You are on page 1of 13

F -X C h a n ge F -X C h a n ge

PD PD

!
W

W
O

O
N

N
y

y
bu

bu
1
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

U HÌNH NAP - DHCP


bài:
Tri n khai NAP - DHCP sao cho các máy tr m (DHCP client) n u không th a mãn u ki n an toàn
thì DHCP server không c p defaut gateway (t ó không truy c p c internet, nh m b o v m ng
i b không b t n công t bên ngoài).
i u ki n an toàn c xác nh là: firewall c a máy tr m ph i ON.

Th c hi n theo các b c sau:

u hình NAP Server


Vào Server Manager, add role NPS, trong role NPS ch n NAP.

Network Policy Server (t Administrative Tools ho c Server Manager), bung Network


Access Protection, ch n System Health Validators, right click Windows Security Health
Validators ch n Properties.

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
2
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Trong c a s Windows Security Health Validators Properties, ch n Configure…

i ây, ta c u hình quy nh các tiêu chu n an toàn (xác nh “s c kh e”). Theo trên, u ki n an
toàn c xác nh là: firewall c a máy tr m ph i ON.
Trong c a s Windows Security Health Validators, b t t c các ô ch n, tr ô A firewall is
enable for all network connections, ch n OK.

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
3
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Ti p t c b m OK óng màn hình Windows Security Health Validators Properties.

Ti p t c, ta c u hình quy nh nh th nào là th a mãn ( t) và không th a mãn (không t) chính


sách “s c kh e”.

Trong c a s Network Policy Server, bung Policies, right click Health Policies ch n New…

Tr ng h p t:

Trong c a s Create New Health Policy, nh p tên chính sách vào ô Policy name (ví d :
“Compliant”).
Trong ô Client SHV checks ch n Client passes all SHV checks, ki m tra có ánh d u ch n ô
Windows Security Health Validator, ch n OK.

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
4
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

ng t , ta c u hình tr ng h p không t:

Trong c a s Create New Health Policy, nh p “Non Compliant” vào ô Policy name, trong ô
Client SHV checks ch n Client fails one or more SHV checks, ki m tra có ánh d u ch n ô
Windows Security Health Validator, ch n OK.

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
5
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Vào Health Policies ki m tra, ta th y xu t hi n hai Health Policies v a t o.

Ti p t c, c u hình chính sách truy c p m ng (Network Policies) cho phép các i t ng ã c ki m


tra Health Policies truy c p m ng theo chính sách t ng ng.
Trong c a s Network Policy Server, bung Policies, vào Network Policies, (nên disable 2
policy m c nh c a h th ng).

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
6
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

T o Network Policy áp t cho các máy t tiêu chu n chính sách (Fully Access).

Right click Network Policies ch n New …

Trong c a s Specify Network Policy Name and Connection Type, nh p tên c a chính sách
truy c p (ví d : “Complian Full-Access”) vào ô Policy name, ch n Next …

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
7
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Trong c a s Specify Conditions, ch n Add …


Trong c a s Select condition, ch n m c Health Policies, ch n Add

Trong c a s Health Policies, m r ng Health policies ch n Compliant, ch n OK

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
8
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Trong c a s Specify Conditions, ch n Next

Trong c a s Specify Access Permission, ch n Access granted, ch n Next

Trong c a s Configure Authentication Methods, g b các d u ch n, ch ánh d u ch n vào


ô Perform machine health check only, ch n Next…

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
9
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Trong c a s Configure Constraints, gi c u hình m c nh, ch n Next


Trong c a s Configure Settings, ch n m c NAP Enforcement, ch n Allow full network
access, ch n Next

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
10
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Trong c a s Completing New Network Policy, ch n Finish

K ti p, t o Network Policy áp t cho các máy không th a m n chính sách (Restricted Access).

Right click Network Policies ch n New …


Trong c a s Specify Network Policy Name and Connection Type, nh p tên (ví d :
“NonCompliant Restricted”) vào ô Policy name, ch n Next

Các b c k ti p t ng t chính sách “ Compliant Full Access”, d nhiên có m t s l a ch n khác


bi t:

c ch n Health Policies, ch n NonCompliant

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
11
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

c Configure Settings, ch n m c NAP Enforcement, ch n Allow limited access

Áp t NAP lên DHCP Server

c ích yêu c u DHCP server khi c p IP cho các máy tr m không th a mãn u ki n an toàn
(không b t firewall) thì không c p default gateway, DNS, … (client s không truy c p c ra ngoài,
n ch b t n công).

DHCP t Administrative Tools, right click Scope mu n áp t NAP ch n Properties

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
12
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Trong c a s NAP Scope Properties, vào tab Network Access Protection, ch n Enable for this
scope, ch n Use default Network Access Protection profile, ch n OK

n ây, các máy client n u th a u ki n c xác nh b i “Windows Sercurity Health Validator”


thì c DHCP server c p IP hoàn ch nh, còn không, client v n c c p IP nh ng không c p Default
Gateway.

tttri@hcmuns.edu.vn
F -X C h a n ge F -X C h a n ge
PD PD

!
W

W
O

O
N

N
y

y
bu

bu
13
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

u hình NAP client (EC)

Ta có th áp t c u hình NAP xu ng client b ng ph ng pháp th công cho t ng máy ho c dùng


GPO áp t cho c domain/OU. Ta kh o sát ví d th c hi n th công.

i máy tr m (XP sp3/Vista/Win7), nh p l nh “napclcfg.msc”, ta s có màn hình NAP Client


Configuration …
Enable ch c n ng DHCP Quarantine Enforcement Client

Vào Services (services.msc), t i d ch v Network Access Protection Agent, ch n ki u kh i


ng (Startup Type) là Automatic sau ó kh i ng d ch v .

n ây, vi c tri n khai NAP k t thúc. T i máy tr m, ta thay i tr ng thái firewall và xin m i a ch
IP ki m tra s ho t ng c a NAP.

tttri@hcmuns.edu.vn

You might also like