Triển khai NPS - Network Policy Server - Part 4

16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 1/14 [Lab] Triển khai NPS - Network Policy Server - Part 4 Cài đặt NAP trên dịch vụ DHCP Quá trình cấu hình NAP trên dịch vụ DHCP gồm: Kiểm tra cấu hình DHCP ban đầu Cấu hình địa chỉ IP cho các Client không đủ tiêu chuẩn “sức khỏe” Cho phép dịch vụ NAP trên các Scope IP Cấu hình dịch vụ DHCP ban đầu chỉ có các thông tin liên quan đến class None Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008 Joined: Jul 19, 2015 Messages: 14 Likes Received: 0 Trophy Points: 0 thanhtung0601 Moderator Home Forums Search Forums Recent Posts Members Log in or Sign up      16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 2/14 Cấu hình cấp địa chỉ IP cho các Client ko đủ tiêu chuẩn với quyền truy cập hạn chế. Vào DHCP > ten_DHCP_server > Ipv4 > chọn scope, chuột phải Scope Options, chọn Configure Options Tại cửa sổ Scope Options, chọn Tab Advanced, chọn User class là “Default Network Access Protection Class”, chọn 006 DNS Server và add địa chỉ IP DNS servers vào, 015 DNS Domain Name và add tên Domain vào, sau đó chọn OK 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 3/14 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 4/14 Kiểm tra lại thông tin của DHCP đã có thêm class Default Network Access Protection Class Cho phép dịch vụ NAP trên scope IP đã tạo. Chuột phải scope đã tạo, chọn Properties Tại Tab Network Access Protection, chọn Enable for this scope, chọn Use Default Network Access Protection profile, chọn OK 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 5/14 Cấu hình chính sách trên GPM cho các Client đã join Domain Cấu hình chính sách người dùng GPM: cho phép các Client tự đông cài đặt NAP-Network Access Protection. Quá trình cấu hình GPM cho các Client đã join Domain gồm: Cho phép DHCP Quarantine Enforcement Client Cho phép Network Access Protection Agent Cho phép Turn on Security Center (Domain PCs only) Các bước thực hiện như sau: Vào Start > Programs > Administrative Tools > Group Policy Management. Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest: tên_miền > Domains, chuột phải tên_miền, chọn Create a GPO in this domain, and Link it here 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 6/14 Đặt tên cho GPO mới tạo là NAP ENFORCEMENT, chọn OK Chuột phải GPO mới tạo, chọn Edit 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 7/14 Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies > Windows Settings > Security Settings > Network Access Protection > Nap Client Configuration > Enforcement Clients, chuột phải DHCP Quarantine Enforcement Client, chọn Enable 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 8/14 Chọn Computer Configuration > Policies > Windows Settings > Security Settings > System Services, chuột phải Network Access Protection Agent, chọn Properties Tại cửa sổ Network Access Protection AgentProperties, chọn Define this policy setting, chọn Automatic, chọn OK 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 9/14 Chọn Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Security Center, chuột phải Turn on Security Center (Domain PCs only), chọn Edit Tại cửa sổ Turn on Security Center (Domain PCs only), chọn Enable, chọn OK 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 10/14 Cấu hình chính sách cho các Client chưa join domain Đối với các Client chưa join domain, khi kết nối với mạng có dây LAN hoặc mạng LAN không dây, liên hệ với quản trị viên để chạy script bật chế độ NAP (file .bat) trên Client lên. Sau khi bật chế độ NAP, Client sẽ được kiểm tra các tiêu chuẩn về “sức khỏe”. Nếu không đầy đủ, Client chỉ được kết nối giới hạn với nhóm Remediation Server (WSUS Server) để: cài chương trình diệt virus, spyware, cập nhật các bản vá security, bật tính năng firewall và update tự động của Windows 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 11/14 Quản lý các máy tính truy cập vào mạng LAN Quá trình quản lý các máy tính trong mạng LAN đã join và chưa join domain Kiểm tra các máy tính trong mạng LAN đã join Domain Khi chính sách NAP Enforcement được áp dụng trên Domain, nếu PC chưa được khởi động lại để áp dụng chính sách NAP Enforcement thì các PC này sẽ không nhận được địa chỉ IP do DHCP của Domain cung cấp. Thông báo cho thấy không nhận được địa chỉ IP từ DHCP.Chúng ta cần khởi động lại PC của client hoặc áp dụng lệnh gpupdate /force để áp dụng chính sách NAP Enforcement cho các PC. 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 12/14 Sau đó, chúng ta có thể sử dụng các lệnh để kiểm tra chính sách NAP Enforcement đã được bật trên PC hay chưa. Thông báo cho thấy NAP Enforcement đã được bậtSau đó, kiểm tra lại 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 13/14 địa chỉ IP của PC, nếu như PC chưa đáp ứng các chính sách về “sức khỏe”, PC sẽ chưa được cấp phát IP đầy đủ (lúc này subnet mask sẽ là 255.255.255.255 hay /32) và PC chỉ có thể liên lạc với WSUS Server để làm các thủ tục “hoàn thiện sức khỏe” trước khi được cấp IP đầy đủ. Sau khi thực hiện cập nhật đầy đủ các yêu cầu về “sức khỏe” để tham gia mạng nội bộ, PC sẽ được cấp địa chỉ IP đầy đủ (subnet mask trong trường hợp này là 255.255.255.0 hay /24) và toàn quyền truy cập mạng nội bộ. Kiểm tra các máy tính trong mạng LAN chưa join Domain 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 14/14 CONTACT US  Hồ Chí Minh, Việt Nam  0903037911  svuit.vn@gmail.com  www.svuit.vn ABOUT US Diễn đàn svuit.vn, nơi chia sẽ kiến thức về Network, System. Cung cấp, tư vấn giải pháp công nghệ. Forum software by XenForo™ ©2010-2016 XenForo Ltd. XenForo Add-ons & XenForo Styles ™ © 2012-2016 Brivium LLC. Terms and Rules Contact Us Help thanhtung0601, Aug 8, 2015 #1 (You must log in or sign up to reply here.) Các bước kiểm tra các Client trong mạng LAN chưa join domain cũng tương tự như việc kiểm tra các PC đã join Domain. Nhưng lúc này, chính sách NAP Enforcement sẽ không được áp dụng từ Domain Controller xuống các Client (do các Client này không nằm trong domain). Lúc này, chúng ta phải bật tính năng cho phép NAP trên các Client đó bằng cách chạy file script nhận được từ người quản trị như đã trình bày ở trên. Share This Page Tweet Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008     Like Sign Up to see what your friends like.