Triển khai NPS Network Policy Server trên windows server 2008

Một trong những phương pháp quan trọng để bảo mật thông tin và dữ liệu là kiểm tra tình trạng an toàn của các máy tính trước khi cho phép chúng truy cập vào mạng LAN. Do đăt thu thiêt kê của hệ thông DHCP Server, hiện nay hâu hêt các hệ thông mạng LAN noi chung tôn tại một thưc trạng là một sô máy tính (PC, Laptop) chưa đảm bảo các điêu kiện an toàn nhưng khi kêt nôi vào mạng LAN vân đươc câp phát đia chi IP và truy cập mọi tài nguyên trong mạng LAN (nêu đươc phân quyên). Một sô điêu kiện chưa đảm bảo an toàn của máy tính như sau:

Chưa bật tính năng Firewall: Domain, Private, Public

Chưa cài đăt chương trình diệt virus

Chưa update chương trình diệt virus lên phiên bản mới nhât

Chưa cài đăt chương trình bảo vệ chông spyware

Chưa update chương trình chông spyware lên phiên bản mới nhât

Chưa cho phép máy tính ở chê độ cập nhật các bản vá

Chưa cập nhật đây đủ các bản vá vê security cho các máy tính

Khi một Client không đảm bảo các tiêu chuẩn an toàn khi truy cập vào mạng sẽ dân đên các nguy cơ, sư cô như:

Khi các máy tính bi nhiễm virus sẽ làm cho các file trong máy như word, excel, power point cũng bi nhiễm virus theo. Sau đo, người dung tải các file đã nhiễm mã độc lên hệ thông cơ sở dữ liệu dung chung như thư mục FTP, thư mục chung của phòng ban… Lúc này, virus sẽ lây lan qua các máy tính khác trong mạng LAN.

Khi máy tính bi nhiễm spyware, các spyware sẽ thông qua mạng LAN thu thập các thông tin nội bộ trong mạng, từ câu hình mạng, thông tin các máy chủ, các file tài liệu….

Khi máy tính đã cài các chương trình diệt virus và spyware nhưng chưa cập nhật lên phiên bản mới nhât thì khả năng bi tân công từ các phân mêm độc hại cũng rât cao vì sô lương các mã độc, virus, spyware liên tục đươc tăng lên theo từng ngày và mức độ phức tạp cũng như khả năng phá hoại ngày càng cao hơn.

Khi các Firewall bi tắt, các tin tăc co thể lơi dụng để tân công vào các máy Client. Do lúc này, các port trên máy Client đã đươc mở hêt và tin tăc co nhiêu lưa chọn hơn để tân công và xác suât thành công cũng sẽ cao hơn.

Khi máy Client chưa cài đăt đây đủ các bản vá lỗi, đăc biệt là các bản vá lỗi security, tin tăc sẽ lơi dụng các lổ hổng bảo mật đo để tân công chiêm quyên điêu khiển (người sử dụng không biêt đươc máy tính mình đã bi chiêm do vân thao tác đươc bình thường). Từ đo, tin tăc co thể thu thập các thông tin vê mạng LAN thông qua máy Client.

1. Nội dung thực hiện

Giải pháp chính là cài đặt một Network Policy Server  (NPS) thực hiện kiểm tra các tiêu chuẩn về an toàn cho các máy Client trong mạng LAN gồm các PC đã join domain, các Laptop kết nối đến mạng LAN có dây và mạng LAN không dây. Thiêt lập các chính sách trên NPS như: các tiêu chuẩn vê an toàn, các chính sách mạng, chính sách sức khỏe…Thiêt lập chính sách NAP trên DHCP ServerThiêt lập chính sách trên Domain Controller để áp đăt các PC trong Domain bật chê độ kiểm tra các tiêu chuẩn an toàn – NAPThiêt lập các PC, Laptop chưa join Domain bật chê độ kiểm tra các tiêu chuẩn an toàn – NAP

Mô hình kỹ thuật

Các thành phân cơ bản trong hệ thông mạng LAN:

Server giữ chức năng Domain Controller cũng chính là server giữ các chức năng DHCP câp phát IP, chức năng NPS điêu khiển truy cập mạng và chức năng GPM quản lý chính sách nhom

Server giữ chức năng Remediation Server cũng là WSUS Server chứa các bản vá lỗi hệ điêu hành và các phân mêm diệt virus, spyware với phiên bản mới nhât cho các Client trong mạng LAN

PC của nhân viên đã join Domain

Laptop của nhân viên chưa join Domain kêt nôi với mạng co dây LAN

Laptop của nhân viên chưa join Domain kêt nôi với mạng không dây LAN

Điểm truy cập không dây – Wireless Access Point vào mạng LAN

Nguyên lý hoạt động

Nguyên lý hoạt động của hệ thông như sau:

Đâu tiên các PC và Laptop tham gia hệ thông mạng LAN phải đươc bật tính năng cho phép Network Access Protection – NAP

Các máy PC đã join Domain sẽ đươc bật NAP một cách tư động bằng cách sử dụng chính sách quản lý nhom GPM

Các Laptop chưa join Domain kêt nôi vào mạng LAN bằng dây hoăc wifi bật NAP bằng cách chạy một script nhận đươc từ quản tri viên

Trên Server Domain Controller cài đăt hai role services

DHCP đươc bật tính năng NAP để câp phát đia chi IP

NPS để điêu khiển truy cập mạng

Các Client khi kêt nôi vào mạng sẽ đươc kiểm tra tính năng NAP, kiểm tra độ an toàn theo các chính sách sức khỏe – Health Policies trên NPS. Tuy vào “sức khỏe” mà Client sẽ đươc NPS áp dụng các chính sách mạng – Network Policies khác nhau. Cụ thể:

Client chưa bật NAP sẽ không nhận đươc đia chi IP và hoàn toàn cô lập với mạng LAN

Client bật NAP nhưng không đạt chuẩn vê sức khỏe sẽ nhận đươc đia chi IP với quyên truy cập bi giới hạn, chi đươc truy cập đên các Remediation Server để thưc hiện cập nhật đây đủ các yêu câu vê sức khỏe. Sau đo, Client mới đươc toàn quyên truy cập mạng LAN

Client bật NAP và đây đủ các tiêu chuẩn vê sức khỏe sẽ nhận đươc đia chi IP với toàn quyên truy cập mạng LAN

Các khái niệm cơ bản

Trọng tâm là cài đăt và câu hình Network Policy Server (NPS). Do đo, chúng ta sẽ tìm hiểu các khái niệm cơ bản trong NPS như sau:Chính sách - Policies

Các chính sách yêu câu kêt nôi - Connection Request Policies

Các chính sách yêu câu kêt nôi là một tập các điêu kiện (conditions) và thiêt lập (settings) cho phép xác thưc các yêu câu kêt nôi nhận đươc từ các Client.

Các chính sách mạng - Network Policies

Các chính sách mạng là một tập các điêu kiện (conditions), các ràng buộc (constraints) và thiêt lập (settings) cho phép Client xác thưc đươc quyên truy cập vào mạng ở một mức độ nào đo như: không đươc phép truy cập, đươc phép truy cập ở mức độ giới hạn, đươc toàn quyên truy cập mạng. Chính sách mạng thường đi kèm với chính sách sức khỏe. Dưa vào việc kiểm tra “sức khỏe” của các Client, chúng ta sẽ câp phép quyên truy cập vào mạng LAN cho các Client.Trong NPS, co hai chính sách đươc kích hoạt một cách măc đinh:Connections to Microsoft Routing and Remote Access Server Policy và Connections to Other Access Servers Policy. Chúng ta nên vô hiệu hoa các chính sách này trước khi thiêt lập các chính sách mạng mới.

Các chính sách sức khỏe - Health Policies

Các chính sách sức khỏe bao gôm một hoăc nhiêu các tiêu chuẩn sức khỏe hệ thông – SHA, các máy Client sẽ gửi đi các thông tin vê trạng thái sức khỏe (Statement of Health - SoH) đên NPS. SoH là một bản báo cáo trạng thái của các Client và NPS sẽ so sánh no với những yêu câu trong chính sách sức khỏe. Nêu như trạng thái của Client không phu hơp với các yêu câu vê chính sách sức khỏe, NPS sẽ thưc hiện các hành động đươc thiêt lập sẵn như:

Yêu câu kêt nôi của Client sẽ bi từ chôi

Client đươc truy cập mạng nhưng ở vung mạng restricted. Tại vung mạng này, Client chi co thể liên lạc đươc với các Server thuộc nhom Remediation Server để thưc hiện

cập nhật đây đủ các tiêu chuẩn vê sức khỏe trước khi đươc toàn quyên truy cập vào mạng

Client sẽ đươc phép toàn quyên truy cập vào mạng măc du các tiêu chuẩn vê chính sách sức khỏe chưa đươc đảm bảo

Bảo vệ truy cập mạng - Network Access Protection

Các tiêu chuẩn sức khỏe hệ thông - System Health Validators (SHA)

Các tiêu chuẩn sức khỏe hệ thông dung để kiểm tra tình trạng của các máy Client co đươc kêt nôi mạng hay không. Các tiêu chuẩn sức khỏe gôm:

Bật Firewall

Cài đăt Antivirus và cập nhật Antivirus lên phiên bản mới nhât 

Cài đăt phân mêm chông Spyware và cập nhật phân mêm chông Spyware lên phiên bản mới nhât

Bật tính năng update các bản vá lỗi

Cài đăt các bản vá lỗi vê Security, mức độ các bản cập nhật Security, nơi cập nhật các bản vá lỗi: từ Internet hay từ WSUS Server

Nhom Server hỗ trơ - Remediation Server Groups

Là nhom các Server mà Client đươc phép truy cập khi chưa thỏa mãn các điêu kiện trong chính sách sức khỏe. Khi đo, các Client chi co thể kêt nôi đươc với nhom Server trong Remediations Server Groups để thưc hiện việc cài đăt phân mêm diệt virus, spyware, cập nhật các bản vá từ WSUS Server…

1. CÁC BƯỚC TRIỂN KHAICài đặt NPS trên Domain Controller Windows Server 2008

Quá trình cài đăt NPS gôm: cài đăt role services Network Policy Server (NPS)Các bước thưc hiện như sau:VàoComputer > Manager,  trong cửa sổ Server Manager, chuột phải Roles >Add Roles

Tại cửa sổ Add Roles Wizard > Before You Begin, chọn Next cho đên cửa sổ Select Role Services

Chọn Network Policy Server, sau đo chọn Next

https://lh5.googleusercontent.com/q9Mv86e2eMPi5cEw5S0U6s1va8VWWyYUbIXVuvKpE4OxqCMIVRklc0-dfnbyFYw_hblSb6k0ZNQ1P8Lx1LjzdGGG4zyebYmFYk55w6VSJcgLJ5cVl0m2jgVjX-CHPQ4K2rBxBUlGHs6DeUqt

Chọn Install và chờ quá trình cài NPS 

2.2. Cấu hình NPSQuá trình câu hình NPS gôm:

Câu hình Windows Security Health Validator

Câu hình Health Policies

Câu hình Network Policies

Câu hình Connection Request Policies

Câu hình Remediation Server Groups

Các bước thưc hiện như sau:Cấu hình Windows Security Health ValidatorVào Start > Programs > Administrative Tools > Network Policy Server. Tại cửa sổ Network Policy Server, vào Network Access Protection > System Health Validators > Windows Security Health Validator > Settings, chuột phải Default Configuration, chọnProperties

Tại cửa sổ Windows Security Health Validator, vào Windows 7/Windows Vista, chọn các cài đăt kiểm tra “sức khỏe” của các PC khi tham gia vào mạng như:

Bật Firewall

Cài đăt Antivirus và cập nhật Antivirus lên phiên bản mới nhât

Cài đăt phân mêm chông Spyware và cập nhật phân mêm chông Spyware lên phiên bản mới nhât

Bật tính năng update các bản vá lỗi

Cài đăt các bản vá lỗi vê Security, mức độ các bản cập nhật Security, nơi cập nhật các bản vá lỗi: từ internet hay từ WSUS Server

Sau đo chọn OK

Cấu hình Health PoliciesTại cửa sổ Network Policy Server, vào Policies, chuột phảiHealth Policies chọn New

Tại cửa sổ Create New Health Policy, điên các thông sô câu hình như tên, điêu kiện của Client, chính sách “sức khỏe đươc áp dụng”.Đôi với trường hơp Policy DU TIEU CHUAN, Client phải co đây đủ các điêu kiện vê SHV checks “Client passes all SHV checks”

Đôi với trường hơp Policy KHONG DU TIEU CHUAN, Client chi cân không đủ một trong các điêu kiện vê SHV checks “Client fails one or more SHV checks”

Sau đo chọn OK. Hai chính sách mới đã đươc tạo ra

Cấu hình Network PoliciesTrong phân này, chúng ta sẽ thiêt lập 3 loại quyên truy cập là toàn quyên truy cập, giới hạn truy cập và từ chôi truy cập.Tại cửa sổ Network Policy Server, vào Policies, vàoNetwork Policies, Disable các chính sách đã co sẵn

Các chính sách mạng co sẵn đã đươc Disable 

Cấu hình toàn quyền truy cậpChuột phải Network Policies, chọn New

Thiêt lập policy toàn quyên truy cập. Tại cửa sổ New Network Policy, Policy name“TOAN QUYEN TRUY CAP”, Type of network access server “Unspecified”, chọnNext

Tại Specify Conditions, chọn Add

Tại cửa sổ Select conditions, chọn Health Policies, chọn Add

Tại cửa sổ Health Policies, chọn DU TIEU CHUAN, chọn OK

Chọn Next

Chọn Access Granted, chọn Next

Tại Configure Authentication Methods, chọn Perform machine health check only, chọn Next

Chọn Next

Chọn Next

https://lh6.googleusercontent.com/FtL1WTmZn6jgkw3iEKW1gKJDUka47EHVq9Ytr0suw_tnX9SV4q6QWhkp0a0ch66S18CC1i9BV6yxRoV1GEpdysZPByFDAS6zR7pLgwhzS-z23jZmie1E_VlP6HbkhwjII1Xu7itWdLA9oOKl

Chọn Finish

Cấu hình giới hạn truy cậpThiêt lập policy giới hạn truy cập. Tại cửa sổ New Network Policy, Policy name “GIOI HAN TRUY CAP”, Type of network access server “Unspecified”, chọn Next

Tại Specify Conditions, chọn Add

Tại cửa sổ Select conditions, chọn Health Policies, chọn Add

Chọn KO DU TIEU CHUAN, chọn OK, sau đo chọn Next

Chọn Access Granted, chọn Next

Tại Configure Authentication Methods, chọn Perform machine health check only, chọn Next

Chọn Next

Tại Configure Settings, bên trái chọn Nap Enforcement, bên phải chọn Allow limited access, chọn Enable auto-remediation of client computers, chọn Next

Chọn Finish

Cấu hình từ chối truy cậpThiêt lập policy từ chôi truy cập. Tại cửa sổ New Network Policy, Policy name “TU CHOI TRUY CAP”, Type of network access server “Unspecified”, chọn Next

Tại Specify Conditions, chọn Add

Tại cửa sổ Select Condition, chọn NAP-Capable Computers, chọn Add

Tại cửa sổ NAP-Capable Computers, chọn Only computers that are not NAP-capable, chọn OK,sau đo chọn Next

Chọn Access Granted, chọn Next

Chọn phương pháp chứng thưc như hình dưới, chọn Next

Chọn Finish

Các chính sách mạng mới đã đươc tạo ra

Cấu hình Connection Request PoliciesKiểm tra lại câu hình Connection Request Policies. Tại cửa sổ Network Policy Server,vào Policies > Connection Request Policies, chuột phải Use Windows authentication for all users, chọn Properties

Trong Tab Over View, kiểm tra Policyenabled đã đươc chọn chưa

Trong Tab Conditions, kiểm tra thời gian cho phép Client gửi yêu câu chứng thưc

Sau khi đã câu hình xong các chính sách trên NPS, chúng ta đăng kí NPS với Active Directory, chuột phải NPS (local), chọn Register server in Active Directory

Tại cửa sổ Network Policy Server, chọn OK 2 lân

Cấu hình Remediation Server GroupsTại cửa sổ Network Policy Server, vào Network Access Protection, chuột phảiRemediation Server Group, chọn New

Tại cửa sổ NewRemediation Server Group, đăt tên cho nhom là WSUS,đây sẽ là nhom server cung câp các chương trình diệt virus, chông spyware các bản cập nhật security…,

chọn Add 

Nhập đia chi IP hoăc tên của WSUS server và chọn Resolve, sau đo chọn OK

Chọn OK

Kiểm tra Group WSUS đã đươc tạo ra

Sau đo, chúng ta sẽ thêm nhom Remediation Server vào chính sách mạng giới hạn truy cập với mục đích: các Client nào chưa đủ tiêu chuẩn thì chi co thể liên lạc với nhom Remediation Server để cập nhật đây đủ các tiêu chuẩn. Khi đã cập nhật đây đủ tiêu chuẩn an toàn thì các Client co toàn quyên truy cập vào mạng.

Trong Network Policies, chuột phải policy GIOI HAN TRUY CAP, chọn Properties, tạiTab Settings, chọn phân NAP enforcement phía bên trái, chọn Configure trong Remediation Server Group and Troubleshooting URL phía bên phải

Tại cửa sổ Remediation Server and Troubleshooting URL, chọn Group WSUS đã tạo ở

trên, chọn OK

Cài đặt NAP trên dịch vụ DHCPQuá trình câu hình NAP trên dich vụ DHCP gôm:

Kiểm tra câu hình DHCP ban đâu

Câu hình đia chi IP cho các Client không đủ tiêu chuẩn “sức khỏe”

Cho phép dich vụ NAP trên các Scope IP

Câu hình dich vụ DHCP ban đâu chi co các thông tin liên quan đên class None

Câu hình câp đia chi IP cho các Client ko đủ tiêu chuẩn với quyên truy cập hạn chê. Vào DHCP > ten_DHCP_server > Ipv4 > chọn  scope, chuột phải Scope Options, chọn Configure Options

Tại cửa sổ Scope Options, chọn Tab Advanced, chọn User class là “Default Network Access Protection Class”, chọn 006 DNS Server và add đia chi IP DNS servers vào, 015 DNS Domain Name và add tên Domain vào, sau đo chọn OK

Kiểm tra lại thông tin của DHCP đã co thêm class Default Network Access Protection Class

Cho phép dich vụ NAP trên scope IP đã tạo. Chuột phải scope đã tạo, chọn Properties

Tại Tab Network Access Protection, chọn Enable for this scope, chọn Use Default Network Access Protection profile, chọn OK

Cấu hình chính sách trên GPM cho các Client đã join DomainCâu hình chính sách người dung GPM: cho phép các Client tư đông cài đăt NAP-Network Access Protection. Quá trình câu hình GPM cho các Client đã join Domain gôm:

Cho phép DHCP Quarantine Enforcement Client

Cho phép Network Access Protection Agent

Cho phép Turn on Security Center (Domain PCs only)

Các bước thực hiện như sau:Vào Start > Programs > Administrative Tools > Group Policy Management. Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest: tên_miền > Domains, chuột phải tên_miền, chọnCreate a GPO in this domain, and Link it here…

Đăt tên cho GPO mới tạo là NAP ENFORCEMENT, chọn OK

Chuột phải GPO mới tạo, chọn Edit

Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies > Windows Settings > Security Settings > Network Access Protection > Nap Client Configuration > Enforcement Clients, chuột phải DHCP Quarantine Enforcement Client, chọn Enable

Chọn Computer Configuration > Policies > Windows Settings > Security Settings > System Services, chuột phải Network Access Protection Agent, chọn Properties

Tại cửa sổ Network Access Protection AgentProperties, chọn Define this policy setting, chọn Automatic,chọn OK

Chọn Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Security Center, chuột phải Turn on Security Center (Domain PCs only), chọn Edit

Tại cửa sổ Turn on Security Center (Domain PCs only), chọn Enable, chọn OK

Cấu hình chính sách cho các Client chưa join domainĐôi với các Client chưa join domain, khi kêt nôi với mạng co dây LAN hoăc mạng LAN không dây, liên hệ với quản tri viên để chạy script bật chê độ NAP (file .bat) trên Client lên.

Sau khi bật chê độ NAP, Client sẽ đươc kiểm tra các tiêu chuẩn vê “sức khỏe”. Nêu không đây đủ, Client chi đươc kêt nôi giới hạn với nhom Remediation Server (WSUS Server) để: cài chương trình diệt virus, spyware, cập nhật các bản vá security, bật tính năng firewall và update tư động của Windows…

Quản lý các máy tính truy cập vào mạng LANQuá trình quản lý các máy tính trong mạng LAN đã join và chưa join domain

Kiểm tra các máy tính trong mạng LAN đã join Domain

Khi chính sách NAP Enforcement đươc áp dụng trên Domain, nêu PC chưa đươc khởi động lại để áp dụng chính sách NAP Enforcement thì các PC này sẽ không nhận đươc đia chi IP do DHCP của Domain cung câp.

Thông báo cho thây không nhận đươc đia chi IP từ DHCP.Chúng ta cân khởi động lại PC của client hoăc áp dụng lệnh gpupdate /force để áp dụng chính sách NAP Enforcement cho các PC.

Sau đo, chúng ta co thể sử dụng các lệnh để kiểm tra chính sách NAP Enforcement đã đươc bật trên PC hay chưa.

Thông báo cho thây NAP Enforcement đã đươc bậtSau đo, kiểm tra lại đia chi IP của PC, nêu như PC chưa đáp ứng các chính sách vê “sức khỏe”, PC sẽ chưa đươc câp phát IP đây đủ (lúc này subnet mask sẽ là 255.255.255.255 hay /32) và PC chi co thể liên lạc với WSUS Server để làm các thủ tục “hoàn thiện sức khỏe” trước khi đươc câp IP đây đủ.

Sau khi thưc hiện cập nhật đây đủ các yêu câu vê “sức khỏe” để tham gia mạng nội bộ, PC sẽ đươc câp đia chi IP đây đủ (subnet mask trong trường hơp này là 255.255.255.0 hay /24) và toàn quyên truy cập mạng nội bộ.

Kiểm tra các máy tính trong mạng LAN chưa join Domain

Các bước kiểm tra các Client trong mạng LAN chưa join domain cũng tương tư như việc kiểm tra các PC đã join Domain. Nhưng lúc này, chính sách NAP Enforcement sẽ không đươc áp dụng từ Domain Controller xuông các Client (do các Client này không nằm trong domain). Lúc này, chúng ta phải bật tính năng cho phép NAP trên các Client đo bằng cách chạy file script nhận đươc từ người quản tri như đã trình bày ở trên.