sự cố như:
Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008
Joined: Jul 19, 2015
Messages: 14
Likes Received: 0
Trophy Points: 0
thanhtung0601
Moderator
Home Forums
Search Forums Recent Posts
Members Log in or Sign up
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 2/9
Khi các máy tính bị nhiễm virus sẽ làm cho các file trong máy
như word, excel, power point cũng bị nhiễm virus theo. Sau đó,
người dùng tải các file đã nhiễm mã độc lên hệ thống cơ sở dữ
liệu dùng chung như thư mục FTP, thư mục chung của phòng
ban Lúc này, virus sẽ lây lan qua các máy tính khác trong
mạng LAN.
Khi máy tính bị nhiễm spyware, các spyware sẽ thông qua
mạng LAN thu thập các thông tin nội bộ trong mạng, từ cấu
hình mạng, thông tin các máy chủ, các file tài liệu.
Khi máy tính đã cài các chương trình diệt virus và spyware
nhưng chưa cập nhật lên phiên bản mới nhất thì khả năng bị tấn
công từ các phần mềm độc hại cũng rất cao vì số lượng các mã
độc, virus, spyware liên tục được tăng lên theo từng ngày và
mức độ phức tạp cũng như khả năng phá hoại ngày càng cao
hơn.
Khi các Firewall bị tắt, các tin tặc có thể lợi dụng để tấn công
vào các máy Client. Do lúc này, các port trên máy Client đã
được mở hết và tin tặc có nhiều lựa chọn hơn để tấn công và
xác suất thành công cũng sẽ cao hơn.
Khi máy Client chưa cài đặt đầy đủ các bản vá lỗi, đặc biệt là
các bản vá lỗi security, tin tặc sẽ lợi dụng các lổ hổng bảo mật
đó để tấn công chiếm quyền điều khiển (người sử dụng không
biết được máy tính mình đã bị chiếm do vẫn thao tác được bình
thường). Từ đó, tin tặc có thể thu thập các thông tin về mạng
LAN thông qua máy Client.
1. Nội dung thực hiện
Giải pháp chính là cài đặt một Network Policy Server (NPS) thực hiện
kiểm tra các tiêu chuẩn về an toàn cho các máy Client trong mạng
LAN gồm các PC đã join domain, các Laptop kết nối đến mạng LAN
có dây và mạng LAN không dây. Thiết lập các chính sách trên NPS
như: các tiêu chuẩn về an toàn, các chính sách mạng, chính sách sức
khỏeThiết lập chính sách NAP trên DHCP ServerThiết lập chính
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 3/9
sách trên Domain Controller để áp đặt các PC trong Domain bật chế
độ kiểm tra các tiêu chuẩn an toàn – NAPThiết lập các PC, Laptop
chưa join Domain bật chế độ kiểm tra các tiêu chuẩn an toàn – NAP
Mô hình kỹ thuật
Các thành phần cơ bản trong hệ thống mạng LAN:
Server giữ chức năng Domain Controller cũng chính là server
giữ các chức năng DHCP cấp phát IP, chức năng NPS điều
khiển truy cập mạng và chức năng GPM quản lý chính sách
nhóm
Server giữ chức năng Remediation Server cũng là WSUS
Server chứa các bản vá lỗi hệ điều hành và các phần mềm diệt
virus, spyware với phiên bản mới nhất cho các Client trong
mạng LAN
PC của nhân viên đã join Domain
Laptop của nhân viên chưa join Domain kết nối với mạng có
dây LAN
Laptop của nhân viên chưa join Domain kết nối với mạng
không dây LAN
Điểm truy cập không dây – Wireless Access Point vào mạng
LAN
Nguyên lý hoạt động
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 4/9
Nguyên lý hoạt động của hệ thống như sau:
Đầu tiên các PC và Laptop tham gia hệ thống mạng LAN phải
được bật tính năng cho phép Network Access Protection –
NAP
Các máy PC đã join Domain sẽ được bật NAP một cách tự
động bằng cách sử dụng chính sách quản lý nhóm GPM
Các Laptop chưa join Domain kết nối vào mạng LAN bằng dây
hoặc wifi bật NAP bằng cách chạy một script nhận được từ
quản trị viên
Trên Server Domain Controller cài đặt hai role services
DHCP được bật tính năng NAP để cấp phát địa chỉ IP
NPS để điều khiển truy cập mạng
Các Client khi kết nối vào mạng sẽ được kiểm tra tính năng
NAP, kiểm tra độ an toàn theo các chính sách sức khỏe –
Health Policies trên NPS. Tùy vào “sức khỏe” mà Client sẽ
được NPS áp dụng các chính sách mạng – Network Policies
khác nhau. Cụ thể:
Client chưa bật NAP sẽ không nhận được địa chỉ IP và hoàn
toàn cô lập với mạng LAN
Client bật NAP nhưng không đạt chuẩn về sức khỏe sẽ nhận
được địa chỉ IP với quyền truy cập bị giới hạn, chỉ được truy
cập đến các Remediation Server để thực hiện cập nhật đầy đủ
các yêu cầu về sức khỏe. Sau đó, Client mới được toàn quyền
truy cập mạng LAN
Client bật NAP và đầy đủ các tiêu chuẩn về sức khỏe sẽ nhận
được địa chỉ IP với toàn quyền truy cập mạng LAN
Các khái niệm cơ bản
Trọng tâm là cài đặt và cấu hình Network Policy Server (NPS). Do đó,
chúng ta sẽ tìm hiểu các khái niệm cơ bản trong NPS như sau:
Chính sách - Policies
Các chính sách yêu cầu kết nối - Connection Request Policies
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 5/9
Các chính sách yêu cầu kết nối là một tập các điều kiện (conditions) và
thiết lập (settings) cho phép xác thực các yêu cầu kết nối nhận được từ
các Client.
Các chính sách mạng - Network Policies
Các chính sách mạng là một tập các điều kiện (conditions), các ràng
buộc (constraints) và thiết lập (settings) cho phép Client xác thực được
quyền truy cập vào mạng ở một mức độ nào đó như: không được phép
truy cập, được phép truy cập ở mức độ giới hạn, được toàn quyền truy
cập mạng. Chính sách mạng thường đi kèm với chính sách sức khỏe.
Dựa vào việc kiểm tra “sức khỏe” của các Client, chúng ta sẽ cấp phép
quyền truy cập vào mạng LAN cho các Client.Trong NPS, có hai
chính sách được kích hoạt một cách mặc định: Connections to
Microsoft Routing and Remote Access Server Policy và Connections to
Other Access Servers Policy. Chúng ta nên vô hiệu hóa các chính sách
này trước khi thiết lập các chính sách mạng mới.
Các chính sách sức khỏe - Health Policies
Các chính sách sức khỏe bao gồm một hoặc nhiều các tiêu chuẩn sức
khỏe hệ thống – SHA, các máy Client sẽ gửi đi các thông tin về trạng
thái sức khỏe (Statement of Health - SoH) đến NPS. SoH là một bản
báo cáo trạng thái của các Client và NPS sẽ so sánh nó với những yêu
cầu trong chính sách sức khỏe. Nếu như trạng thái của Client không
phù hợp với các yêu cầu về chính sách sức khỏe, NPS sẽ thực hiện các
hành động được thiết lập sẵn như:
Yêu cầu kết nối của Client sẽ bị từ chối
Client được truy cập mạng nhưng ở vùng mạng restricted. Tại
vùng mạng này, Client chỉ có thể liên lạc được với các Server
thuộc nhóm Remediation Server để thực hiện cập nhật đầy đủ
các tiêu chuẩn về sức khỏe trước khi được toàn quyền truy cập
vào mạng
Client sẽ được phép toàn quyền truy cập vào mạng mặc dù các
tiêu chuẩn về chính sách sức khỏe chưa được đảm bảo
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 6/9
Bảo vệ truy cập mạng - Network Access Protection
Các tiêu chuẩn sức khỏe hệ thống - System Health Validators
(SHA)
Các tiêu chuẩn sức khỏe hệ thống dùng để kiểm tra tình trạng của các
máy Client có được kết nối mạng hay không. Các tiêu chuẩn sức khỏe
gồm:
[*=1]Bật Firewall
[*=1]Cài đặt Antivirus và cập nhật Antivirus lên phiên bản mới
nhất
[*=1]Cài đặt phần mềm chống Spyware và cập nhật phần mềm
chống Spyware lên phiên bản mới nhất
[*=1]Bật tính năng update các bản vá lỗi
[*=1]Cài đặt các bản vá lỗi về Security, mức độ các bản cập
nhật Security, nơi cập nhật các bản vá lỗi: từ Internet hay từ
WSUS Server
Nhóm Server hỗ trợ - Remediation Server Groups
Là nhóm các Server mà Client được phép truy cập khi chưa thỏa mãn
các điều kiện trong chính sách sức khỏe. Khi đó, các Client chỉ có thể
kết nối được với nhóm Server trong Remediations Server Groups để
thực hiện việc cài đặt phần mềm diệt virus, spyware, cập nhật các bản
vá từ WSUS Server
1. CÁC BƯỚC TRIỂN KHAI
Cài đặt NPS trên Domain Controller Windows Server 2008
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 7/9
Quá trình cài đặt NPS gồm: cài đặt role services Network Policy
Server (NPS)Các bước thực hiện như sau:VàoComputer > Manager,
trong cửa sổ Server Manager, chuột phải Roles >Add Roles
Tại cửa sổ Add Roles Wizard > Before You Begin, chọn Next cho đến
cửa sổ Select Role Services
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 8/9
thanhtung0601, Aug 4, 2015 #1
Chọn Network Policy Server, sau đó chọn Next
Chọn Install và chờ quá trình cài NPS
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 9/9
CONTACT US
Hồ Chí Minh, Việt Nam
0903037911
svuit.vn@gmail.com
www.svuit.vn
ABOUT US
Diễn đàn svuit.vn, nơi chia sẽ kiến thức về Network, System. Cung cấp, tư vấn giải pháp công nghệ.
Forum software by XenForo™ ©2010-2016 XenForo Ltd. XenForo Add-ons & XenForo Styles ™ © 2012-2016 Brivium LLC.
Terms and Rules Contact Us Help
(You must log in or sign up to reply here.)
Share This Page
Tweet
Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008
Like One person likes this. Sign Up to see what your friends like.