Giới thiệu về Network Access Protection (Phần 1) Ngu ồ n:quantrimang.com Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truy cập mạng trong Longhorn Server và cách thức mà nó làm việc. Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là có quá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh của tổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ các vị trí khác nhau bên ngoài v ăn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôi đã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôi vẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng. Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từ xa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụng máy tính bị nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hành phiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngại đối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hại đến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tin do máy tính của họ bị nhiễm Trojan. Vài nă m trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hành Windows Server 2003 R2, trong đó có một tính năng mới là Network Access Protection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năng bảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2. Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sau thời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng b ảo mật chính trong Longhorn Server. Mặc dù phiên bản Network Access Protection của Longhorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server 2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viết này chủ yếu cung cấp cho các bạn một chút giới thiệu về Network Access Protection và cách làm việc của nó trước khi Longhorn Server được phát hành. Trước khi bắt đầu Trước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tính Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com năng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảm máy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chức bạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu một người xâm phạm có một máy tính đáp ứng được các chính sách bảo mật của công ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truy cập của người này. Việ c ngăn chặn truy nhập của người này là công việc của các kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn người dùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm. Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tính năng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng) có trong Windows Server 2003. Chức năng có trong Windows Server 2003 này cung cấp kiểm soát chính sách b ảo vệ giới hạn cho các máy tính từ xa nhưng hoàn toàn thua kém so với NAP. Nền tảng cơ bản về NAP NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầu khi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịch vụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ có chính sách mạng sẽ kiểm tra tính hợp lệ về “sức khỏe” hay độ an toàn của hệ thống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tính từ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậy những gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiết lập. Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặc cách ly. Nế u một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào với một thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyên mạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sách bảo mật của công ty hay không. Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việc tạo chuyển tiếp đối với môi trường NAP. Nếu b ạn có một số người dùng từ xa cần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thể không muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đó thì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đó bạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này cho phép đánh giá được ảnh hưởng c ủa các chính sách truy cập mạng mà không phải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã được kiểm tra tốt thì bạn có thể chuyển chính sách sang chế độ cách ly. Như đã dự tính, chế độ cách ly làm việc bằng cách định vị các máy tính từ xa Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com không tuân thủ đúng chính sách bảo mật của công ty và sẽ bị cách biệt với tài nguyên của mạng. Nhưng cuối cùng thì quản trị viên cũng phải điều khiển những gì mà máy tính không tuân thủ này có thể truy cập. Thông thường, một quản trị viên sẽ trao cho các máy tính nào quyền vào một đoạn mạng đã được cách ly (vấn đề này sẽ đươc nói sau) và hạn chế việc truy cập tới những tài nguyên quan trọng nào đ ó hay ngăn chặn việc truy cập đến tất cả tài nguyên mạng. Có lẽ bạn đang phân vân là có những thuận lợi gì đối với việc đồng ý cho các máy tính không tuân thủ chính sách của quản trị viên này truy cập vào phần mạng đã được cách ly. Khi một máy tính không tuân thủ gắn vào mạng và NAP đang hoạt động trong chế độ cách ly, máy tính không tuân thủ sẽ bị cách ly đối với mạng lớn. Thông thường, sự cách ly này được kéo dài trong suốt khoảng thời gian kết nối của người dùng. Đơn giản việc cách ly một máy không tuân thủ có thể giúp ngăn chặn những xâm nhập gây ra bởi virus hoặc những lỗ hổng bảo mật trên mạng của bạn, nhưng nó cũng không hoàn toàn tốt cho những người truy cập từ xa vì những người dùng này không thể kết nối vào được tài nguyên mạng và chính vì vậy mà họ không thể làm được công việc của họ. Và khi gặp v ấn đề này thì đoạn mạng cách ly trở nên có vai trò quan trọng. Một quản trị viên có thể đặt các tài nguyên đã được nâng cấp về an toàn vào những đoạn cách ly. Những tài nguyên nâng cấp về an toàn là các server được bảo vệ khi làm cho máy tính truy cập từ xa không tuân thủ thành tuân thủ. Chúng có thể cài đặt các bản vá bảo mật hoặc các phần mềm virus nâng cấp. Một thứ cần phải chú ý ở đây là NAP không có bất kỳ một kỹ thuậ t nào có khả năng thẩm tra độ an toàn của máy tính từ xa hay áp dụng các nâng cấp đối với máy tính từ xa. Vấn đề này là công việc của System Health Agents và System Health Validators. Có thông tin cho rằng các thành phần này sẽ được tích hợp vào phiên bản tới của SMS Server. Kết luận Trong bài viết này, chúng tôi đã giới thiệu cho các bạn về tính năng NAP của Longhorn Server. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho bạn quá trình cấu hình của nó như th ế nào.  Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 2) Ngu ồ n:quantrimang.com Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn một số khái niệm liên quan đến Network Access Protection. Trong phần hai này chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bản và các điều kiện quyết định khác. Sau đó là quá trình cấu hình như thế nào. Cơ sở hạ tầng Network Access Protection Việc thi hành NAP cần sử dụ ng một số máy chủ, mỗi một máy chủ có một vai trò riêng. Bạn có thể xem ở hình A để có cái nhìn tổng quát về vấn đề này. Hình A: Việc thi hành NAP yêu cầu một số máy chủ để sử dụng Như bạn thấy trong sơ đồ, client Windows Vista đang kết nối đến một Longhorn Server đang chạy dịch vụ truy cập từ xa (RRAS). Máy chủ này làm việc như máy chủ VPN cho mạng. Client Windows Vista thiết lập mộ t kết nối đến máy chủ VPN này theo cách thông thường. Khi người dùng từ xa kết nối đến máy chủ VPN thì bộ kiểm tra miền sẽ kiểm tra tính hợp lệ của máy tính người dùng xem nó có đáp ứng được với chính sách mạng và chỉ ra những chính sách an toàn nào đã được đáp ứng, một máy chủ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com được sử dụng để cấu hình cả Remote Access Service và Network Policy Server. Trong thế giới thực, các máy chủ VPN hoạt động ở lớp vành đai mạng và không nên cấu hình máy chủ chính sách mạng trên máy chủ vành đai. Bộ điều khiển miền Nếu nhìn vào sơ đồ hiển thị trong hình A thì bạn sẽ thấy được rằng một trong những máy chủ yêu cầu là bộ điều khiển miền. Không nên nghĩ nó chỉ là một máy chủ riêng lẻ, nó có thể khá như một cơ sở hạ tầng Active Directory trọn vẹn. Một Active Directory không thể hoạt động mà không có máy chủ DNS, nếu sơ đồ đã trình bày biểu diễn đúng một mạng thì bộ điều khiển miền sẽ đang cấu hình các dịch vụ DNS. Tất nhiên trong các tổ chức thế giới thực sử dụng điển hình nhiều bộ điều khiển miền và các máy chủ DNS chuyên dụng. Nhân tố khác cần xem xét cho sự không rõ ràng ở sơ đồ là quyền cấp chứng chỉ hoạt động kinh doanh cũng được yêu cầu. Trong trường hợp sơ đồ này, các dịch vụ cấp chứng chỉ có thể dễ dàng được cấu hình trên bộ điều khiển miền. Trong thế giới thực, một máy chủ chuyên dụng thường được sử dụ ng như quyền cấp chứng chỉ bởi vì tính chất nhạy cảm của các chứng chỉ số. Trong trường hợp bạn đang phân vân, lý do tại sao quyền cấp chứng chỉ hoạt động kinh doanh được yêu cầu là bởi vì máy chủ VPN sử dụng giao thức PEAP- MSCHAPv2 để thẩm định. Giao thức PEAP là chứng chỉ gốc. Máy chủ VPN sẽ sử dụng một chứng chỉ máy bên cạnh máy chủ, nhưng ng ược lại các client lại sử dụng các chứng chỉ người dùng. Cài đặt quyền cấp chứng chỉ hoạt động kinh doanh Thủ tục cho việc triển khai một quyền cấp chứng chỉ hoạt động kinh doanh thay đổi phụ thuộc vào việc bạn đang cài đặt các dịch vụ trên Windows 2003 Server hay Longhorn Server. Một trong những mục đích của tôi trong bài viết này hướng tới cho các bạn đọc đã khá thân thiện v ới Longhorn Server. Các thủ tục dưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên Longhorn Server. Trước khi trình bày cách làm thế nào để cài đặt các dịch vụ chứng chỉ thì bạn cần phải ghi nhớ 2 điều. Đầu tiên đó là, Longhorn Server vẫn là bản chạy thử nghiệm, do vậy nó có thể thay đổi cho tới khi sản phẩm cuối cùng được phát hành, một thay đổi lớn trong quá trình phát triển ứng d ụng này là khó có thể xảy ra. Điều thứ hai cần phải lưu ý đó là khi triển khai trong thế giới thực thì bạn luôn muốn có được các phép đo hiệu quả để bảo đảm quyền cấp chứng chỉ hoạt Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com động kinh doanh là an toàn. Hơn tất cả, nếu ai đó đã đoạt được quyền cấp chứng chỉ hoạt động kinh doanh của bạn thì họ có thể làm chủ được mạng. Do bài viết này chỉ tập trung vào NAP nên chúng tôi sẽ giới thiệu cho các bạn một chút về dịch vụ cấp chứng chỉ này và hoạt động của nó. Trong triển khai thế giới thực, bạn sẽ muốn có được v ề cấu hình của máy chủ. Bắt đầu quá trình triển khai bằng việc mở Server Manager của Longhorn Server và chọn tùy chọn Manage Roles. Tiếp theo, nhấn liên kết Add Roles đã tìm thấy trong phần Roles Summary. Việc này sẽ là cho Windows khởi động Add Roles Wizard. Nhấn Next để bỏ qua của sổ này. Bạn sẽ thấy một danh sách chứa tất cả các thành phần sẵn có. Chọn tùy chọn Active Directory Certificate Server từ danh sách. Đ ôi khi có thể không xuất hiện các thành phần được liệt kê theo thứ tự alphabe, chính vì vậy bạn có thể phải đọc thông qua toàn bộ danh sách để tìm dịch vụ thích hợp. Nhấn Next để tiếp tục. Cửa sổ này sẽ giới thiệu cho bạn về các dịch vụ cấp chứng chỉ và cung cấp một số chú ý. Nhấn Next, bạn sẽ thấy một cửa sổ khác hỏi về thành phầ n nào muốn cài đặt. Chọn các hộp checkbox Certification Authority và Certificate Authority Web Enrollment và nhấn Next. Bây giờ bạn sẽ thấy một cửa sổ hỏi có muốn tạo một quyền cấp chứng chỉ hoạt động kinh doanh hay không hay một quyền chứng chỉ độc lập. Chọn tùy chọn Enterprise Certificate Authority và nhấn Next. Bạn sẽ được nhắc nhở xem máy chủ này có nên thực hiện như một Root CA hay Subordinate CA không. Nếu đây là lần đầu tiên quyền cấp chứng chỉ trong phòng thì bạn nên chọn tùy chọn Root CA. Nhấn Next để tiếp tục. Wizard sẽ hỏi xem có muốn tạo một khóa riêng mới hay sử dụng khóa riêng đang tồn tại. Nếu đây lại là một thử nghiệm thì bạn chọn tùy chọn tạo một khóa riêng mới và nhấn Next để tiếp tục. Cửa sổ ti ếp theo sẽ yêu cầu bạn chọn một nhà cung cấp dịch vụ bằng mật mã, chiều dài khóa và thuật toán hash. Trong triển khai thế giới thực, có nhiều thứ cần phải xem xét cẩn thận. Khi chúng ta đang thiết lập quyền cấp chứng chỉ này cho mục đích chứng minh thì chúng ta nên để mặc định và nhấn Next. Cửa sổ tiếp theo để bạn định nghĩa một tên chung và hậu tố tên đặ c biệt đối với quyền cấp chứng chỉ. Lại tiếp tục chọn mặc định và nhấn Next. Bây giờ bạn nên xem cửa số đang yêu cầu thời gian chứng chỉ hợp lệ là bao lâu, mặc định chu kỳ này là 5 năm, điều đó khá tốt đối với các mục đích của chúng ta, vì vậy hãy nhấn Next để tiếp tục. Cửa số tiế p theo sẽ hỏi xem các cơ sở dữ liệu chứng chỉ và các bản ghi phiên liên lạc tương ứng của chúng sẽ được đặt ở Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com đâu. Trong môi trường sản xuất, việc chọn một vị trí thích hợp có tác dụng giới hạn cho khả năng chống sai sót và bảo mật. Nếu được tiến hành thử nghiệm, bạn hãy để mặc định và nhấn Next. Cuối cùng là cửa sổ diễn tả chi tiết về các tùy chọn mà bạn đã chọn. Nhấn nút Install sau đó Windows sẽ copy những file cần thiết và cấu hình các dịch vụ bên dưới. Kết luận Vậy là chúng tôi đã trình bày cho các bạn cách cấu hình quyền cấp chứng chỉ hoạt động kinh doanh, và là thời điểm bạn bắt đầu cấu hình máy chủ VPN. Mời các bạn đón xem phần 3.  Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 3) Ngu ồ n:quantrimang.com Trong phần 2 của loạt bài viết này, chúng ta đã đi qua toàn bộ quá trình cài đặt Enterprise Certificate Authority (ECA) được sử dụng bởi một máy chủ. Trong phần 3 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách làm thế nào đề cấu hình máy chủ VPN cần thiết. Với các mục đích trong loạt bài viết này, chúng tôi sẽ cài đặt Network Policy Server vào một máy tính cùng cấu hình như máy tính sử dụng cho máy chủ VPN. Trong triển khai của thế giớ i thực bạn luôn muốn sử dụng hai máy tính riêng biệt để cấu hình các vai trò của nó. Việc cấu hình cả hai vai trò trên cùng một máy tính chỉ nên thực hiện trong phòng thí nghiệm. Các nhiệm vụ cấu hình cơ bản Trước khi trình bày về cách cấu hình máy chủ này như một máy chủ VPN, bạn phải thực hiện một số nhiệm vụ cấu hình cơ bản. Về bản chất, điều đ ó nghĩa là bạn phải cài đặt Longhorn Server và cấu hình nó để sử dụng một địa chỉ IP tĩnh. Địa chỉ IP phải được đặt trong cùng một dãy bộ điều khiển miền mà bạn đã cấu hình từ trước. Thiết lập Preferred DNS Server của máy chủ trong cấu hình TCP/IP của nó cần phải chỉ rõ bộ điều khiển miền mà bạn thiết lập trong loạt bài này khi nó cũng đang th ực hiện như một máy chủ DNS. Sau khi kết thúc việc thực hiện cấu hình khởi tạo của máy chủ VPN, bạn nên sử dụng lệnh “ping” để xác minh lại xem máy chủ VPN đã truyền thông với bộ điều khiển miền chưa. Nối tới một miền Bạn đã chỉ định cấu hình TCP/IP của máy và đã kiểm tra kết nối của nó còn bây giờ là lúc bạ n bắt đầu với các nhiệm vụ cấu hình thực. Thứ đầu tiên phải làm đó là nhập tên miền vào máy chủ mà bạn đã tạo trong phần trước. Quá trình nhập vào một tên miền trên Longhorn Server cũng tương tự như trong Windows Server 2003. Bạn nhấn chuột phải vào lệnh Computer tìm thấy trên menu Start của máy chủ. Làm như vậy, với Longhorn Server bạn sẽ mở System applet của Control Panel. Bây giờ kích vào nút Change Settings trong Computer Name, Domain và phần Workgroup Settings trong màn hình này. Bằng cách đó bạ n sẽ khám phá được các thuộc tính của hệ thống System Properties. System Properties không có gì khác mấy so với trong Windows Server 2003. Nhấn vào nút Change để vào hộp thoại Computer Name Changes. Nhấn nút Domain, nhập vào tên của miền vào trường Domain và nhấn OK. Bạn nên xem hộp thoại đang nhắc nhở thiết lập một số chức năng. Nhập vào tên người dùng và mật khẩu cho tài khoản quản trị miền, nhấn nút Submit. Sau đó Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com một lúc bạn sẽ thấy hộp thoại chào mừng. Nhấn OK bạn sẽ thấy hộp thoại cho biết phải khởi động lại máy tính. Nhấn OK một lần nữa, sau nút Close. Khi khởi động lại máy tính, bạn sẽ là một thành viên của miền đã chỉ định. Cài đặt sự truy cập từ xa và định tuyến Bây giờ bạn phải tiến hành cài đặt dịch vụ truy cập t ừ xa và định tuyến Routing and Remote Access. Sau đó chúng ta sẽ tiến hành cấu hình dịch vụ này làm việc như trên một máy chủ VPN. Bắt đầu quá trình bằng việc mở Server Manager. Bạn có thể tìm thấy một shortcut cho Server Manager trên menu Administrative Tools. Khi Server Manager mở, bạn kéo phần trong cửa sổ chi tiết sau đó nhấn vào Add Roles liên kết để khởi tạo Add Roles Wizard. Khi wizard mở, bạn nhấn Next để bỏ qua cửa sổ ban đầu. Bạn nên quan sát cửa sổ đang nhắ c nhở bạn chọn vai trò nào để cài đặt trên máy chủ. Nhấn hộp checkbox ứng với tùy chọn Network Access Services. Nhấn nút Next bạn sẽ thấy một cửa sổ giới thiệu về các dịch vụ truy cập mạng Network Access Services. Nhấn Next thêm một lần nữa bạn gặp một cửa sổ hỏi chọn các thành phần Network Access Services nào muốn cài đặt. Chọn các hộp checkbox ứng với Network Policy Server và Routing and Remote Access Services. Khi bạn chọn các dịch v ụ truy cập mạng và định tuyến Routing and Remote Access Services, dịch vụ truy cập từ xa Remote Access Service, định tuyến Routing và bộ quản trị kết nối Connection Manager Administration Kit thì các hộp checkbox sẽ tự động được tích. Bạn phải bỏ chọn checkbox Remote Access Service đã được chọn đi vì nếu chọn nó sẽ cài đặt các thành phần sẽ cần thiết cho máy chủ để làm việc như một VPN. Hai hộp checkbox khác có thể tùy chọn. Nếu muố n máy chủ có chức năng như một bộ định tuyến NAT hay sử dụng các giao thức như IGMP proxy hay RIP, thì bạn cần bỏ chọn phần Routing. Nhấn Next bạn sẽ thấy một cửa sổ hiển thị các loại dịch vụ sẽ được bạn đã cài đặt. Nếu mọi thứ đều diễn ra tốt đẹp, nhấn nút Install để bắt đầu quá trình cài đặt. Có thể điều b ạn muốn biết ở đây sẽ tốn mất thời gian là bao lâu trong việc cài đặt này đối với phiên bản cuối cùng của Longhorn Server phát hành. Bài test của chúng tôi được tiến hành trên phiên bản thử nghiệm của Longhorn Server và quá trình cài đặt mất vài phút để hoàn tất. Trong thực tế, máy chủ sẽ cho bạn cảm giác rằng nó bị khóa trong suốt quá trình cài đặt. Khi quá trình cài đặt hoàn tất, bạn nhấn nút Close. Sau khi bạn cài đặt Network Access Services, bạn cấu hình Routing and Remote Access Services để chấ p nhận các kết nối VPN. Bắt đầu bằng việc nhập lệnh MMC vàp cửa sổ lệnh RUN của máy chủ. Bằng cách làm như vậy bạn sẽ mở một Microsoft Management console (MMC) trống. Chọn Add/Remove Snap-in từ Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com menu File. Windows sẽ hiển thị cho bạn một danh sách các mô đun phần mềm có sẵn. Chọn mô đun phần mềm Routing and Remote Access trong danh sách đó và nhấn nút Add sau đó nhấn OK. Mô đun phần mềm này sẽ được nạp ra giao diện làm việc. Nhấn chuột phải vào phần chứa Server Status của giao diện sử dụng và chọn Add Server từ kết quả của menu tắt. Khi được nhắc, bạn chọn tùy chọn máy tính này và nhấn OK. Giao diệ n sử dụng sẽ hiển thị một danh sách máy chủ của bạn. Nhấn chuột phải vào danh sách với máy chủ và chọn Configure and Enable Routing and Remote Access từ menu đó. Cửa sổ Routing and Remote Access Server Setup Wizard sẽ được mở. Nhấn Next để bỏ qua màn hình welcome của wizard. Bạn nên quan sát cửa sổ sau đó, cửa sổ này hỏi xem bạn muốn sử dụng cấu hình nào. Chọn tùy chọn Remote Access (dial-up hoặc VPN) và nhấn Next. Cửa sổ dưới đây sẽ cho bạn một sự lựa chọn giữa việc cấu hình truy cập dial-up hoặc VPN. Chọn checkbox VPN và nhấn Next. Wizard sẽ đưa bạn đến phần kết nối VPN, chọn giao diện mạng sẽ được sử dụng bởi các client để kết nối đến máy chủ VPN và bỏ chọn Enable Security trên Selected Interface bằng checkbox Setting up Static Packet Filters. Nhấn next và sau đó chọn From a Specified Address, sau đó nhấn Next lần nữa. Ở đây, bạn sẽ th ấy một cửa sổ hỏi nhập dãy địa chỉ IP có thể được gán cho các client VPN. Nhấn nút Next và nhập địa chỉ đầu và địa chỉ cuối cho dãy địa chỉ IP. Nhấn OK, sau đó là Next. Windows sẽ mở cửa sổ của Managing Multiple Remote Access Server Bước tiếp theo trong quá trình này là chọn tùy chọn Yes để cấu hình máy chủ làm viêc với một máy chủ Radius. Bạn sẽ được nhắc nhở nhập vào địa chỉ IP cho máy chủ Radius. Vì NPS sẽ chạy cùng v ới Routing and Remote Access Services, nên bạn chỉ cần nhập các máy chủ có địa chỉ IP chính và địa chỉ Radius thứ cấp. Bạn cũng sẽ bị nhắc nhở để nhập vào đó một bí mật được cấp tương đương nhau. Với mục đích chứng minh, bạn chỉ cần nhập vào rras. Nhấn Next sau đó là Finish. Bạn sẽ thấy một vài cảnh báo. Hãy nhấn OK để đóng các cảnh báo này. Bước cuố i cùng trong quá trình cấu hình RRAS là thiết lập sơ đồ thẩm định. Để làm việc này, bạn nhấn chuột phải vào danh sách máy chủ và chọn Properties. Khi thấy các thuộc tính của máy chủ, bạn hãy vào tab Security. Thêm EAP- MSCHAPv2 và PEAP vào phần Authentication Methods và nhấn OK. Kết luận Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com [...]... tôi đã giới thiệu cho bạn cấu hình của Network Policy Server và bắt đầu việc cấu hình một máy khách Trong phần tiếp theo chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách làm thế nào để hoàn thiện việc cấu hình client   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 7) Nguồn : quantrimang.com  Trong phần 6 chúng tôi đã giới thiệu. .. Trong bài viết này, chúng tôi đã giới thiệu cho các bạn cách làm thế nào để tạo các chính sách cấp phép đối với các máy tính cần kiểm tra và không cần kiểm tra Trong phần tiếp theo của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu hình máy chủ   Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 6) Nguồn : quantrimang.com ... http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 4) Nguồn : quantrimang.com  Trong phần trước của loạt bài này, chúng tôi đã trình bày cho các bạn làm thế nào để cấu hình thành phần VPN được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng của chúng ta Trong phần 4 này, chúng tôi sẽ tiếp tục giới thiệu với các bạn về làm thế nào để cấu hình thành phần Network Policy Server... Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 5) Nguồn : quantrimang.com  Trong loạt các bài trước về chủ đề này, chúng tôi đã giới thiệu cho các bạn cách cấu hình một chính sách an toàn để Windows kiểm tra xem các client đang yêu cầu truy cập vào mạng có tường lửa đã được kích hoạt chưa Tiếp sau đó là cách tạo các mẫu hợp lệ về hệ thống để định nghĩa những gì là... dịch vụ Remote Procedure Call (RPC) và DCOM Server Process Launcher đều đã hoạt động Dịch vụ Network Access Protection Agent có thể không hoạt động khi có các dịch vụ đi kèm nằm dưới Kiểm tra Network Access Protection Dù tin tưởng hay không thì cuối cùng chúng ta cũng đã kết thúc việc cấu hình Network Access Protection Bây giờ hãy thực hiện các bài kiểm tra đơn giản để bảo đảm rằng mọi thứ đang hoạt... hình như một thành viên của miền có Network Policy Server Thêm vào đó, miền phải gồm một tài khoản người dùng mà bạn có thể sử dụng để đăng nhập vào Routing and Remote Access Server đã tạo Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bây giờ hãy tạo một kết nối Virtual Private Network mà bạn sẽ sử dụng để kiểm tra máy chủ Network Access Protection Để thực hiện, bạn mở Control... http://www.simpopdf.com Trong phần này, chúng tôi đã giới thiệu cho các bạn làm thế nào để cài đặt và cấu hình các dịch vụ truy cập từ xa và định tuyến Routing and Remote Access Services theo cách để cho phép máy chủ làm việc như một máy chủ VPN Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn làm thế nào để cấu hình thành phần Network Policy Server   Simpo PDF Merge and Split... một kết nối VPN trên máy khách Windows Vista Phần 7 này sẽ tiếp tục giới thiệu cách hoàn tất quá trình cấu hình máy khách Bắt đầu quá trình cấu hình bằng việc mở Control Panel, kích vào liên kết Network and Internet, sau đó là Network and Sharing Center Khi cửa sổ Network and Sharing Center được mở, kích chuột vào liên kết Manage Network Connections Khi đó một cửa sổ hiển thị tất cả các kết nối mạng... Protocol Tới đây, bạn chỉ cần kích OK mỗi khi có một hộp thoại xuất hiện để đóng chúng lại Bây giờ phải cấu hình kết nối VPN thỏa mãn các yêu cầu cần thiết Để Network Access Protection làm việc, các yêu cầu cần thiết của dịch vụ Network Access Protection cần phải được thiết lập để bắt đầu một cách tự động Mặc định, Windows Vista thiết lập dịch vụ này bắt đầu một cách thủ công, vì vậy bạn phải thay đổi... | Network Access Protection | System Health Validators, như trong hình A Bây giờ bạn nhấn chuột phải vào đối tượng Windows System Health Validators được tìm thấy trong phần giữa của giao diện sử dụng, chọn Properties từ menu kết quả Windows sẽ hiển thị hộp thoại Windows Security Health Validator Properties như trong hình B Hình A: Điều hướng thông qua giao diện cây đến NPS (Local) | Network Access Protection . http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 2) Ngu ồ n:quantrimang.com Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn một số khái niệm liên quan đến Network. tục giới thiệu cho các bạn làm thế nào để cấu hình thành phần Network Policy Server.  Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu về Network Access Protection. Version - http://www.simpopdf.com Giới thiệu về Network Access Protection (Phần 5) Ngu ồ n:quantrimang.com Trong loạt các bài trước về chủ đề này, chúng tôi đã giới thiệu cho các bạn cách cấu