Cài đặt NAP trên dịch vụ DHCP
Quá trình cấu hình NAP trên dịch vụ DHCP gồm:
Cấu hình cấp địa chỉ IP cho các Client ko đủ tiêu chuẩn với quyền truy cập hạn chế. Vào DHCP > ten_DHCP_server > Ipv4 > chọn scope, chuột phải Scope Options, chọn Configure Options
Tại cửa sổ Scope Options, chọn Tab Advanced, chọn User class là “Default Network Access Protection Class”, chọn 006 DNS Server và add địa chỉ IP DNS servers vào, 015 DNS Domain Name và add tên Domain vào, sau đó chọn OK
Kiểm tra lại thông tin của DHCP đã có thêm class Default Network Access Protection Class
Cho phép dịch vụ NAP trên scope IP đã tạo. Chuột phải scope đã tạo, chọn Properties
Tại Tab Network Access Protection, chọn Enable for this scope, chọn Use Default Network Access Protection profile, chọn OK
Cấu hình chính sách trên GPM cho các Client đã join Domain
Cấu hình chính sách người dùng GPM: cho phép các Client tự đông cài đặt NAP-Network Access Protection. Quá trình cấu hình GPM cho các Client đã join Domain gồm:
Vào Start > Programs > Administrative Tools > Group Policy Management. Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest: tên_miền > Domains, chuột phải tên_miền, chọn Create a GPO in this domain, and Link it here…
Đặt tên cho GPO mới tạo là NAP ENFORCEMENT, chọn OK
Chuột phải GPO mới tạo, chọn Edit
Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies > Windows Settings > Security Settings > Network Access Protection > Nap Client Configuration > Enforcement Clients, chuột phải DHCP Quarantine Enforcement Client, chọn Enable
Chọn Computer Configuration > Policies > Windows Settings > Security Settings > System Services, chuột phải Network Access Protection Agent, chọn Properties
Tại cửa sổ Network Access Protection AgentProperties, chọn Define this policy setting, chọn Automatic, chọn OK
Chọn Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Security Center, chuột phải Turn on Security Center (Domain PCs only), chọn Edit
Tại cửa sổ Turn on Security Center (Domain PCs only), chọn Enable, chọn OK
Cấu hình chính sách cho các Client chưa join domain
Đối với các Client chưa join domain, khi kết nối với mạng có dây LAN hoặc mạng LAN không dây, liên hệ với quản trị viên để chạy script bật chế độ NAP (file .bat) trên Client lên.
Sau khi bật chế độ NAP, Client sẽ được kiểm tra các tiêu chuẩn về “sức khỏe”. Nếu không đầy đủ, Client chỉ được kết nối giới hạn với nhóm Remediation Server (WSUS Server) để: cài chương trình diệt virus, spyware, cập nhật các bản vá security, bật tính năng firewall và update tự động của Windows…
Quản lý các máy tính truy cập vào mạng LAN
Quá trình quản lý các máy tính trong mạng LAN đã join và chưa join domain
Thông báo cho thấy không nhận được địa chỉ IP từ DHCP.Chúng ta cần khởi động lại PC của client hoặc áp dụng lệnh gpupdate /force để áp dụng chính sách NAP Enforcement cho các PC.
Sau đó, chúng ta có thể sử dụng các lệnh để kiểm tra chính sách NAP Enforcement đã được bật trên PC hay chưa.
Thông báo cho thấy NAP Enforcement đã được bậtSau đó, kiểm tra lại địa chỉ IP của PC, nếu như PC chưa đáp ứng các chính sách về “sức khỏe”, PC sẽ chưa được cấp phát IP đầy đủ (lúc này subnet mask sẽ là 255.255.255.255 hay /32) và PC chỉ có thể liên lạc với WSUS Server để làm các thủ tục “hoàn thiện sức khỏe” trước khi được cấp IP đầy đủ.
Sau khi thực hiện cập nhật đầy đủ các yêu cầu về “sức khỏe” để tham gia mạng nội bộ, PC sẽ được cấp địa chỉ IP đầy đủ (subnet mask trong trường hợp này là 255.255.255.0 hay /24) và toàn quyền truy cập mạng nội bộ.
Quá trình cấu hình NAP trên dịch vụ DHCP gồm:
- Kiểm tra cấu hình DHCP ban đầu
- Cấu hình địa chỉ IP cho các Client không đủ tiêu chuẩn “sức khỏe”
- Cho phép dịch vụ NAP trên các Scope IP
Cấu hình cấp địa chỉ IP cho các Client ko đủ tiêu chuẩn với quyền truy cập hạn chế. Vào DHCP > ten_DHCP_server > Ipv4 > chọn scope, chuột phải Scope Options, chọn Configure Options
Tại cửa sổ Scope Options, chọn Tab Advanced, chọn User class là “Default Network Access Protection Class”, chọn 006 DNS Server và add địa chỉ IP DNS servers vào, 015 DNS Domain Name và add tên Domain vào, sau đó chọn OK
Kiểm tra lại thông tin của DHCP đã có thêm class Default Network Access Protection Class
Cho phép dịch vụ NAP trên scope IP đã tạo. Chuột phải scope đã tạo, chọn Properties
Tại Tab Network Access Protection, chọn Enable for this scope, chọn Use Default Network Access Protection profile, chọn OK
Cấu hình chính sách trên GPM cho các Client đã join Domain
Cấu hình chính sách người dùng GPM: cho phép các Client tự đông cài đặt NAP-Network Access Protection. Quá trình cấu hình GPM cho các Client đã join Domain gồm:
- Cho phép DHCP Quarantine Enforcement Client
- Cho phép Network Access Protection Agent
- Cho phép Turn on Security Center (Domain PCs only)
Vào Start > Programs > Administrative Tools > Group Policy Management. Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest: tên_miền > Domains, chuột phải tên_miền, chọn Create a GPO in this domain, and Link it here…
Đặt tên cho GPO mới tạo là NAP ENFORCEMENT, chọn OK
Chuột phải GPO mới tạo, chọn Edit
Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies > Windows Settings > Security Settings > Network Access Protection > Nap Client Configuration > Enforcement Clients, chuột phải DHCP Quarantine Enforcement Client, chọn Enable
Chọn Computer Configuration > Policies > Windows Settings > Security Settings > System Services, chuột phải Network Access Protection Agent, chọn Properties
Tại cửa sổ Network Access Protection AgentProperties, chọn Define this policy setting, chọn Automatic, chọn OK
Chọn Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Security Center, chuột phải Turn on Security Center (Domain PCs only), chọn Edit
Tại cửa sổ Turn on Security Center (Domain PCs only), chọn Enable, chọn OK
Cấu hình chính sách cho các Client chưa join domain
Đối với các Client chưa join domain, khi kết nối với mạng có dây LAN hoặc mạng LAN không dây, liên hệ với quản trị viên để chạy script bật chế độ NAP (file .bat) trên Client lên.
Sau khi bật chế độ NAP, Client sẽ được kiểm tra các tiêu chuẩn về “sức khỏe”. Nếu không đầy đủ, Client chỉ được kết nối giới hạn với nhóm Remediation Server (WSUS Server) để: cài chương trình diệt virus, spyware, cập nhật các bản vá security, bật tính năng firewall và update tự động của Windows…
Quản lý các máy tính truy cập vào mạng LAN
Quá trình quản lý các máy tính trong mạng LAN đã join và chưa join domain
- Kiểm tra các máy tính trong mạng LAN đã join Domain
Thông báo cho thấy không nhận được địa chỉ IP từ DHCP.Chúng ta cần khởi động lại PC của client hoặc áp dụng lệnh gpupdate /force để áp dụng chính sách NAP Enforcement cho các PC.
Sau đó, chúng ta có thể sử dụng các lệnh để kiểm tra chính sách NAP Enforcement đã được bật trên PC hay chưa.
Thông báo cho thấy NAP Enforcement đã được bậtSau đó, kiểm tra lại địa chỉ IP của PC, nếu như PC chưa đáp ứng các chính sách về “sức khỏe”, PC sẽ chưa được cấp phát IP đầy đủ (lúc này subnet mask sẽ là 255.255.255.255 hay /32) và PC chỉ có thể liên lạc với WSUS Server để làm các thủ tục “hoàn thiện sức khỏe” trước khi được cấp IP đầy đủ.
Sau khi thực hiện cập nhật đầy đủ các yêu cầu về “sức khỏe” để tham gia mạng nội bộ, PC sẽ được cấp địa chỉ IP đầy đủ (subnet mask trong trường hợp này là 255.255.255.0 hay /24) và toàn quyền truy cập mạng nội bộ.
- Kiểm tra các máy tính trong mạng LAN chưa join Domain
![[Lab] Windows Backup Server 2008 - Part 3](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)