Cài đặt NAP trên dịch vụ DHCP
Quá trình cấu hình NAP trên dịch vụ DHCP gồm:
Kiểm tra cấu hình DHCP ban đầu
Cấu hình địa chỉ IP cho các Client không đủ tiêu chuẩn “sức
khỏe”
Cho phép dịch vụ NAP trên các Scope IP
Cấu hình dịch vụ DHCP ban đầu chỉ có các thông tin liên quan đến
class None
Cấu hình cấp địa chỉ IP cho các Client ko đủ tiêu chuẩn với quyền truy
cập hạn chế. Vào DHCP > ten_DHCP_server > Ipv4 > chọn scope,
chuột phải Scope Options, chọn Configure Options
Tại cửa sổ Scope Options, chọn Tab Advanced, chọn User class là
“Default Network Access Protection Class”, chọn 006 DNS Server và
add địa chỉ IP DNS servers vào, 015 DNS Domain Name và add tên
Domain vào, sau đó chọn OK
14 trang |
Chia sẻ: thanhle95 | Lượt xem: 599 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Triển khai NPS - Network Policy Server - Part 4, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 1/14
[Lab] Triển khai NPS - Network Policy Server - Part 4
Cài đặt NAP trên dịch vụ DHCP
Quá trình cấu hình NAP trên dịch vụ DHCP gồm:
Kiểm tra cấu hình DHCP ban đầu
Cấu hình địa chỉ IP cho các Client không đủ tiêu chuẩn “sức
khỏe”
Cho phép dịch vụ NAP trên các Scope IP
Cấu hình dịch vụ DHCP ban đầu chỉ có các thông tin liên quan đến
class None
Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008
Joined: Jul 19, 2015
Messages: 14
Likes Received: 0
Trophy Points: 0
thanhtung0601
Moderator
Home Forums
Search Forums Recent Posts
Members Log in or Sign up
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 2/14
Cấu hình cấp địa chỉ IP cho các Client ko đủ tiêu chuẩn với quyền truy
cập hạn chế. Vào DHCP > ten_DHCP_server > Ipv4 > chọn scope,
chuột phải Scope Options, chọn Configure Options
Tại cửa sổ Scope Options, chọn Tab Advanced, chọn User class là
“Default Network Access Protection Class”, chọn 006 DNS Server và
add địa chỉ IP DNS servers vào, 015 DNS Domain Name và add tên
Domain vào, sau đó chọn OK
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 3/14
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 4/14
Kiểm tra lại thông tin của DHCP đã có thêm class Default Network
Access Protection Class
Cho phép dịch vụ NAP trên scope IP đã tạo. Chuột phải scope đã tạo,
chọn Properties
Tại Tab Network Access Protection, chọn Enable for this scope, chọn
Use Default Network Access Protection profile, chọn OK
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 5/14
Cấu hình chính sách trên GPM cho các Client đã join Domain
Cấu hình chính sách người dùng GPM: cho phép các Client tự đông
cài đặt NAP-Network Access Protection. Quá trình cấu hình GPM cho
các Client đã join Domain gồm:
Cho phép DHCP Quarantine Enforcement Client
Cho phép Network Access Protection Agent
Cho phép Turn on Security Center (Domain PCs only)
Các bước thực hiện như sau:
Vào Start > Programs > Administrative Tools > Group Policy
Management. Tại cửa sổ Group Policy Management, vào Group
Policy Management > Forest: tên_miền > Domains, chuột phải
tên_miền, chọn Create a GPO in this domain, and Link it here
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 6/14
Đặt tên cho GPO mới tạo là NAP ENFORCEMENT, chọn OK
Chuột phải GPO mới tạo, chọn Edit
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 7/14
Tại cửa sổ Group Policy Management Editor, chọn Computer
Configuration > Policies > Windows Settings > Security Settings >
Network Access Protection > Nap Client Configuration >
Enforcement Clients, chuột phải DHCP Quarantine Enforcement
Client, chọn Enable
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 8/14
Chọn Computer Configuration > Policies > Windows Settings >
Security Settings > System Services, chuột phải Network Access
Protection Agent, chọn Properties
Tại cửa sổ Network Access Protection AgentProperties, chọn Define
this policy setting, chọn Automatic, chọn OK
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 9/14
Chọn Computer Configuration > Policies > Administrative
Templates: Policy Definations (ADMX files retrieved from local
machine) > Windows Components > Security Center, chuột phải
Turn on Security Center (Domain PCs only), chọn Edit
Tại cửa sổ Turn on Security Center (Domain PCs only), chọn
Enable, chọn OK
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 10/14
Cấu hình chính sách cho các Client chưa join domain
Đối với các Client chưa join domain, khi kết nối với mạng có dây
LAN hoặc mạng LAN không dây, liên hệ với quản trị viên để chạy
script bật chế độ NAP (file .bat) trên Client lên.
Sau khi bật chế độ NAP, Client sẽ được kiểm tra các tiêu chuẩn về
“sức khỏe”. Nếu không đầy đủ, Client chỉ được kết nối giới hạn với
nhóm Remediation Server (WSUS Server) để: cài chương trình diệt
virus, spyware, cập nhật các bản vá security, bật tính năng firewall và
update tự động của Windows
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 11/14
Quản lý các máy tính truy cập vào mạng LAN
Quá trình quản lý các máy tính trong mạng LAN đã join và chưa join
domain
Kiểm tra các máy tính trong mạng LAN đã join Domain
Khi chính sách NAP Enforcement được áp dụng trên Domain, nếu PC
chưa được khởi động lại để áp dụng chính sách NAP Enforcement thì
các PC này sẽ không nhận được địa chỉ IP do DHCP của Domain cung
cấp.
Thông báo cho thấy không nhận được địa chỉ IP từ DHCP.Chúng ta
cần khởi động lại PC của client hoặc áp dụng lệnh gpupdate /force để
áp dụng chính sách NAP Enforcement cho các PC.
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 12/14
Sau đó, chúng ta có thể sử dụng các lệnh để kiểm tra chính sách NAP
Enforcement đã được bật trên PC hay chưa.
Thông báo cho thấy NAP Enforcement đã được bậtSau đó, kiểm tra lại
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 13/14
địa chỉ IP của PC, nếu như PC chưa đáp ứng các chính sách về “sức
khỏe”, PC sẽ chưa được cấp phát IP đầy đủ (lúc này subnet mask sẽ là
255.255.255.255 hay /32) và PC chỉ có thể liên lạc với WSUS Server
để làm các thủ tục “hoàn thiện sức khỏe” trước khi được cấp IP đầy
đủ.
Sau khi thực hiện cập nhật đầy đủ các yêu cầu về “sức khỏe” để tham
gia mạng nội bộ, PC sẽ được cấp địa chỉ IP đầy đủ (subnet mask trong
trường hợp này là 255.255.255.0 hay /24) và toàn quyền truy cập
mạng nội bộ.
Kiểm tra các máy tính trong mạng LAN chưa join Domain
16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 4
svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-4-978/ 14/14
CONTACT US
Hồ Chí Minh, Việt Nam
0903037911
svuit.vn@gmail.com
www.svuit.vn
ABOUT US
Diễn đàn svuit.vn, nơi chia sẽ kiến thức về Network, System. Cung cấp, tư vấn giải pháp công nghệ.
Forum software by XenForo™ ©2010-2016 XenForo Ltd. XenForo Add-ons & XenForo Styles ™ © 2012-2016 Brivium LLC.
Terms and Rules Contact Us Help
thanhtung0601, Aug 8, 2015 #1
(You must log in or sign up to reply here.)
Các bước kiểm tra các Client trong mạng LAN chưa join domain cũng
tương tự như việc kiểm tra các PC đã join Domain. Nhưng lúc này,
chính sách NAP Enforcement sẽ không được áp dụng từ Domain
Controller xuống các Client (do các Client này không nằm trong
domain). Lúc này, chúng ta phải bật tính năng cho phép NAP trên các
Client đó bằng cách chạy file script nhận được từ người quản trị như
đã trình bày ở trên.
Share This Page
Tweet
Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008
Like Sign Up to see what your friends like.