Nakabuo ang Microsoft ng teknolohiyang Network Access Protection (MS-NAP) para sa mga system nito. Ito ay idinisenyo upang limitahan ang pag-access sa network batay sa prinsipyo ng pagsunod sa itinatag na mga kinakailangan sa seguridad, ang pangunahing isa ay ang pagkakaroon ng isang service pack at ang pinakabagong mga patch ng hotfix.

Ang MS-NAP ay walang mekanismo ng proteksyon laban sa mga nanghihimasok, ngunit gamit ang teknolohiyang ito maaari mong i-secure ang gawain ng mga indibidwal na makina sa network.

Ano ang mga benepisyo ng teknolohiya ng Network Access Protection?

Sa halos pagsasalita, ang pangunahing layunin ng NAP ay pigilan ang mga client system na may mga hindi napapanahong configuration (halimbawa, ang mga may lumang bersyon ng mga add-on package ng serbisyo, antivirus software, atbp.) mula sa pagkonekta sa network. Ang NAP ay lubhang kapaki-pakinabang para sa mga mobile system. Isipin ang isang may-ari ng laptop na nagtatrabaho sa bahay at kumokonekta sa corporate network habang malayo sa opisina; kung labag ito sa patakaran sa seguridad ng kumpanya, magagawang tanggihan ng NAP ang pag-access sa computer na iyon.

Ang NAP ay kinakailangan sa mga kaso kung saan ang mga empleyado ng kumpanya ay nag-log in sa network mula sa kanilang mga PC sa bahay. Kadalasan, tinatanggihan ng mga organisasyon ang access sa network sa mga naturang machine, ngunit may mga pagbubukod. Sa ganitong mga sitwasyon, mahalaga ang NAP, dahil kung wala ito ay hindi masusuri ng administrator kung mayroon ang computer pinakabagong bersyon mga pakete ng serbisyo at mga hotfix.

Maaaring gamitin ang NAP upang suriin ang katayuan ng mga karaniwang desktop system (at iba pang mga server ng Windows Server 2008) upang makita kung pinapayagan nila ang pag-access sa network. Nakakatulong ang diskarteng ito na maprotektahan laban sa mga problema na maaaring lumitaw kung ang makina sa mahabang panahon na nagtrabaho ng autonomously (bilang isang resulta kung saan ito ay naging mas mahina), ay konektado sa network. Sa katunayan, nangangako ito ng parehong mga problema tulad ng sa sitwasyon sa isang laptop na inilarawan sa itaas.

Pagse-set up ng MS-NAP

Maaaring i-configure ang MS-NAP kapag Tulong sa Windows Server 2008 para sa server at Windows Vista, Windows Server 2008, Windows XP Service Pack 3 para sa mga sinusuportahang kliyente. Ang ikatlong service pack para sa Windows XP ay hindi pa nailalabas (ito ay nasa beta testing stage), ngunit alam na ito ay magtatampok ng isang NAP module para sa operating system na ito.

Gumagamit ang MS-NAP toolkit ng mga tungkulin sa network object upang ipatupad ang mga patakaran sa administratibo at seguridad, mag-imbak ng mga kinakailangan sa system para sa mga makina ng kliyente, suriin ang mga ito para sa pagsunod sa mga kinakailangang ito, awtomatikong ibigay ang mga kinakailangang karagdagan at pagwawasto, at pansamantalang ihiwalay ang mga hindi sumusunod na device - lahat ng ito, ayon sa mga napiling setting. Para sa mga device na may natukoy na mga kakulangan, isang espesyal na quarantine zone (correction network) ay ibinibigay kung saan kinakailangang setting configuration, pagkatapos nito ay magagamit muli ang mga ito para sa karagdagang trabaho sa corporate network. Ipinapakita ng Figure A ang tipikal na operasyon ng MS-NAP at ang mga bagay na ginagampanan nito.

Figure A. Gumagamit ang MS-NAP ng iba't ibang role object.

Matagal nang naglalabas ang Microsoft ng mga produkto para sa mga server na may kakayahang magsagawa ng mga function ng pagruruta at pamamahala ng mga serbisyo ng DNS, DHCP, WINS; Ang MS-NAP ay walang pagbubukod. Bagama't hindi lahat ng enterprise IT professionals ay mangangailangan ng mga serbisyong ibinibigay ng network equipment, ang MS-NAP technology ay nagpapahintulot sa paggamit ng Windows server role objects upang matukoy at pamahalaan ang mga sistema ng seguridad. Gumagamit ang MS-NAP ng tradisyunal na kagamitan sa network, kaya hindi maituturing na 100% na produkto ng Microsoft ang teknolohiyang ito.

Paano gumagana ang MS-NAP

Ang diwa ng MS-NAP ay medyo malinaw. Hindi lang malinaw kung paano gumagana ang lahat. Upang ipatupad ang seguridad ng network, ang MS-NAP ay gumagamit ng mga bagay na ginagampanan ng server kasama ng mga kumbinasyon ng mga channel ng komunikasyon. Tingnan natin ang daloy ng trapiko ng MS-NAP. Ginagamit ng server ang mga sumusunod na bahagi ng MS-NAP:

Awtoridad ng Health Registry Authority (HRA): Ang Windows Server 2008 computer na ito, na nakatalaga sa tungkulin ng IIS Internet Server, ay nakakakuha ng mga kinakailangang sertipiko ng seguridad mula sa mga naaangkop na awtoridad.
NAP Health Policy Server (NPS): Ang Windows Server 2008 computer na ito, na nakatalaga sa tungkulin ng NPS, ay naglalaman ng mga kinakailangan sa patakaran sa seguridad at mga pagsusuri laban sa mga kinakailangang iyon.
Server ng Remediation: Narito ang mga mapagkukunan para sa pag-troubleshoot ng mga kliyente ng NAP na nabigo sa pagsubok sa pagsunod. Halimbawa, ang pinakabagong mga bersyon ng antivirus software at iba pang mga application.
Server ng Kinakailangang Pangkalusugan: Ang role object na ito ay nagbibigay ng mga MS-NAP server mga kinakailangang sangkap, tinitiyak ang kasalukuyang antas ng seguridad.
NAP client: Isang computer na nagpapatakbo ng Windows XP SP3 o Vista na tina-target ng MS-NAP.
VPN server: Ang tungkulin ng server ay maaaring gampanan ng isang umiiral na system, ngunit kailangan mong tandaan na ito ay isang access point sa panlabas na network(na hindi limitado lamang sa Internet).
Mga kagamitan sa network: Mga switch o wireless access point (WAPs) na sumusuporta sa IEEE 802.1X authentication protocol.
DHCP server: Ginagamit ng DHCP server ang RADIUS protocol upang magpadala ng impormasyon tungkol sa antas ng seguridad ng NPS client sa server ng patakaran sa seguridad. Ito ay isang mahalagang bahagi ng MS-NAP. Kung ang system ay pumasa sa pag-scan, ito ay binibigyan ng walang limitasyong pag-access sa network, kung hindi, ito ay pupunta sa quarantine network para sa mga pagsasaayos ng configuration.

Mga Kaso ng Paggamit ng MS-NAP

Pagkatapos nating tingnan ang prinsipyo ng pagpapatakbo ng MS-NAP, alamin natin kung anong mga benepisyo ang matatanggap ng mga user ng mga ordinaryong network mula sa paggamit ng teknolohiyang ito. Nauuna ang seguridad sa patakaran ng anumang organisasyon, samakatuwid, ang mga function ng seguridad ng bawat produkto ng software ay dapat na ibigay sa pinakamaagang yugto ng pag-unlad. Maaaring tanggihan ng teknolohiya ng MS-NAP ang network access sa mga hindi protektadong system at indibidwal na user. Ang kapaligiran ng Windows ay may isa sa mga pinakamahusay na tool sa pamamahala ng system - ang Active Directory domain (AD).

Sa AD, maaaring pamahalaan ng mga propesyonal sa IT ang higit pang mga elemento ng system at gumamit ng mga karagdagang pakete ng pangangasiwa gaya ng Systems Management Server (SMS), gayundin ang pag-configure ng Windows update at mga patakaran sa proteksyon ng virus. Makakatulong ang MS-NAP kung saan nabigo ang mga kumbensyonal na estratehiya sa pangangasiwa.

Isipin ang isang sitwasyon kung saan kailangan ng isang supplier o iba pang kasosyo sa negosyo na kumonekta sa isang mapagkukunan ng corporate network. Ang koneksyon ay maaaring gawin mula sa mga makina na konektado sa isa pang domain o sa isang network na may ibang mekanismo ng kontrol, iyon ay, hindi naa-access sa kontrol ng administrator. Sa wakas, ang mga computer na ito ay maaaring kabilang sa ibang kapaligiran ng Active Directory, na nangangahulugan na ang administrator, kapag nag-online na ang mga machine na ito, ay hindi magkakaroon ng mga kinakailangang mapagkukunan upang ayusin ang mga kinakailangang setting. Aayusin ang teknolohiya ng MS-NAP kinakailangang mga parameter ang remote system bago ito makakuha ng access sa network.

Ang mga isyu sa pag-update at pag-configure ng mga system mula sa ibang mga organisasyon ay isang paksa para sa isang hiwalay na talakayan, na hindi gaanong mahalaga kaysa sa isyu ng pagbibigay sa kanila ng direktang access sa corporate network. Ngunit kung kinakailangan, pipilitin ng MS-NAP ang remote system na tanggapin ang mga patakaran sa patakaran ng network bago payagan itong kumonekta. Ito ay tumutulong sa tulay ang agwat sa pagitan ng mga pamantayan na pinagtibay ng organisasyon at ang mga pangkat ng disenyo ng hardware ng computer.

Ang pangunahing gawain ng MS-NAP ay upang maiwasan ang mga panganib na lumitaw kapag kumokonekta sa mga malalayong gumagamit na nag-access sa network mula sa mga computer at laptop sa bahay. Ang pinakamalaking panganib ay nagmumula sa mga user na nagla-log in sa network na hindi gaanong isinasaalang-alang ang seguridad ng kanilang mga system. Binibigyang-daan ng MS-NAP ang pamamahala ng pagsasaayos ng lahat malayong mga sistema, kabilang ang mga bihirang kumonekta sa network (na pumipigil sa mga configuration ng seguridad na ma-update sa isang napapanahong paraan). Ang MS-NAP client ay hindi kinakailangang magkaroon ng account sa domain ng Active Directory ng organisasyon. Bilang karagdagan, gamit ang AD maaari mong isagawa direktang kontrol pagkakakilanlan.

Mga Mapagkukunan ng Microsoft para sa MS-NAP

Ang Internet ay nagbibigay ng impormasyon tungkol sa pag-unlad at pagsubok na bersyon ang toolkit na ito para sa mga beta na bersyon ng Windows Server 2008 system, na ipinakita sa website nito.

Cross-platform na suporta sa NAP

Ang teknolohiya ng MS-NAP ay gumagana sa batayan ng malawakang ginagamit na protocol ng pagpapatunay ng network ng IEEE 802.1X, na nagsisiguro ng pagiging tugma ng NAP sa Windows Server 2008, Vista, XP operating system at iba't ibang uri ng mga device. Sa pangkalahatan, ginagamit ng IEEE 802.1X karaniwang protocol Ang RADIUS ay nagbibigay-daan sa ligtas na pag-access sa mga wireless at Ethernet network.

Ang pangunahing bentahe ng protocol na ito ay ang server ng pagkakakilanlan ay hindi kailangang italaga ang papel ng isang database node. Nangangahulugan ito na ang kagamitan sa network na may kakayahang IEEE 802.1X ay maaaring gumawa ng mga kahilingan para sa mga bagay na ginagampanan ng MS-NAP. Kaya, ang teknolohiya ng MS-NAP ay nagbibigay-daan para sa sentralisadong pamamahala ng mga proseso ng awtorisasyon at pagkakakilanlan, pati na rin ang pagpapanatili ng mga account alinsunod sa mga tinukoy na parameter ng seguridad. Sa kasalukuyan, ang protocol na ito, na binuo ng mga inhinyero mula sa HP, Microsoft, Cisco, Trapeze network at Enterasys, ay sinusuportahan ng karamihan sa mga tagagawa ng kagamitan sa network.

Mga materyales

Tulad ng malamang na napansin mo, karamihan sa aking mga artikulo kamakailan ay nakatuon sa teknolohiya ng Patakaran ng Grupo, na, sa aking palagay, ay kailangang malaman at maunawaan, dahil salamat sa teknolohiyang ito na mapoprotektahan mo ang iyong mga user, computer, at iyong network ng kumpanya mula sa maraming pinsala. Ang mga patakaran ng grupo ay malapit na nauugnay sa halos lahat ng teknolohiya na maaaring i-deploy sa isang organisasyon. Ngunit sa anumang kaso, kahit na gumamit ka ng mga script sa bawat setting ng Patakaran ng Grupo, ang fleet ng computer ng iyong organisasyon ay magiging mahina pa rin sa maraming dahilan.

Sa halos bawat organisasyon, ang isa sa mga pangunahing gawain ng system administrator, at kung minsan ng isang indibidwal na administrator ng seguridad na nauugnay sa pagpapanatili ng isang fleet ng mga computer, ay upang matiyak ang seguridad. Ang mga organisasyon ay kadalasang nagpapatupad ng mga sumusunod na solusyon upang matiyak ang seguridad:

• Pag-install ng antivirus software sa mga computer ng kliyente, file at mga mail server, pati na rin ang mga anti-virus software management console sa isang dedikadong server. Kabilang sa mga pangunahing produkto ng negosyo para sa seguridad ng anti-virus ang mga produkto ng Microsoft ForeFront at Kaspersky Enterprise Space Security, pati na rin ang Symantec Endpoint Protection;
• Pag-configure ng mga firewall sa mga workstation at server sa isang organisasyon. Halimbawa, Windows firewall nasa mode pinataas na seguridad nagbibigay-daan sa iyong i-filter ang papasok at papalabas na trapiko gamit ang mga nako-customize na panuntunan upang matukoy ang mga lehitimo at hindi secure na komunikasyon;
• Pag-deploy ng mga firewall sa mga demilitarized na zone, na maaaring maging komprehensibong solusyon sa seguridad ng network na makakatulong na protektahan ang panloob na network ng isang organisasyon mula sa mga banta mula sa Internet. Halimbawa, isang firewall Microsoft Forefront Ang Threat Management Gateway 2010 ay nag-aalok ng isang solong, simpleng paraan upang ma-secure ang iyong perimeter na may integrated firewall, VPN, pag-iwas sa panghihimasok, pagsuri sa availability malware at pag-filter ng URL.
• Tinitiyak ang seguridad ng pagpapalitan ng data sa pagitan ng mga computer gamit ang IPSec protocol, na kadalasang ginagamit upang protektahan ang trapiko sa Internet kapag gumagamit ng mga virtual private network;
• I-configure ang patakaran sa seguridad ng Group Policy. Kasama sa mga patakarang ito ang password at mga patakaran sa pag-lockout ng account, mga patakaran sa pampublikong key, mga patakaran sa paghihigpit sa software, at marami pang iba;
• Gumagamit ng disk encryption upang protektahan ang data na matatagpuan sa mga computer ng kliyente kung sakaling ninakaw ang computer ng isang user o upang maiwasan ang pagsisiwalat ng data na matatagpuan sa mga nawawala, ninakaw, o hindi wastong na-decommission na mga personal na computer.

As you can see, walang single komprehensibong solusyon, na nagbibigay-daan sa iyong ganap na protektahan ang lahat ng iyong mga user mula sa iba't ibang sitwasyon at mga pag-atake at, siyempre, ang listahan ng mga solusyon na nakalista sa itaas ay hindi pangwakas. Ngunit sa tulong ng lahat ng nasa itaas na solusyon sa seguridad, mapoprotektahan mo lamang ang network ng iyong organisasyon mula sa mga pag-atake ng mga umaatake mula sa labas, iyon ay, mula sa Internet. Maaari mo ring protektahan ang iyong intranet mula sa pagkakamali ng tao, dahil kung gagamitin mo nang tama ang functionality ng Patakaran ng Grupo, maaari mong paghigpitan ang mga user sa pagsasagawa ng maraming pagkilos, gayundin sa paggawa ng karamihan sa mga pagbabago sa system. Ngunit hindi mo dapat alisin ang posibilidad na ang mga empleyado ng iyong kumpanya ay naglalakbay sa mga paglalakbay sa negosyo. Dahil nasa isang istasyon ng tren, paliparan, Internet cafe o organisasyon ng kasosyo, maaaring ikonekta ng iyong user ang kanyang laptop sa Internet o sa panloob na network ng ibang kumpanya. At dahil ang lokasyon kung saan ang user ay nakakonekta sa Internet ay maaaring hindi natugunan ang mga kinakailangan sa seguridad, ang laptop ng iyong empleyado ay maaaring ma-infect at sa pagbabalik sa kanyang opisina, ang virus na nasa laptop ng bumibisitang empleyado ay maaaring magsimulang kumalat sa mga vulnerable na computer. Ang senaryo na inilarawan sa itaas ay ang pinakakaraniwan at upang maiwasan ang mga ganitong sitwasyon, isang bagong teknolohiya ang inihayag sa Windows Server 2008 operating system. "Proteksyon sa access sa network". Naglalaman ang teknolohiyang ito ng mga bahagi ng client at server na nagbibigay-daan sa iyong lumikha at magpatupad ng mga partikular na patakaran sa pangangailangang pangkalusugan na tumutukoy sa mga katangian ng configuration ng software at system kapag kumonekta ang mga computer sa panloob na network ng isang organisasyon. Kapag kumonekta ang mga computer ng kliyente sa network ng isang organisasyon, dapat matugunan ng kanilang mga computer ang ilang partikular na pangangailangan sa kalusugan, at kung hindi natutugunan ng computer ang mga naturang kinakailangan (halimbawa, pag-install ng mga pinakabagong update sa operating system), ilalagay sila sa network quarantine, kung saan maaari silang i-download ang pinakabagong mga update, i-install ang antivirus software, at magsagawa ng iba pang kinakailangang pagkilos. Sa panimulang artikulong ito, maikli kong ipakikilala ang teknolohiyang ito.

Teknolohiya ng proteksyon sa pag-access sa network at mga paraan ng sapilitang proteksyon

Gaya ng nabanggit kanina, ang Network Access Protection (NAP) ay isang extensible platform na nagbibigay ng partikular na imprastraktura. Nangangailangan ang Network Access Protection ng buong pag-scan at sinusuri ang kalusugan ng mga computer ng kliyente habang nililimitahan ang access sa network sa mga computer ng kliyente na hindi nakakatugon sa mga kinakailangang ito. Gumagamit ang Network Access Protection ng mga patakarang pangkalusugan upang suriin at suriin ang mga computer ng kliyente, na dinadala ang mga ito sa pagsunod sa patakarang pangkalusugan bago payagan ang mga ito ng ganap na access sa network. Bagama't ang teknolohiya ng Network Access Protection ay nagbibigay ng mayamang functionality, mga bahagi tulad ng pagsuri sa kalagayan ng kalusugan ng computer, pagbuo ng mga ulat sa kalusugan, paghahambing ng kalusugan ng computer ng kliyente sa mga setting ng patakaran sa kalusugan, at pag-configure ng mga setting ng computer ng kliyente alinsunod sa mga kinakailangan ng patakaran sa kalusugan ay isinasagawa ang iba pang mga bahagi na tinatawag na system health agent at system health checkers. Ang mga ahente ng kalusugan ay kasama bilang default bilang mga bahagi ng system sa mga operating system na nagsisimula sa Windows Vista at Windows Server 2008. Ngunit upang maisama ang proteksyon sa pag-access sa network, ang mga third-party na software developer ay maaari ding gumamit ng isang hanay ng mga API upang magsulat ng sarili nilang mga ahente sa kalusugan. Ito ay nagkakahalaga ng pagbibigay pansin sa katotohanan na ang Network Access Protection ay nagbibigay ng two-way na proteksyon para sa mga computer ng kliyente at sa panloob na network ng organisasyon, na tinitiyak na ang mga computer na kumokonekta sa network ay sumusunod sa mga kinakailangan ng patakaran sa network ng organisasyon, pati na rin ang patakaran sa kalusugan ng kliyente. .

Ang mga patakarang pangkalusugan mismo ay ipinapatupad gamit ang mga bahagi ng client-side na sinusuri at sinusuri na ang kalusugan upang paghigpitan ang pag-access sa network sa mga hindi sumusunod na computer ng kliyente, gayundin ang mga bahagi ng client-side at server-side na tumitiyak na ang mga hindi sumusunod na computer ng kliyente ay na-update sa magbigay ng ganap na access sa mga network. At ang kalusugan ay tinukoy sa anyo ng impormasyon tungkol sa computer ng kliyente, na ginagamit ng Network Access Protection upang matukoy kung posible ang pag-access ng kliyenteng ito sa panloob na network ng organisasyon. Kasama sa mga halimbawa ng mga katangian na sinusuri kapag tinatasa ang katayuan sa kalusugan ng estado ng configuration ng computer ng kliyente kumpara sa estado na kinakailangan ng patakarang pangkalusugan ay ang katayuan ng pag-install ng mga update sa operating system at mga update sa lagda ng antivirus software, ang pag-install ng mga update sa software ng antispyware, at ang kalusugan ng ang firewall sa computer ng kliyente at iba pa. Kung ang pagsasaayos ng isang computer ng kliyente ay hindi tumutugma sa kinakailangang estado, ang mga naturang computer ay maaaring ganap na tanggihan ng access sa network ng organisasyon, o sila ay bibigyan lamang ng access sa isang espesyal na network ng quarantine, kung saan ang kliyente ay bibigyan ng software, anti-virus at anti-spyware update.

Kapag sinubukan ng mga computer ng kliyente na i-access ang network ng isang organisasyon sa pamamagitan ng mga network access server tulad ng mga VPN server, ipinapatupad ang proteksyon sa network access laban sa kanila. Ang paraan ng paglalapat ng naturang sapilitang proteksyon ay direktang nakasalalay sa napiling paraan ng aplikasyon. Maaaring ilapat ang mga patakaran sa kalusugan ng Network Access Protection sa mga sumusunod na teknolohiya ng network:

• DHCP protocol. Gumagamit ang ganitong uri ng pagpapatupad ng tungkulin ng DHCP server na naka-install sa isang computer na nagpapatakbo ng Windows Server 2008 upang awtomatikong magbigay ng mga IP address sa mga computer ng kliyente. Kung pinagana ang proteksyon ng NAP para sa ganitong uri, ang mga computer lang na ganap na sumusunod sa mga kinakailangan sa seguridad ang makakatanggap ng mga IP address na nagbibigay ng access sa network, at lahat ng iba pang mga computer ay makakatanggap ng mga address sa 255.255.255.255 subnet na walang default na gateway. Bagama't hindi ma-access ng mga kliyente ang network ng organisasyon, bibigyan sila ng mga ruta ng host na nagdidirekta ng trapiko sa mga mapagkukunan ng network sa grupo ng pagbawi, kung saan maaari silang mag-install ng anumang kinakailangang update sa seguridad;
• Mga secure na koneksyon sa IPSec. Ang pamamaraang ito ng pagpapagana ng pagpapatupad ng seguridad ay ini-deploy upang matiyak na i-verify ng mga kliyente na napapanahon ang seguridad ng system bago makatanggap ng sertipiko ng kalusugan. Sa turn, ang certificate server ay nag-isyu ng isang X.509 authentication certificate sa mga NAP client, na kinakailangan upang magbigay ng IPSec security bago kumonekta ang mga kliyente sa network kapag nakikipag-usap sila sa IPsec sa ibang mga kliyente sa organisasyon. Kung gagamitin mo ang kasalukuyang paraan kasama ang suporta sa NAP, kailangan mo pa ring mag-deploy ng server ng certificate;
• IEEE 802.1X wired at wireless network. Ang ipinatupad na paraan ng seguridad batay sa mga wired o wireless na IEEE 802.1X network na ipinatupad kasabay ng mga wireless access point o Mga switch ng Ethernet na may suporta para sa 802.1X na pagpapatotoo. Sa pagpapatupad na ito, ang NAP server ay nagtuturo sa 802.1X authentication switch o 802.1X wireless access point upang ilipat ang mga hindi sumusunod na kliyente sa isang quarantine area o hindi makakonekta sa network ng organisasyon. Ang kasalukuyang paraan ng seguridad ay nagbibigay ng katiyakan ng pagsunod sa mga kinakailangan sa seguridad para sa mga computer na maaaring online sa mahabang panahon;
• Mga VPN server at koneksyon. Aplikasyon ang pamamaraang ito sapilitang proteksyon ay idinisenyo upang gumana sa mga virtual pribadong network at nagsasangkot ng pag-deploy ng isang Windows Server 2008 VPN server at isang bahagi "Pagruruta at Remote Access". Alinsunod dito, kapag gumagamit ng NAP, ang mga kliyenteng kumokonekta sa isang virtual pribadong network ay dapat sumailalim sa isang pagsusuri sa kalusugan, at ang mga computer ng kliyente lamang na nakakatugon sa mga kinakailangan sa seguridad ang makakatanggap ng hindi pinaghihigpitang pag-access sa network;
• Remote Desktop Gateway. Bagama't sa karamihan ng mga kaso, ilang partikular na awtorisadong user lang ang makakakonekta sa mga server ng Remote Desktop, tinitiyak ng pagsubaybay sa katayuan ng kalusugan ng mga computer ng kliyente na ang mga computer na sumusunod sa seguridad lamang ang makakakonekta sa mga server o Remote Desktop.

Konklusyon

Sa pangkalahatan, tulad ng naintindihan mo na, ang teknolohiya "Proteksyon sa access sa network" ay nagbibigay ng karagdagang antas ng seguridad, na nagbibigay-daan sa pag-access sa mga panloob na mapagkukunan ng network lamang sa mga computer na iyon na nakakatugon sa mga tinukoy na kinakailangan sa seguridad. Ngunit tandaan na habang tinitiyak ng teknolohiyang panseguridad sa pag-access sa network na hindi makakakonekta ang iyong mga user sa iyong panloob na network nang hindi natutugunan ang mga kinakailangan sa seguridad, maaaring hindi pa rin mapipigilan ng NAP ang isang may karanasang hacker na kumonekta sa network ng iyong organisasyon. Ito ay nagtatapos sa unang artikulo sa isang serye ng mga artikulo sa teknolohiya ng proteksyon sa pag-access sa network ng NAP. Sa mga sumusunod na artikulo sa seryeng ito, matututunan mo ang tungkol sa pag-deploy ng teknolohiya ng NAP, pag-troubleshoot ng mga problema na nauugnay sa teknolohiyang ito, lahat ng paraan ng pagpapatupad, pati na rin ang maraming iba pang mga nuances.

Ang isang aspeto ng seguridad ng network na nakakadismaya sa maraming mga administrator ay wala silang kontrol sa pagsasaayos ng mga malalayong computer. Bagama't ang isang corporate network ay maaaring magkaroon ng isang napaka-secure na configuration, kasalukuyang sandali walang makakapigil sa isang malayuang user na kumonekta sa corporate network gamit ang isang computer na nahawaan ng mga virus o hindi naglalaman ng mga kinakailangang update. Isang Longhorn Server operating system tool na tinatawag Proteksyon sa Pag-access sa Network(Network Access Protection, NAP) ay magbabago sa sitwasyong ito. Sa artikulong ito, sasabihin ko sa iyo ang tungkol sa NAP tool at ipapakita sa iyo kung paano ito gumagana.

Noong nagtrabaho ako bilang isang administrator ng network, isa sa mga bagay na talagang ikinadismaya ko ay ang napakaliit kong kontrol sa mga malalayong user. Ang mga kinakailangan sa negosyo ng aking organisasyon ay nangangailangan ng mga malalayong user na makakonekta sa corporate network mula sa kahit saan sa labas ng opisina. Ang problema ay bagama't gumawa ako ng matinding hakbang upang ma-secure ang corporate network, wala akong kontrol sa mga computer na magagamit ng mga user para kumonekta sa network nang malayuan. Sa huli, computer sa bahay ang empleyado ay hindi pag-aari ng kumpanya.

Ang dahilan kung bakit ito nabigo sa akin nang labis ay dahil hindi ko alam kung ano ang estado ng computer ng gumagamit. Minsan, maaaring kumonekta ang mga malalayong user sa network gamit ang isang computer na nahawaan ng mga virus. Minsan, ang computer ng malayuang user ay maaaring nagpapatakbo ng lumang bersyon ng Windows operating system. Bagama't gumawa ako ng mga hakbang upang protektahan ang corporate network, lagi akong natatakot na ang isang malayuang user na may hindi sapat na seguridad ay maaaring makahawa sa mga file sa network ng isang virus, o aksidenteng maglantad ng sensitibong impormasyon ng korporasyon dahil ang kanilang computer ay maaaring ma-infect ng isang Trojan.

Gayunpaman, lumitaw ang isang sinag ng pag-asa ilang taon na ang nakalilipas. Naghanda ang Microsoft na ilabas ang operating system ng Windows Server 2003 R2, na kinabibilangan ng pag-uusap tungkol sa isang bagong tool na tinatawag na NAP. Upang paikliin ng kaunti ang kuwento, sasabihin ko lang sa iyo na upang i-configure ang seguridad ng network gamit ang higit pa mga naunang bersyon instrumentong ito, kinailangan na magkaroon ng advanced na degree sa larangan seguridad sa computer. At kaya ang NAP tool ay inalis mula sa huling bersyon ng R2.

Ang Microsoft ay gumawa ng maraming trabaho upang mapabuti ang NAP tool mula noon, at ang NAP ay isa na ngayon sa mga pangunahing tool sa seguridad sa Longhorn Server operating system. Bagama't ang Longhorn na bersyon ng NAP tool ay magiging mas madaling i-configure kaysa sa hindi pa inilabas na bersyon para sa Windows Server 2003, ito ay medyo kumplikado pa rin. Samakatuwid, ang layunin ng pagsulat ng artikulong ito ay upang bigyan ka ng isang paglalarawan ng NAP tool at ipakita din sa iyo kung paano ito gumagana bago ang opisyal na paglabas ng Longhorn Server operating system.

Upang magsimula sa

Bago ako magpatuloy, gusto kong ipaliwanag ang isa pang bagay tungkol sa tool ng NAP. Ang layunin ng NAP tool ay upang matiyak na ang computer ng malayuang gumagamit ay nakakatugon sa mga kinakailangan sa seguridad ng iyong organisasyon. Walang ginagawa ang NAP upang pigilan ang hindi awtorisadong pag-access sa iyong network. Kung ang umaatake ay may computer na nakakatugon sa mga kinakailangan sa seguridad ng iyong kumpanya, walang gagawin ang NAP para subukang pigilan ang umaatake. Ang pagprotekta laban sa mga nanghihimasok na sumusubok na makakuha ng access sa mga mapagkukunan ng network ay ang gawain ng iba pang mga mekanismo ng seguridad. Ang NAP ay idinisenyo upang tanggihan lamang ang mga awtorisadong user na gumagamit ng mga hindi secure na computer sa pagpasok sa iyong network.

Ang isa pang bagay na gusto kong banggitin bago ako magpatuloy ay ang NAP tool ay iba sa Network Access Quarantine Control na tool na nasa operating system ng Windows Server 2003 Ang Network Access Quarantine Control na tool ay gumagamit ng mga pinaghihigpitang patakaran upang kontrolin ang mga malalayong computer , ngunit ito ay napapailalim sa NAP.

Mga Pangunahing Kaalaman sa Network Access Security

Ang tool ng NAP ay idinisenyo upang palawigin ang enterprise VPN. Ang proseso ay magsisimula kapag ang isang kliyente ay nagtatag ng isang VPN session sa isang Longhorn server na nagpapatakbo ng Routing at Remote Access na serbisyo. Pagkatapos magtatag ng koneksyon ang user, susuriin ng Network Policy Server ang status ng remote system. Ito ay nakakamit sa pamamagitan ng paghahambing ng configuration malayong computer na may patakaran sa pag-access sa network na tinukoy ng administrator. Ang susunod na mangyayari ay depende sa kung ano ang isinulat ng administrator sa patakarang ito.

Ang administrator ay may setting upang i-configure ang alinman sa isang patakaran sa pagsubaybay lamang o isang patakaran sa paghihiwalay. Kung ang patakaran sa pagsubaybay lang ang pinagana, ang sinumang user na may tamang mga karapatan ay magkakaroon ng access sa mga mapagkukunan ng network, hindi alintana kung ang kanilang computer ay sumusunod sa patakaran sa seguridad ng kumpanya o hindi. Bagama't hindi ipinagbabawal ng patakaran sa pagsubaybay ang anumang computer na ma-access ang iyong network, ang resulta ng paghahambing ng configuration ng remote na computer sa mga kinakailangan ng kumpanya ay naitala sa isang espesyal na log.

Sa aking opinyon, ang patakaran sa pagsubaybay ay pinakaangkop para sa paglipat sa isang kapaligiran ng NAP. Pag-isipan ito sandali, kung mayroon kang mga malalayong user na kailangang mag-access ng mga mapagkukunang matatagpuan sa iyong corporate network upang magawa ang trabaho, malamang na hindi mo gustong paganahin sa simula ang NAP sa isolation mode. Kung pipiliin mong gawin ito, may magandang pagkakataon na wala sa iyong mga malalayong user ang makaka-access sa iyong corporate network. Sa halip, maaari mong i-configure ang NAP upang gumamit ng patakaran sa pagsubaybay. Papayagan ka nitong suriin ang epekto ng iyong mga patakaran sa pag-access sa network nang hindi sinasadyang pinipigilan ang isang tao na gawin ang kanilang trabaho. Pagkatapos ng pagsubok na ito, maaari mong paganahin ang patakaran sa isolation mode.

Tulad ng malamang na nahulaan mo na, sa isolation mode, ang mga computer na hindi sumusunod sa corporate security policy ay inilalagay sa isang network segment na nakahiwalay sa mga pang-industriyang mapagkukunan ng network. Siyempre, ito ay isang napaka-pangkalahatang pahayag. Ganap na nasa administrator ang pagpapasya kung ano ang gagawin sa isang user na ang computer ay hindi sumusunod sa corporate policy. Karaniwan, ang isang administrator ay magbibigay sa mga user na ang mga computer ay hindi sumusunod sa corporate policy ng access sa nakahiwalay na segment ng network na aking nabanggit sa itaas. May kakayahan din ang administrator na higpitan ang pag-access sa isang mapagkukunan o sa lahat ng mapagkukunan ng network.

Maaari kang magtaka kung ano ang pakinabang sa pagbibigay sa mga computer na hindi nakakatugon sa mga kinakailangan ng kumpanya ng access sa isang nakahiwalay na segment ng network. Kung ang isang hindi sumusunod na computer ay kumokonekta sa network at ang NAP tool ay tumatakbo sa isolation mode, ang computer na iyon ay tatanggihan ng access sa pang-industriyang network. Karaniwan, nagpapatuloy ang quarantine na ito hangga't nakakonekta ang user sa network. Ang simpleng pag-quarantine sa mga computer na hindi sumusunod sa mga patakaran ng kumpanya ay umiiwas impeksyon sa viral o pagsasamantala sa mga butas ng seguridad sa iyong network, ngunit hindi hinaharangan ang maraming kapaki-pakinabang na impormasyon mula sa user. Pagkatapos ng lahat, kung hindi ma-access ng isang user ang mga mapagkukunan ng network, hindi nila magagawa ang kanilang trabaho.

Dito nagliligtas ang isang nakahiwalay na segment ng network. Maaaring maglagay ang administrator ng isang espesyal na hanay ng mga update at antivirus sa nakahiwalay na segment na ito. Ang ganitong mga mapagkukunan ay nagbibigay-daan sa iyo na dalhin ang computer ng malayuang gumagamit sa pagsunod sa mga kinakailangan ng kumpanya. Halimbawa, ang mga naturang server ay maaaring maglaman ng mga update para sa seguridad o antivirus software.

Napakahalagang tandaan na ang NAP tool ay hindi naglalaman ng anumang mga mekanismo na maaaring suriin ang katayuan ng remote na computer at ang pag-install ng mga update dito. Ito ay magiging gawain na ng mga ahente ng estado ng system at mga validator ng estado ng system. May alingawngaw na ang mga bahaging ito ay isasama sa susunod na bersyon ng SMS Server.

Konklusyon

Sa artikulong ito, sinabi ko sa iyo ang tungkol sa isang bagong tool sa operating system ng Longhorn Server na tinatawag na NAP. Sa ikalawang bahagi ng artikulong ito, ituturo ko sa iyo ang proseso ng pag-setup gamit ang tool na ito.

Nai-publish noong Pebrero 20, 2009 ni · Walang komento

Sa huling seksyon ng Bahagi 6 ng artikulong ito, ipinakita ko sa iyo kung paano mag-set up ng sirang koneksyon sa VPN sa isang kliyenteng nagpapatakbo ng Windows Vista. Sa artikulong ito, tatapusin ko ang artikulong ito at ipapakita sa iyo kung paano kumpletuhin ang proseso ng pag-setup ng kliyente.

Simulan natin ang proseso ng pag-setup sa pamamagitan ng paglulunsad ng Control Panel ( Control Panel), at pag-click sa link na Network at Internet, at pagkatapos ay sa link na Network at Sharing Center. Kapag bumukas ang window ng Network and Sharing Center, mag-click sa link na Manage Network Connections. Dapat mong makita ang isang window na nagpapakita ng lahat ng iyong koneksyon sa network, pati na rin ang koneksyon sa VPN na iyong ginawa sa huling bahagi ng artikulong ito.

Mag-right-click sa koneksyon ng VPN at piliin ang Properties mula sa pop-up menu. Pagkatapos nito, lilitaw ang window ng mga katangian ng koneksyon. Pumunta sa tab na Seguridad at piliin ang radio button na Advanced (Custom Settings), gaya ng ipinapakita sa Figure A.

Figure A: Dapat mong i-configure ang iyong koneksyon para magamit ang Advanced na mga setting ng seguridad (Custom Settings)

Ngayon mag-click sa pindutan ng Mga Setting upang ipakita ang dialog box ng Advanced na Mga Setting ng Seguridad. kasi Na-configure na namin ang koneksyon ng VPN upang gumamit ng bukas na protocol para sa pagpapatunay (Extensible Authentication Protocol), pagkatapos ay dapat mong piliin ang radio button na Gamitin ang Extensible Authentication Protocol (EAP). Pagkatapos nito, magiging aktibo ang drop-down list na matatagpuan sa ilalim ng radio button na ito. Piliin ang Protected EAP (PEAP) (Encryption Enabled) gaya ng ipinapakita sa Figure B.

Figure B: Dapat mong i-configure ang seguridad ng iyong koneksyon sa VPN at gamitin ang Protection EAP (PEAP) (Encryption Enabled)

Ngayon mag-click sa button na Properties upang buksan ang Protected EAP Properties dialog box. Lagyan ng check ang kahon ng Patunayan ang Sertipiko ng Server at alisan ng tsek ang kahon ng Connect to these Servers. Dapat mo ring piliin ang Secured Password (EAP-MSCHAP V2) mula sa drop-down na listahan ng Select Authentication Method. Panghuli, alisan ng tsek ang kahon ng Paganahin ang Mabilis na Kumonekta muli at lagyan ng check ang kahon ng Paganahin ang Mga Pagsusuri sa Quarantine, tulad ng ipinapakita sa Figure C.

Figure C: Ang pahina ng Protected EAP Properties ay nagpapahintulot sa iyo na i-configure ang mga setting para sa Extensible Authentication Protocol.

Pagkatapos nito, mag-click sa pindutan ng OK sa bawat bukas na dialog box upang isara ang mga ito. Na-configure mo na ngayon ang koneksyon ng VPN upang matugunan ang mga kinakailangang kinakailangan. Pero hindi pa tapos ang lahat. Upang magsimulang gumana ang Network Access Protection, kailangan mong tiyakin na awtomatikong magsisimula ang serbisyo ng Network Access Protection. Bilang default, sa Windows Vista, ang lahat ng mga serbisyo ay naka-configure upang magsimula nang manu-mano, kaya dapat mong baguhin ang paraan ng pagsisimula ng serbisyong ito.

Upang gawin ito, buksan ang Control Panel at mag-click sa System at Maintenance link, at pagkatapos ay sa Administrative Tools link. Ngayon ay makikita mo ang isang listahan ng iba't ibang mga tool sa administratibo. I-double click ang icon ng Mga Serbisyo para buksan ang Service Control Manager.

Hanapin ang serbisyo ng Network Access Protection Agent sa listahan ng mga serbisyo. Mag-double click sa serbisyong ito at pagkatapos ay baguhin ang uri ng startup sa Awtomatiko at mag-click sa OK na buton. Pakitandaan na ang pagpapalit ng uri ng startup ng serbisyo sa Awtomatiko ay hindi magsisimula ng serbisyo. Tinitiyak lamang nito na ang serbisyong ito ay awtomatikong magsisimula pagkatapos ma-restart ang computer. Gayunpaman, maaari kang magsimula ng mga serbisyo nang hindi nagre-reboot sa pamamagitan ng pag-right-click sa serbisyo at pagpili sa Start mula sa menu ng konteksto. Kung mayroon kang mga problema sa pagsisimula ng serbisyo, tingnan kung ang serbisyo ng Remote Procedure Call (RPC) at ang serbisyo ng DCOM Server Process Launcher ay tumatakbo. Ang serbisyo ng Network Access Protection Agent ay hindi maaaring gumana nang wala itong mga sumusuportang serbisyo.

Sinusuri ang Network Access Protection

Maniwala ka man o hindi, sa wakas ay tapos na kami sa pag-set up ng Network Access Protection. Ngayon ay oras na upang magpatakbo ng ilang simpleng pagsubok upang matiyak na gumagana ang lahat sa paraang gusto namin.

Tulad ng iyong natatandaan, binago namin ang configuration ng aming server ng patakaran sa network upang awtomatikong maitama ang mga computer na hindi sumusunod sa patakaran. Na-configure din namin ang aming server ng patakaran sa network upang ang tanging pamantayan ay pinagana ang Windows firewall. Samakatuwid, dapat mong huwag paganahin ang firewall sa makina ng kliyente, at pagkatapos ay kumonekta sa server ng patakaran sa network na gumagamit ng koneksyon sa VPN na iyong ginawa. Pagkatapos nito, dapat na awtomatikong paganahin ang firewall sa client machine.

Magsimula tayo sa pamamagitan ng hindi pagpapagana ng firewall sa computer ng kliyente. Upang gawin ito, buksan ang Control Panel at mag-click sa link ng Seguridad. Ngayon piliin ang link Windows Firewall(Firewall) upang buksan ang dialog box ng Windows Firewall. Ipagpalagay na tumatakbo na ang Windows Firewall, i-click ang link na I-on o I-off ang Windows Firewall. Makakakita ka na ngayon ng isang dialog box na nagbibigay-daan sa iyong paganahin o huwag paganahin ang firewall. Piliin ang I-off (hindi inirerekomenda) na radio button tulad ng ipinapakita sa Figure D at i-click ang OK button. Dapat na hindi pinagana ang Windows firewall.

Figure D: Piliin ang Off (Not Recommended) radio button at i-click ang OK button para i-disable ang Windows firewall

Ngayon na hindi mo pinagana ang Windows Firewall, kailangan mong magtatag ng koneksyon sa VPN sa iyong RRAS / NAP server. Upang gawin ito, buksan ang Control Panel at mag-click sa link ng Network at Internet, at pagkatapos ay sa link ng Network at Sharing Center. Kapag bumukas ang window ng Network and Sharing Center, mag-click sa link na Manage Network Connections. Dapat ay makakita ka na ngayon ng isang listahan mga lokal na koneksyon sa iyo workstation at mga kasalukuyang koneksyon sa VPN.

I-double click ang koneksyon sa VPN na iyong ginawa at pagkatapos ay i-click ang button na Connect. Kakailanganin mong ipasok ang iyong username, password at domain name. Mag-click sa OK na buton pagkatapos ipasok ang impormasyong ito at magkakaroon ng koneksyon sa iyong VPN/NAP server.

Pagkatapos ng maikling panahon pagkatapos maitatag ang mga koneksyon, dapat mong makita ang sumusunod na mensahe sa screen:

Hindi Natutugunan ng Computer na Ito ang Mga Kinakailangan ng Corporate Network. Limitado ang Network Access (Ang computer na ito ay hindi nakakatugon sa mga kinakailangan ng corporate network. Limitado ang network access).

Makikita mo ang mensaheng ito sa Figure E.

Figure E: Kung hindi pinagana ang firewall, dapat mong makita ang mensaheng ito pagkatapos magtatag ng koneksyon sa VPN

Kaagad pagkatapos nito, makikita mo ang pagbabago ng icon ng Windows Firewall upang ipahiwatig na ang firewall ay pinagana. Kapag nangyari ito, makakakita ka ng isa pang mensahe:

Natutugunan ng Computer na ito ang Mga Kinakailangan sa Corporate Network. Mayroon kang Buong Network Access (Ang computer na ito ay nakakatugon sa mga kinakailangan ng corporate network. Mayroon kang ganap na access sa network).

Makikita mo ang mensaheng ito sa Figure F.

Figure F: Kapag ikinonekta ng NAP Server ang Windows Firewall, lalabas ang mensaheng ito

Ang mensaheng ipinapakita sa Figure F ay lalabas din kapag ang iyong ganap na enterprise-compliant na computer ay kumonekta sa isang NAP server gamit ang isang VPN connection.

Konklusyon

Sa artikulong ito, ipinakita ko sa iyo kung paano mag-set up ng NAP server upang matiyak na natutugunan ng mga kliyente ng VPN ang iyong mga kinakailangan sa seguridad sa network. Gayunpaman, tandaan na sa oras ng pagsulat ng artikulong ito, ang operating system ng Longhorn Server ay nasa testing mode pa rin. Kaya, ang ilang bahagi ng prosesong ito ay maaaring sumailalim sa kaunting pagbabago kapag nailabas na ang huling bersyon ng Longhorn, ngunit hindi ko inaasahan ang anumang malalaking pagbabago. Dapat mo ring tandaan na ang Network Access Protection ay maaari lamang mag-scan ng mga workstation na tumatakbo sa Windows Vista operating system. Nakarinig ako ng mga alingawngaw na ang Windows XP ay maaaring bahagyang muling idisenyo upang suportahan ang NAP.

www.windowsnetworking.com

Tingnan din ang:

Mga Komento ng Mambabasa (Walang komento)

Oo, lalaki ako, lalaki! =)

Exchange 2007

Kung gusto mong basahin ang mga nakaraang bahagi ng serye ng artikulong ito, mangyaring sundan ang mga link: Monitoring Exchange 2007 Gamit ang System Manager...

Panimula Sa artikulong maraming bahagi na ito, gusto kong ipakita sa iyo ang prosesong ginamit ko kamakailan upang lumipat mula sa isang umiiral na kapaligiran ng Exchange 2003...

Kung napalampas mo ang unang bahagi ng seryeng ito, pakibasa ito sa Paggamit ng Exchange Server Remote Connectivity Analyzer Tool (Bahagi...

Kung napalampas mo ang nakaraang bahagi ng serye ng artikulong ito, pumunta sa Monitoring Exchange 2007 kasama ang System Center Operations Manager...

Ang isang aspeto ng seguridad ng network na nakakadismaya sa maraming mga administrator ay wala silang kontrol sa pagsasaayos ng mga malalayong computer. Bagama't ang isang corporate network ay maaaring magkaroon ng isang napaka-secure na configuration, sa kasalukuyan ay walang makakapigil sa isang malayuang user na kumonekta sa corporate network gamit ang isang computer na nahawaan ng mga virus o na walang mga kinakailangang update. Makakatulong ang isang Windows 2008 Server operating system tool na tinatawag na Network Access Protection (NAP) na baguhin ang sitwasyong ito. Sa artikulong ito, sasabihin ko sa iyo ang tungkol sa NAP tool at ipapakita sa iyo kung paano ito gumagana.

Noong nagtrabaho ako bilang isang administrator ng network, isa sa mga bagay na talagang ikinadismaya ko ay ang napakaliit kong kontrol sa mga malalayong user. Ang mga kinakailangan sa negosyo ng aking organisasyon ay nangangailangan ng mga malalayong user na makakonekta sa corporate network mula sa kahit saan sa labas ng opisina. Ang problema ay bagama't gumawa ako ng matinding hakbang upang ma-secure ang corporate network, wala akong kontrol sa mga computer na magagamit ng mga user para kumonekta sa network nang malayuan. Pagkatapos ng lahat, ang computer sa bahay ng isang empleyado ay hindi pag-aari ng kumpanya.

Ang dahilan kung bakit ito nabigo sa akin nang labis ay dahil hindi ko alam kung ano ang estado ng computer ng gumagamit. Minsan, maaaring kumonekta ang mga malalayong user sa network gamit ang isang computer na nahawaan ng mga virus. Minsan, ang computer ng malayuang user ay maaaring nagpapatakbo ng lumang bersyon ng Windows operating system. Bagama't gumawa ako ng mga hakbang upang protektahan ang corporate network, lagi akong natatakot na ang isang malayuang user na may hindi sapat na seguridad ay maaaring makahawa sa mga file sa network ng isang virus, o aksidenteng maglantad ng sensitibong impormasyon ng korporasyon dahil ang kanilang computer ay maaaring ma-infect ng isang Trojan.

Gayunpaman, lumitaw ang isang sinag ng pag-asa ilang taon na ang nakalilipas. Naghanda ang Microsoft na ilabas ang operating system ng Windows Server 2003 R2, na kinabibilangan ng pag-uusap tungkol sa isang bagong tool na tinatawag na NAP. Upang paikliin ng kaunti ang kuwento, upang i-set up ang network security gamit ang mga naunang bersyon ng tool na ito, kailangan mong magkaroon ng degree sa computer security. At kaya ang NAP tool ay inalis mula sa huling bersyon ng R2.

Ang Microsoft ay gumawa ng maraming trabaho upang mapabuti ang NAP tool mula noon, at ngayon ang NAP tool ay isa sa mga pangunahing tool sa seguridad sa Windows 2008 Server operating system. Bagama't ang bersyon ng Windows 2008 ng NAP tool ay magiging mas madaling i-configure kaysa sa hindi pa nailalabas na bersyon ng Windows Server 2003, ito ay medyo kumplikado pa rin. Samakatuwid, ang layunin ng pagsulat ng artikulong ito ay upang bigyan ka ng paglalarawan ng NAP tool at ipakita din sa iyo kung paano ito gumagana bago ang opisyal na paglabas ng operating system ng Windows 2008 Server.

Upang magsimula sa

Bago ako magpatuloy, gusto kong ipaliwanag ang isa pang bagay tungkol sa tool ng NAP. Ang layunin ng NAP tool ay upang matiyak na ang computer ng malayuang gumagamit ay nakakatugon sa mga kinakailangan sa seguridad ng iyong organisasyon. Walang ginagawa ang NAP upang pigilan ang hindi awtorisadong pag-access sa iyong network. Kung ang umaatake ay may computer na nakakatugon sa mga kinakailangan sa seguridad ng iyong kumpanya, ang NAP ay walang gagawin upang subukang pigilan ang umaatake. Ang pagprotekta laban sa mga nanghihimasok na sumusubok na makakuha ng access sa mga mapagkukunan ng network ay ang gawain ng iba pang mga mekanismo ng seguridad. Ang NAP ay idinisenyo upang tanggihan lamang ang mga awtorisadong gumagamit na gumagamit ng mga hindi secure na computer sa pagpasok sa iyong network.

Ang isa pang bagay na gusto kong banggitin bago ako magpatuloy ay ang NAP tool ay iba sa Network Access Quarantine Control na tool na nasa operating system ng Windows Server 2003 Ang Network Access Quarantine Control na tool ay gumagamit ng mga pinaghihigpitang patakaran upang kontrolin ang mga malalayong computer , ngunit ito ay napapailalim sa NAP.

Mga Pangunahing Kaalaman sa Network Access Security

Ang tool ng NAP ay idinisenyo upang palawigin ang enterprise VPN. Ang proseso ay magsisimula kapag ang kliyente ay nagtatag ng isang VPN session na may Windows 2008 server na nagpapatakbo ng Routing at Remote Access na serbisyo. Pagkatapos magtatag ng koneksyon ang user, susuriin ng Network Policy Server ang status ng remote system. Ito ay nakakamit sa pamamagitan ng paghahambing ng configuration ng remote na computer sa network access policy na tinukoy ng administrator. Ang susunod na mangyayari ay depende sa kung ano ang isinulat ng administrator sa patakarang ito.

Ang administrator ay may setting upang i-configure ang alinman sa isang patakaran sa pagsubaybay lamang o isang patakaran sa paghihiwalay. Kung ang patakaran sa pagsubaybay lang ang pinagana, ang sinumang user na may tamang mga karapatan ay magkakaroon ng access sa mga mapagkukunan ng network, hindi alintana kung ang kanilang computer ay sumusunod sa patakaran sa seguridad ng kumpanya o hindi. Bagama't hindi ipinagbabawal ng patakaran sa pagsubaybay ang anumang computer na ma-access ang iyong network, ang resulta ng paghahambing ng configuration ng remote na computer sa mga kinakailangan ng kumpanya ay naitala sa isang espesyal na log.

Sa aking opinyon, ang patakaran sa pagsubaybay ay pinakaangkop para sa paglipat sa isang kapaligiran ng NAP. Pag-isipan ito sandali, kung mayroon kang mga malalayong user na kailangang mag-access ng mga mapagkukunang matatagpuan sa iyong corporate network upang magawa ang trabaho, malamang na hindi mo gustong paganahin sa simula ang NAP sa isolation mode. Kung pipiliin mong gawin ito, may magandang pagkakataon na wala sa iyong mga malalayong user ang makaka-access sa iyong corporate network. Sa halip, maaari mong i-configure ang NAP upang gumamit ng patakaran sa pagsubaybay. Papayagan ka nitong suriin ang epekto ng iyong mga patakaran sa pag-access sa network nang hindi sinasadyang pinipigilan ang isang tao na gawin ang kanilang trabaho. Pagkatapos ng pagsubok na ito, maaari mong paganahin ang patakaran sa isolation mode.

Tulad ng malamang na nahulaan mo na, sa isolation mode, ang mga computer na hindi sumusunod sa corporate security policy ay inilalagay sa isang network segment na nakahiwalay sa mga pang-industriyang mapagkukunan ng network. Siyempre, ito ay isang napaka-pangkalahatang pahayag. Ganap na nasa administrator ang pagpapasya kung ano ang gagawin sa isang user na ang computer ay hindi sumusunod sa corporate policy. Karaniwan, ang isang administrator ay magbibigay sa mga user na ang mga computer ay hindi sumusunod sa corporate policy ng access sa nakahiwalay na segment ng network na aking nabanggit sa itaas. May kakayahan din ang administrator na higpitan ang pag-access sa isang mapagkukunan o sa lahat ng mapagkukunan ng network.

Maaari kang magtaka kung ano ang pakinabang sa pagbibigay sa mga computer na hindi nakakatugon sa mga kinakailangan ng kumpanya ng access sa isang nakahiwalay na segment ng network. Kung ang isang hindi sumusunod na computer ay kumokonekta sa network at ang NAP tool ay tumatakbo sa isolation mode, ang computer na iyon ay tatanggihan ng access sa pang-industriyang network. Karaniwan, nagpapatuloy ang quarantine na ito hangga't nakakonekta ang user sa network. Ang simpleng pag-quarantine sa mga computer na hindi sumusunod sa mga patakaran ng kumpanya ay nakakatulong na maiwasan ang mga impeksyon sa virus o pagsasamantala sa mga butas ng seguridad sa iyong network, ngunit hindi nito hinaharangan ang karamihan sa karanasan ng user. Pagkatapos ng lahat, kung hindi ma-access ng isang user ang mga mapagkukunan ng network, hindi nila magagawa ang kanilang trabaho.

Dito nagliligtas ang isang nakahiwalay na segment ng network. Maaaring maglagay ang administrator ng isang espesyal na hanay ng mga update at antivirus sa nakahiwalay na segment na ito. Ang ganitong mga mapagkukunan ay nagbibigay-daan sa iyo na dalhin ang computer ng malayuang gumagamit sa pagsunod sa mga kinakailangan ng kumpanya. Halimbawa, ang mga naturang server ay maaaring maglaman ng mga update para sa seguridad o antivirus software.

Napakahalagang tandaan na ang NAP tool ay hindi naglalaman ng anumang mga mekanismo na maaaring suriin ang katayuan ng remote na computer at ang pag-install ng mga update dito. Ito ay magiging gawain na ng mga ahente ng estado ng system at mga validator ng estado ng system. May alingawngaw na ang mga bahaging ito ay isasama sa susunod na bersyon ng SMS Server.

Ang pagpapatupad ng Network Access Protection ay nangangailangan ng paggamit ng maraming server, na ang bawat isa ay gumaganap ng isang partikular na tungkulin. Ano kaya ang hitsura nito? simpleng pagpapatupad, makikita mo sa Figure 1.

Larawan 1: Ang pagpapatupad ng proteksyon sa pag-access sa network ay nangangailangan ng paggamit ng maramihang mga server

Gaya ng nakikita mo mula sa diagram, kumokonekta ang isang Windows Vista client sa isang Windows 2008 Server na nagpapatakbo ng serbisyo malayuang pag-access Remote Access (RRAS). Gumagana ang server na ito bilang isang VPN server para sa network. Ang isang Windows Vista client ay nagtatatag ng koneksyon sa VPN server na ito sa karaniwang paraan.

Kapag kumonekta ang isang malayuang user sa VPN server, sinusuri ng domain controller ang mga karapatan ng user. Responsibilidad ng server ng patakaran sa network na tukuyin kung aling mga patakaran ang kailangang paganahin at kung ano ang mangyayari kung ang malayong kliyente ay walang mga pribilehiyo. Sa isang kapaligiran ng pagsubok, dapat kang gumamit ng isang pisikal na server upang patakbuhin ang mga tungkulin sa serbisyo ng Routing at Remote Access at ang tungkulin ng Network Policy Server. Sa totoong sitwasyon, ang mga VPN server ay matatagpuan sa paligid ng perimeter ng network, at ang paglalagay ng network policy server sa paligid ng perimeter ng network ay isang napakasamang ideya.

Controller ng domain

Kung titingnan mo ang diagram sa Figure A, makikita mo na ang isa sa mga kinakailangang server ay isang domain controller. Huwag isipin na ito ay isang server lamang - ito ang buong imprastraktura ng Active Directory. Tulad ng sigurado akong alam mo, hindi gagana ang Active Directory kung wala DNS server server. Kaya naman kung literal na paglalarawan ang diagram na ito totoong network, pagkatapos ay gagamitin ng domain controller para sa trabaho nito Mga serbisyo ng DNS serbisyo. Siyempre, sa totoong buhay na sitwasyon, ang mga organisasyon ay karaniwang gumagamit ng maramihang mga controller ng domain at nakatuong DNS.

Ang isa pang salik na dapat isaalang-alang, na maaaring hindi gaanong halata sa diagram, ay ang mga sertipiko ng korporasyon ay kinakailangan din. Sa kaso ng diagram na ito, ang mga serbisyo ng certificate ay madaling mai-host sa isang domain controller. Sa isang tunay na sitwasyon, ang isang espesyal na server para sa mga sertipiko ay kadalasang ginagamit, dahil Ang likas na katangian ng mga digital na sertipiko ay napakasensitibo.

Kung sakaling nagtataka ka, ang dahilan kung bakit kailangan ang isang enterprise certificate ay dahil ang VPN server ay gumagamit ng PEAP-MSCHAPv2 para sa authentication. At ang PEAP protocol ay gumagamit ng mga sertipiko upang gumana. Ang VPN server ay gagamit ng mga sertipiko mula sa server machine, habang ang mga malalayong kliyente ay gagamit ng mga sertipiko ng gumagamit.

Pag-install ng isang enterprise certificate

Ang pamamaraan para sa pag-install ng isang enterprise certificate ay maaaring mag-iba depende sa kung ikaw ay nag-i-install ng mga serbisyo sa isang Windows 2003 server o sa isang Windows 2008 server. Dahil ang isa sa mga layunin ng pagsulat ng artikulong ito ay upang ipakilala sa iyo ang operating system ng Windows 2008 Server, ang sumusunod na pamamaraan ay maglalarawan sa pag-install ng mga serbisyo ng sertipiko para sa operating system ng Windows 2008 Server.

Bago ko ipakita sa iyo kung paano mag-install ng mga serbisyo ng sertipiko, kailangan mong tandaan ang dalawang bagay. Una, ang operating system ng Windows 2008 Server ay nasa beta testing pa rin. Samakatuwid, palaging may pagkakataon na ang sinasabi ko sa iyo ngayon ay magbabago sa oras na ilabas ang huling bersyon, bagama't napakalaking pagbabago sa yugtong ito ay lubhang hindi kanais-nais.

Ang isa pang bagay na kailangan ding tandaan ay dapat kang gumawa ng mga pang-emerhensiyang hakbang upang matiyak ang seguridad ng iyong sertipiko ng negosyo. Higit pa rito, kung may pumalit sa iyong corporate certificate, sila ang kukuha sa iyong network. kasi Dahil ang artikulong ito ay nakatuon sa pagprotekta sa access sa network, ipapakita ko sa iyo kung ano ang kailangan mong gawin upang mapatakbo ang iyong mga serbisyo ng certificate. Sa pagsasagawa, kailangan mong pag-isipang mabuti ang pagsasaayos ng server.

Simulan natin ang proseso ng pag-install sa pamamagitan ng pagbubukas ng server manager ng operating system ng Windows 2008 Server Manager at pagpili sa Manage Roles setting mula sa console tree. Susunod, mag-click sa link na Magdagdag ng mga tungkulin, na makikita sa seksyong Buod ng Mga Tungkulin sa console. Bilang resulta ng mga pagkilos na ito, ilulunsad ng Windows ang Add Roles Wizard. I-click ang button na Susunod upang laktawan ang welcome window ng wizard. Makakakita ka na ngayon ng isang listahan ng lahat ng magagamit na mga tungkulin. Pumili Aktibong parameter Directory Certificate Server mula sa listahan. Maaaring wala sa alpabetikong pagkakasunud-sunod ang mga tungkulin, kaya kung kinakailangan, mag-scroll sa ibaba ng listahan upang mahanap ang serbisyong kailangan mo. Upang magpatuloy, mag-click sa Susunod na pindutan.

Makakakita ka ng screen na nagpapakita ng Mga Serbisyo sa Sertipiko at ilang babala. I-click ang button na Susunod upang laktawan ang screen na ito at pumunta sa isa pang window kung saan hihilingin sa iyong piliin ang mga bahaging ii-install. Piliin ang Certification Authority pati na rin ang Certificate Authority Web Enrollment, at pagkatapos ay i-click ang Next button.

Makakakita ka ng isang screen na nagtatanong sa iyo kung gusto mong lumikha ng isang enterprise certificate o isang stand-alone na certificate. Piliin ang pagpipiliang Enterprise Certificate Authority at i-click ang Susunod. Susunod na tatanungin ka kung ang server na ito ay kikilos bilang isang Root CA o bilang isang karagdagang Subordinate CA. kasi ay ang una (at tanging) sertipiko sa iyong lab, pagkatapos ay dapat mong piliin ang opsyong Root CA. Upang magpatuloy, mag-click sa Susunod na pindutan.

Susunod, tatanungin ka ng wizard kung gusto mong lumikha ng bagong pribadong key o gumamit ng kasalukuyang pribadong key. kasi Isa lang itong pagsubok na pag-install, kaya piliin ang opsyong gumawa ng bagong pribadong key at i-click ang button na Susunod upang magpatuloy.

Sa susunod na window, kakailanganin mong piliin ang iyong provider ng pag-encrypt, haba ng key, at algorithm ng hashing. Sa pagsasagawa, dapat kang maging maingat sa pagpili ng mga pagpipiliang ito. kasi Ginagawa namin ang sertipiko na ito para sa mga layunin ng pagpapakita lamang, kaya iwanan ang lahat bilang default at mag-click sa pindutang Susunod.

Sa susunod na screen magkakaroon ka ng opsyon upang tukuyin karaniwang pangalan, pati na rin ang isang kilalang suffix para sa sertipiko. Muli, iwanan ang lahat bilang default at mag-click sa Susunod na pindutan.

Susunod na makikita mo ang isang window kung saan dapat mong itakda ang panahon ng bisa ng sertipiko. Bilang default, ang panahong ito ay 5 taon, na mahusay para sa aming mga layunin, kaya i-click lamang ang pindutang Susunod. Susunod, magbubukas ang isang window kung saan dapat mong tukuyin kung saan matatagpuan ang mga database ng sertipiko at ang kanilang kaukulang mga log ng transaksyon. Sa isang industriyal na kapaligiran, ang pagpili na ito ay dapat gawin nang may matinding pag-iingat sa mga tuntunin ng seguridad at pagpapahintulot sa kasalanan. kasi Isa lang itong test lab, pagkatapos ay i-click lang ang Next button.

Mga pangunahing gawain sa pagsasaayos

Bago ko ipakita sa iyo kung paano i-configure ang server na ito upang kumilos bilang isang VPN server, dapat mong kumpletuhin ang ilang mga pangunahing gawain sa pagsasaayos. Karaniwan, nangangahulugan ito na dapat mong i-install ang operating system ng Windows 2008 Server at i-configure ito upang gumamit ng isang static na IP address. Ang IP address na ito ay dapat mahulog sa parehong agwat kung saan gumagana ang domain controller na na-configure namin kanina. Ang domain controller na na-install mo kanina sa artikulong ito ay dapat na tukuyin bilang Preferred DNS Server sa TCP/IP configuration nito, dahil gumagana rin ito bilang isang DNS server. Pagkatapos mong gawin ang paunang pagsasaayos ng server ng VPN, dapat mong gamitin ang utos ng PING upang i-verify na maaaring makipag-ugnayan ang VPN server sa controller ng domain.

Kumokonekta sa isang domain

Ngayong na-configure mo na ang configuration ng TCP/IP ng iyong computer at na-verify na maaari itong ikonekta, oras na upang simulan ang aktwal na mga gawain sa pagsasaayos. Ang unang bagay na dapat mong gawin ay ikonekta ang server sa domain na iyong ginawa kanina sa artikulong ito. Ang proseso ng pagsali sa isang domain sa operating system ng Windows 2008 Server ay halos kapareho sa parehong proseso sa operating system ng Windows Server 2003 Mag-right-click sa command na Computer, na matatagpuan sa Start menu ng server. Bilang resulta ng pagkilos na ito, ilulunsad ng Windows 2008 ang System applet mula sa Control Panel. Ngayon ay mag-click sa pindutan ng Baguhin ang Mga Setting, na matatagpuan sa seksyon ng Computer Name, Domain, at Workgroup Settings ng window na ito. Ito ay magiging sanhi upang lumitaw ang window ng System Properties. Ang System Properties window ay halos kapareho sa isa sa Windows Server 2003. I-click ang Change button upang ipakita ang Computer Name Changes dialog box. Piliin ngayon ang pindutan ng Domain, na matatagpuan sa seksyong Miyembro ng. Ilagay ang pangalan ng iyong domain sa Domain field at i-click ang OK button.

Lilitaw na ngayon ang isang window upang ipasok ang iyong mga karapatan. Ilagay ang username at password para sa domain administrator account at i-click ang Isumite na button. Pagkatapos ng maikling pag-pause, dapat kang makakita ng dialog box na tinatanggap ka sa domain. Mag-click sa pindutang OK at makakakita ka ng isa pang dialog box na nagsasabi sa iyo na dapat mong i-reboot ang iyong computer. I-click muli ang OK button at pagkatapos ay i-click ang Close button. Pagkatapos mong i-restart ang iyong computer, magiging miyembro ka ng domain na iyong tinukoy.

Pagse-set up ng pagruruta at malayuang pag-access

Ngayon ay oras na upang i-install ang serbisyo ng Routing at Remote Access. Pagkatapos ay i-configure namin ang serbisyong ito upang kumilos ang aming server bilang isang VPN server. Simulan natin ang proseso sa pamamagitan ng paglulunsad ng server manager. Makakahanap ka ng shortcut para sa Server Manager sa Administration menu. Pagkatapos simulan ang manager ng server, pumunta sa seksyong Buod ng Mga Tungkulin, na makikita sa window ng mga detalye. Ngayon mag-click sa link na Magdagdag ng Mga Tungkulin upang ilunsad ang Add Role Wizard.

Pagkatapos simulan ang wizard, mag-click sa Susunod na pindutan upang laktawan ang welcome window. Makakakita ka na ngayon ng isang window na nagtatanong sa iyo kung anong mga tungkulin ang gusto mong i-install sa server. Piliin ang link na nauugnay sa Network Access Services. Mag-click sa pindutang Susunod at makakakita ka ng isang screen na isang panimula sa Network Access Services. Mag-click muli sa pindutang Susunod at makakakita ka ng isang screen kung saan maaari mong piliin ang mga bahagi ng Network Access Services na gusto mong i-install. Lagyan ng check ang mga kahon na naaayon sa Network Policy Server at Routing and Remote Access Services.

Kung pipiliin mo ang kahon para sa Routing at Remote Access Services, ang Remote Access Service, Routing Service, at Connection Manager Administration Kit ay awtomatikong pipiliin. Dapat kang umalis sa field para sa remote na serbisyo na napili Malayong pag-access I-access ang Serbisyo, dahil kasama nito, ang mga sangkap na kinakailangan para sa aming server upang gumana bilang isang VPN server ay mai-install. Opsyonal ang dalawa pang field. Kung gusto mong kumilos ang server bilang isang NAT router o gumamit ng mga routing protocol tulad ng IGMP proxy o RIP, dapat mo ring iwanang napili ang field ng Routing. Kung hindi, maaaring hindi mo ito piliin.

Mag-click sa Susunod na pindutan at makikita mo ang isang screen na lalabas pangkalahatang impormasyon tungkol sa mga serbisyong ii-install mo. Sa pag-aakalang maayos na ang lahat, mag-click sa pindutang I-install upang simulan ang proseso ng pag-install. Walang nakakaalam kung gaano katagal ang proseso ng pag-install sa huling bersyon ng operating system ng Windows 2008 Server. Gayunpaman, sa aking test server, na nagpapatakbo ng beta na bersyon ng Windows 2008 operating system, ang proseso ng pag-install ay tumagal ng ilang minuto. Sa katunayan, mayroong isang ilusyon na ang server ay naharang sa panahon ng proseso ng pag-install. Kapag kumpleto na ang proseso ng pag-install, mag-click sa pindutan ng Isara.

Pagkatapos mag-install ng mga serbisyo sa pag-access sa network, kailangan mong i-configure ang Routing at Remote Access Services upang gumana sa mga koneksyon sa VPN. Magsimula sa pamamagitan ng pagpasok ng MMC command sa server command prompt. Bilang resulta ng pagkilos na ito, magbubukas ang isang walang laman na Microsoft Management console. Piliin ang Add/Remove Snap-in command mula sa File menu. Magpapakita ang Windows ng listahan ng mga available na add-on. Piliin ang Routing at Remote Access Snap-in mula sa listahan at i-click ang Add button at pagkatapos ay ang OK button. Ang Routing at Remote Access add-on ay maglo-load sa console.

Mag-right-click sa lalagyan ng Katayuan ng Server (katayuan ng server sa console) at piliin ang Magdagdag ng Server mula sa menu ng konteksto. Pagkatapos ay piliin ang setting na This Computer at i-click ang OK button. Ang console ay dapat na ngayong magpakita ng isang listahan para sa iyong server. I-right-click ang listahan para sa server at piliin ang I-configure at Paganahin ang Routing at Remote Access mula sa menu ng konteksto. Bilang resulta, ilulunsad ng Windows ang Routing at Remote Access Server Setup Wizard.

I-click ang button na Susunod upang laktawan ang welcome screen ng wizard. Makakakita ka na ngayon ng isang screen na nagtatanong sa iyo kung aling configuration ang gusto mong gamitin. Piliin ang Remote Access (dial-up o VPN) at i-click ang Susunod. Sa susunod na window maaari kang pumili sa pagitan ng pag-set up ng dial-up o pag-access sa VPN. Piliin ang field ng VPN at i-click ang button na Susunod.

Ngayon ang katulong ay magbubukas ng isang window na may mga parameter ng koneksyon sa VPN. Piliin ang interface ng network na gagamitin ng mga kliyente upang kumonekta sa VPN server at alisan ng check ang kahon sa tabi ng Paganahin ang Seguridad sa Napiling Interface sa pamamagitan ng Pag-set up ng Mga Static Packet Filter. Mag-click sa Susunod na pindutan at pagkatapos ay piliin ang Mula sa isang Tinukoy na Address na setting at i-click muli ang Susunod na pindutan.

Pagkatapos nito, makakakita ka ng isang window kung saan kailangan mong ipasok ang hanay ng mga IP address na maaaring italaga sa mga kliyente ng VPN. I-click ang button na Bago at ipasok ang panimulang at pangwakas na mga address para sa hanay ng IP address. Mag-click sa pindutang OK at pagkatapos ay sa pindutang Susunod. Magiging sanhi ito ng Windows na buksan ang window ng Managing Multiple Remote Access Server.

Sa susunod na hakbang, dapat mong piliin ang Oo upang i-configure ang server upang gumana sa server ng Radius. Ngayon ay kakailanganin mong ipasok ang IP address para sa server ng Radius. kasi Tatakbo ang NPS sa parehong computer kung saan tumatakbo ang mga serbisyo sa pagruruta at malayuang pag-access, ilagay lang ang IP address ng iyong server bilang pangunahin at pangalawang mga address ng server ng Radius. Kakailanganin mo ring magpasok ng isang nakabahaging lihim. Para sa mga layunin ng pagpapakita, ilagay lamang ang rras bilang nakabahaging lihim. I-click ang Next button at pagkatapos ay ang Finish button. Makakakita ka na ngayon ng ilang mga mensahe ng babala. I-click ang OK button upang isara ang bawat mensahe.

Ang huling hakbang sa proseso ng pagsasaayos ng RRAS ay ang pag-configure ng scheme ng pagpapatunay. Upang gawin ito, mag-right-click sa listahan para sa iyong server at piliin ang Properties command mula sa menu ng konteksto. Kapag nakita mo ang window ng mga katangian ng server, pumunta sa tab na Seguridad. Ngayon idagdag ang EAP-MSCHAPv2 at PEAP sa seksyong Mga Paraan ng Pagpapatunay at mag-click sa pindutang OK.

System health validator

Ang patakaran sa kalusugan ng system ay nagdidikta kung ano ang kailangan ng isang computer upang maituring na normal ang estado nito at para makakonekta ito sa network.

Sa totoong mundo, ang patakaran sa kalusugan ng system ay nangangailangan na ang workstation ay nagpapatakbo ng isang operating system na mayroong lahat ng pinakabagong update sa seguridad na naka-install. Anuman ang pipiliin mong pamantayan upang matukoy kung malusog ang isang workstation, kakailanganin mong gumawa ng ilang trabaho. Malaki ang pagkakaiba ng pamantayan sa kalusugan sa bawat kumpanya, kaya hinayaan ng Microsoft na walang laman ang mekanismo ng pagsusuri sa kalusugan ng system (kahit sa kasalukuyang bersyon ng beta). At kung gayon, kakailanganin mong i-configure ang mga pamantayang ito para sa normalidad ng estado ng system.

Para sa mga layunin ng pagpapakita, gagawa ako ng napakasimpleng system health checker na nagsusuri lang upang makita kung pinagana ang Windows firewall. Kung ang firewall ay konektado, pagkatapos ay ipagpalagay namin na ang estado ng system ay normal.

Tulad ng nabanggit ko kanina sa artikulong ito, sa totoong mundo hindi mo dapat i-host ang iyong NPS sa parehong computer bilang iyong VPN server. Ang VPN server ay bukas sa labas ng mundo, at ang pagho-host ng isang network policy server dito ay maaaring humantong sa malalaking problema. Walang anuman sa operating system ng Windows na pumipigil sa iyo na gumamit ng parehong server para sa parehong mga bahagi ng VPN at sa mga bahagi ng Network Policy Server, kaya para sa mga layunin ng pagpapakita (at dahil sa mga hadlang sa hardware) gagamitin ko ang isa at ang isa pang parehong computer para sa pareho mga bahagi.

Sisimulan natin ang proseso ng pag-setup sa pamamagitan ng paglalagay ng MMC command sa Run command prompt, na magbubukas ng blangko na Microsoft Management Console. Kapag nakabukas na ang console, piliin ang Add/Remove Snap-in mula sa File menu. Bilang resulta ng pagkilos na ito, lalabas sa screen ang Add or Remove Snap-Ins dialog box. Piliin ang opsyon sa Network Policy Server mula sa listahan ng mga available na item, at i-click ang Add button. Ngayon ay makakakita ka ng isang window kung saan hihilingin sa iyo na piliin kung aling computer ang gusto mong pamahalaan - lokal o iba pa. Tiyaking napili ang Lokal na Computer ( lokal na kompyuter) at i-click ang OK na buton. I-click muli ang OK at magbubukas ang bahagi ng Network Policy Server.

Pagkatapos nito dapat kang pumunta sa console tree sa NPS (Local) | Proteksyon sa Access sa Network | System Health Validators, na ipinapakita sa Figure 1. Ngayon, i-right-click sa Windows object System Health Validator, na makikita sa gitnang bahagi ng console, at piliin ang Properties command mula sa context menu. Bilang resulta ng pagkilos na ito, magbubukas ang window ng Windows Security Health Validator Properties, na ipinapakita sa Figure 2.

Figure 1: Mag-navigate sa console tree sa NPS (Lokal) | Proteksyon sa Access sa Network | System Health Validator

Figure 2: Ang window ng Windows Security Health Validator Properties ay ginagamit upang i-configure ang pagsubaybay sa kalusugan ng system

Sa dialog box, mag-click sa button na I-configure, na magbubukas sa dialog box ng Windows Security Health Validator, na ipinapakita sa Figure 3. Gaya ng nakikita mo mula sa figure, pinapayagan ka ng dialog box na ito na magtakda ng mga parameter para sa kontrol sa kalusugan ng iyong system patakaran. Bilang default, ang dialog box na ito ay naka-configure upang mangailangan ng Windows firewall na konektado, update na konektado Pag-update ng Windows, at kinakailangan din na mai-install ang anti-virus at anti-spyware software sa workstation at ito ay napapanahon. kasi Interesado lamang kami sa pagtiyak na ang Windows firewall lamang ang nakakonekta, pagkatapos ay lagyan ng tsek ang kahon sa tabi ng A Firewall ay Pinagana para sa lahat ng Network Connections (ang firewall ay pinagana para sa lahat ng koneksyon sa network) at alisan ng tsek ang lahat ng iba pang mga kahon. I-click ang OK nang dalawang beses upang magpatuloy.

Figure 3: Lagyan ng check ang kahon sa tabi ng A Firewall is Enabled para sa lahat ng Network Connections at alisan ng check ang lahat ng iba pang mga kahon

Ngayong na-configure mo na ang system health monitoring, dapat kang mag-set up ng template para sa system health monitoring. Ang mga template para sa pagsubaybay sa estado ng system ay naglalarawan ng mga resulta ng pagsubaybay sa estado ng system. Karaniwan, nangangahulugan ito kung ano ang mangyayari bilang resulta ng pag-verify ng kliyente upang matugunan ang mga kundisyon sa pag-verify.

Upang i-configure ang mga template para sa pagsubaybay sa katayuan ng Network Policy Server, mag-right-click sa lalagyan ng System Health Validator Template at piliin ang Bago mula sa drop-down na menu ng konteksto. Pagkatapos nito, lalabas ang isang dialog box na tinatawag na Create New SHV Template, na ipinapakita sa Figure 4.

Figure 4: Dapat kang lumikha ng bagong template upang masubaybayan ang kalusugan ng system

Tulad ng nakikita mo mula sa larawan, sa dialog box dapat mong tukuyin ang isang pangalan para sa bagong template. Ilagay ang salitang Sumusunod sa field na Pangalan. Ngayon, siguraduhin na ang Client ay pumasa sa lahat ng SHV Check ay pinili sa Uri ng Template na drop-down na listahan. Lagyan ng check ang kahon sa tabi ng Windows System Health Validator at i-click ang OK.

Nakagawa na kami ngayon ng template na naglalarawan sa tinatawag na compliant. Ngayon ay dapat tayong lumikha ng pangalawang template na naglalarawan sa estado kapag hindi natin natutugunan ang mga kundisyon. Upang gawin ito, mag-right-click sa lalagyan ng System Health Validator Templates at piliin ang Bago mula sa menu ng konteksto. Dapat mo na ngayong makita ang parehong screen na iyong pinagtatrabahuhan kanina.

Sa pagkakataong ito, magiging NonCompliant ang pangalan ng template. Itakda ang Uri ng Template sa Nabigo ang Kliyente ng isa o Higit pang Mga Pagsusuri ng SHV (hindi natutugunan ng kliyente ang isa o higit pang mga pagsusuri). Ngayon suriin ang kahon sa tabi ng Windows Security Health Validator at mag-click sa OK na buton. Kung babalik ka sa pangunahing console ng NPS at pipiliin ang container ng System health Validator Templates, makikita mo na ang parehong mga template ng Compliant at Noncompliant ay ipinapakita sa window ng gitnang console, tulad ng ipinapakita sa Figure 5.

Larawan 5

Kung babalik ka sa pangunahing window ng Network Policy Server console at pipiliin ang System health Validator Templates container, makikita mo na ang mga template ng Compliant at NonCompliant ay ipinapakita sa central console window.

Mga patakaran sa awtorisasyon sa kalusugan

Ang mga patakaran sa awtorisasyon ng estado ay ang mga patakarang kumokontrol sa kung ano ang mangyayari kung ang isang kliyente ay natutugunan ang mga patakaran ng estado ng network, o kung ano ang mangyayari kung ang system na humihiling ng access sa network ay natagpuang nabigo. Ang mga patakarang ito ang tumutukoy kung anong antas ng pag-access ang magkakaroon ng isang kliyente pagkatapos payagang pumasok sa network.

Simulan natin ang proseso sa pamamagitan ng pagbubukas ng Network Policy Server console kung hindi pa ito bukas, at pagkatapos ay piliin ang container na tinatawag na Authorization Policy. Pagkatapos nito, tingnan ang window ng Mga Detalye upang makita kung nagawa na ang mga patakaran sa pahintulot. Ang aking test system ay mayroon nang apat na dati nang ginawang mga patakaran sa pahintulot, ngunit sino ang nakakaalam kung ang mga patakarang ito ay iiral sa huling bersyon ng Windows 2008 Server operating system. Kung mayroon kang anumang mga patakaran, tanggalin ang mga ito sa pamamagitan ng pag-right click sa mga ito at pagpili sa Tanggalin mula sa drop-down na menu ng konteksto.

Ngayong na-delete mo na ang mga dati nang umiiral na patakaran, maaari ka nang magsimulang gumawa ng bagong patakaran sa pagpapahintulot. Upang gawin ito, mag-right-click sa lalagyan ng Patakaran sa Pagpapahintulot at piliin ang Bago | Mga custom na command mula sa drop-down na menu ng konteksto. Ipapakita nito ang talahanayan ng mga katangian para sa bagong patakaran sa awtorisasyon, Mga Properties ng Bagong Patakaran sa Awtorisasyon.

Ang unang bagay na dapat mong gawin ay bigyan ng pangalan ang patakaran. Tawagin natin itong patakarang Compliant-Full-Access. Maaari kang magpasok ng pangalan ng patakaran sa field na Pangalan ng Patakaran, na matatagpuan sa tab na Pangkalahatang-ideya. Ngayon, itakda ang opsyon na Magbigay ng Access tulad ng ipinapakita sa Figure A. Ang pagtatakda ng uri ng patakaran sa Grant Access ay hindi nagbibigay sa mga user ng ganap na access sa network. Ang ibig sabihin nito ay ang mga kahilingang nasa saklaw ng patakarang ito ay ipapasa para sa karagdagang pagproseso.

Figure A Pagtatakda ng Uri ng Patakaran para Magbigay ng Access (payagan ang pag-access)

Ngayon piliin ang tab na Kundisyon. Gaya ng iminumungkahi ng pangalan nito, pinapayagan ka ng tab na Mga Kundisyon na tukuyin ang mga kundisyon na dapat matugunan ng computer ng kliyente para mailapat ang application. patakarang ito. I-twist ang listahan posibleng mga kondisyon sa Network Access Protection, at pagkatapos ay piliin ang opsyong SHV Templates na matatagpuan sa ibaba nito. Pagkatapos nito, lalabas ang drop-down na listahan ng Mga Umiiral na Template sa window ng mga detalye. Piliin ang opsyong Sumusunod mula sa drop-down na listahan at i-click ang Add button. Ang mga kundisyon na ginagamit sa window ng patakaran na ito ay magpapakita na ngayon na ang katayuan ng Computer Health ay "Sumusunod", tulad ng ipinapakita sa Figure B. Nangangahulugan ito na upang masakop ng patakarang ito, ang mga computer ng kliyente ay dapat matugunan ang mga pamantayang inilarawan sa patakaran Sumusunod, na ginawa mo sa nakaraang bahagi ng artikulong ito. Higit na partikular, nangangahulugan ito na ang Windows Firewall ay dapat na pinagana sa computer ng kliyente.

Figure B Upang maging kwalipikado, dapat matugunan ng mga computer ng kliyente ang mga kinakailangan na inilarawan sa patakarang Sumusunod na ginawa namin sa nakaraang bahagi ng artikulong ito.

Piliin ngayon ang tab na Mga Setting sa pahina ng mga katangian. Ang tab na Mga Setting ay naglalaman ng iba't ibang mga setting, na dapat ilapat sa mga computer upang matugunan ng mga ito ang mga kundisyong inilarawan sa itaas. kasi Ilalapat ang patakarang ito sa mga computer na nakakatugon sa patakaran sa seguridad ng network, pagkatapos ay dapat nating alisin ang lahat ng mga paghihigpit sa mga setting upang ma-access ng mga computer ang network.

Upang gawin ito, pumunta sa Network Access Protection | Pagpapatupad ng NAP. Ngayon piliin ang Do Not Enforce button gaya ng ipinapakita sa Figure C. Pipigilan nito ang mga compatible na computer na ma-access ang mga mapagkukunan ng network.

Ang Figure C NAP ay hindi dapat ilapat sa mga computer na nakakatugon sa mga kinakailangan

Sa sandaling napili mo na ang opsyong Huwag Ipatupad, mag-navigate sa console tree sa Constraints | Paraan ng Pagpapatunay. Ang isang hanay ng mga patlang ay agad na lilitaw sa window ng mga detalye, na ang bawat isa ay tumutugma sa ibang paraan ng pagpapatunay. Sige at alisan ng check ang lahat ng mga kahon, ngunit hayaang may check ang kahon ng EAP. Lagyan ng check ang kahon sa tabi ng EAP Methods at i-click ang Add button. Piliin ang opsyong Secured Password (EAP-MSCHAP v2) at mag-click sa OK button nang dalawang beses upang isara ang iba't ibang dialog box na bubukas sa panahon ng proseso. Mag-click muli sa pindutang OK upang i-save ang template na iyong ginawa.

Kaya, gumawa kami ng template para sa mga computer na nakakatugon sa mga kundisyon, ngayon ay kailangan naming lumikha ng katulad na template para sa mga computer na hindi nakakatugon sa mga kundisyon. Upang gawin ito, mag-right-click sa lalagyan ng Mga Patakaran sa Awtorisasyon sa console tree at piliin ang Bagong | Custom mula sa drop-down na menu ng konteksto. Bilang resulta, magbubukas ang pamilyar na bagong window ng New Authorization Policy Properties.

Tulad ng sa nakaraang kaso, ang unang bagay na kailangan naming gawin ay maglagay ng pangalan para sa patakarang iyong ginagawa. Tawagan natin ang patakarang ito na Noncompliant-Restricted. Bagama't gumagawa kami ng mahigpit na patakaran, dapat mo pa ring piliin ang uri ng patakaran sa Grant Access. Pakitandaan na hindi nito ginagarantiyahan ang access sa network, ngunit sa halip ay nagbibigay-daan sa pagproseso ng patakaran na magpatuloy.

Ngayon piliin ang tab na Kundisyon. Noong ginawa namin ang patakaran sa pahintulot para sa mga computer na nakakatugon sa mga kundisyon, gumawa kami ng kundisyon na nangangailangan ng computer na matugunan ang mga kinakailangan ng sumusunod na template na ginawa namin sa nakaraang artikulo. kasi Ang patakarang ito ay para sa mga computer na hindi nakakatugon sa mga kundisyon, pagkatapos ay dapat mong tiyakin na ang configuration ng computer ng kliyente ay nakakatugon sa mga kundisyong inilarawan sa NonCompliant na template. Sa partikular, nangangahulugan ito na ang Windows Firewall ay naka-off sa computer ng kliyente.

Piliin ang Network Access Protection mula sa listahan ng mga available na kundisyon, at pagkatapos ay piliin ang lalagyan ng SHV Templates. Piliin ang opsyong Noncompliant mula sa listahan ng mga umiiral nang template, at pagkatapos ay i-click ang Add button.

Susunod, piliin ang tab na Mga Setting at mag-navigate sa Constraints | Paraan ng Pagpapatunay. Sa window ng mga detalye maaari mong makita ang isang hanay ng mga patlang, na ang bawat isa ay tumutugma sa tiyak na pamamaraan paraan ng pagpapatunay. Alisan ng check ang lahat ng mga kahon, ngunit hayaang naka-check ang kahon ng EAP. Lagyan ng check ang kahon ng EAP Methods at pagkatapos ay i-click ang Add button. Piliin ang opsyong Secured Password (EAP-MSCHAP v2) at i-click ang OK nang dalawang beses upang isara ang lahat ng hindi kinakailangang dialog box.

Kaya, lahat ng ginawa namin para sa patakaran para sa mga computer na hindi nakakatugon sa mga kundisyon ay eksaktong magkapareho sa patakarang ginawa namin para sa mga computer na nakakatugon sa mga kundisyon, maliban sa pagtukoy ng ibang SHV ​​template. Kung iiwan namin ang patakarang ito tulad ng ngayon, ang mga computer na hindi nakakatugon sa mga kundisyon ay papayagan ding ma-access sa network. kasi hindi namin gustong mangyari ito, pagkatapos ay dapat naming gamitin ang NAP hardening upang tanggihan ang access sa network.

Upang gawin ito, piliin ang lalagyan ng NAP Enforcement, na makikita sa listahan ng Mga Available na Setting. Pagkatapos ay makikita mo ang iba't ibang mga setting sa window ng Mga Detalye. Piliin ang setting na Ipatupad, at pagkatapos ay lagyan ng check ang checkbox na Awtomatikong I-update ang Mga Hindi Sumusunod na Computer, tulad ng ipinapakita sa Figure D. I-click ang OK upang i-save ang patakarang ginawa mo.

Larawan D Dapat mong palakasin ang proteksyon ng NAP para sa mga computer na hindi nakakatugon sa mga kundisyon

default na patakaran sa pagpapatotoo

Sa nakaraang artikulo sa seryeng ito, ipinakita ko sa iyo kung paano gumawa ng mga patakaran sa pahintulot para sa parehong computer na nakakatugon sa isang patakaran sa seguridad at isang computer na hindi nakakatugon sa isang patakaran sa seguridad. Sa artikulong ito, kukumpletuhin namin ang pamamaraan ng pagsasaayos ng server. Upang gawin ito, sa unang yugto kailangan mong lumikha ng isang default na patakaran sa pagpapatunay, na maaaring ilapat sa anumang makina na nagpapatotoo sa server ng RRAS.

Simulan natin ang proseso sa pamamagitan ng pagbubukas ng Network Policy Server console at pagpunta sa NPS (Local) | Pagproseso ng Authentication | Mga Patakaran sa Pagpapatunay. Pagkatapos nito, ipapakita ng window ang lahat ng dati nang umiiral na mga patakaran sa pagpapatunay. Piliin ang mga dati nang patakaran, i-right-click ang mga ito, at pagkatapos ay piliin ang Delete command mula sa context menu.

Ngayon ay oras na para gumawa ng default na patakaran sa pagpapatotoo. Upang gawin ito, mag-click sa Bagong link, na matatagpuan sa window ng Mga Pagkilos, at piliin ang pagpipiliang Custom. Ipapakita ng Windows ang window ng New Authentication Policy properties, na makikita sa Figure A.

Figure A: Ilagay ang RRAS bilang pangalan ng patakaran, pagkatapos ay magtiwala na konektado ang patakaran

Ipasok ang RRAS bilang pangalan ng patakaran, at pagkatapos ay tiyaking may check ang kahon na Pinagana ang Patakaran. Susunod, tiyaking napili ang button na Magagamit na Mga Pinagmulan, at pagkatapos ay piliin ang setting ng Remote Access Server (VPN-Dialup) mula sa drop-down na listahan ng Mga Magagamit na Pinagmumulan.

Ngayon, pumunta sa tab na Mga Setting at piliin ang lalagyan ng Authentication mula sa console tree. Ngayon suriin ang Override Authentication Settings mula sa Authorization Policy box. Pagkatapos nito, lalabas sa window ang iba't ibang paraan ng pagpapatunay, tulad ng ipinapakita sa Figure B. Piliin ang field ng EAP, at pagkatapos ay i-click ang button na EAP Methods.

Figure B: Piliin ang EAP field at i-click ang EAP Methods button

Ipapakita na ngayon ng Windows ang dialog box ng Select EAP Providers. I-click ang Add button para magbukas ng listahan ng mga paraan ng pagpapatunay ng EAP. Piliin ang EAP-MSCHAPv2 at Protected EAP (PEAP) mula sa listahan at i-click ang OK na buton. Ang mga napiling paraan ng pagpapatunay ng EAP ay dapat lumabas sa dialog box na Select EAP Providers, tulad ng ipinapakita sa Figure C. I-click ang OK upang magpatuloy.

Figure C: Dapat mong i-enable ang MSCHAPv2 at PEAP authentication

Pumunta ngayon sa tab na Kundisyon. Dapat kang pumili ng kahit isang kundisyon na dapat matugunan para mailapat ang patakaran. Maaari kang magtakda ng anumang kundisyon na gusto mo, ngunit inirerekumenda kong pumunta sa console tree sa Connection Properties | Uri ng Tunnel at suriin ang Point to Point Tunneling Protocol at Layer Two Tunneling Protocol na mga field, at pagkatapos ay i-click ang Add button. Ilalapat nito ang bagong patakaran sa pagpapatotoo sa mga koneksyon sa VPN. Mag-click sa pindutang OK upang i-save ang bagong patakaran sa pagpapatunay na kakagawa mo lang.

Patakaran sa Configuration ng Kliyente ng RADIUS

Sa ganitong uri ng pag-install, ang Network Policy Server ay gumagana bilang isang RADIUS server. Hindi tulad ng mga kliyente na nagsasagawa ng direktang pagpapatotoo ng RADIUS sa Network Policy Server, ang isang RRAS server na tumatakbo bilang isang VPN server ay tatakbo bilang isang RADIUS client.

Ang huling hakbang sa proseso ng pagsasaayos ng server ay ang pagbibigay sa Network Policy Server ng isang listahan ng mga awtorisadong kliyente ng RADIUS. kasi ang tanging kliyente ng RADIUS ay ang VPN server, pagkatapos ay ipasok mo lamang ang IP address ng VPN server. kasi Ang mga serbisyo ng RRAS ay tumatakbo sa parehong pisikal na server tulad ng Mga Serbisyo sa Patakaran sa Network, pagkatapos ay gagamitin mo lang ang IP address ng server.

Upang lumikha ng isang RADIUS Client Configuration Policy, mag-navigate sa Network Policy Server console tree sa NPS (Lokal) | Mga Kliyente ng RADIUS. Pagkatapos ay mag-click sa link ng New RADIUS Client, na makikita sa window ng Actions. Ilulunsad ng Windows ang Bagong RADIUS Client Wizard.

Sa unang window ng wizard, kakailanganin mong tukuyin ang isang pangalan at IP address para sa bagong RADIUS client. Kapag nag-i-install sa totoong mga kondisyon, dapat mong ipasok ang RRAS bilang pangalan, at ipasok din ang IP address ng RRAS server sa field ng IP address. Tulad ng naaalala mo, gumagamit kami ng isang pagsubok na kapaligiran at ang RRAS ay tumatakbo sa parehong server bilang Network Policy Services. Samakatuwid, ipasok ang IP address ng server sa naaangkop na field at mag-click sa Susunod na pindutan.

Pagkatapos nito, lilitaw ang window ng Karagdagang Impormasyon. Sa window na ito kakailanganin mong tukuyin ang client vendor at shared secret. Piliin ang RADIUS Standard bilang Client Vendor. Para sa mga layunin ng artikulong ito, maaari mong panatilihin ang RRASS bilang isang nakabahaging lihim. Lagyan ng check ang Client ay NAP Capable na kahon tulad ng ipinapakita sa Figure D at i-click ang Finish button. Sa wakas ay na-configure mo na ang iyong Network Policy Server!

Figure D: Ilagay ang nakabahaging sikreto at lagyan ng check ang Client ay NAP Capable na kahon

Setup ng kliyente

Ngayong natapos na namin ang pag-configure ng Network Policy Server, oras na para magpatuloy sa pag-configure ng client para kumonekta sa server. Tandaan na ang diskarteng ito na sasabihin ko sa iyo ay gumagana lamang sa mga kliyente na nagpapatakbo ng Windows Vista operating system.

Para sa mga layunin ng artikulong ito, ipagpalagay ko na ang computer ng kliyente ay nagpapatakbo ng Windows Vista at mayroon itong static na IP address. Tulad ng alam mo, ang Windows Vista ay idinisenyo upang gumana sa IPv6 bilang default. Ang Network Access Protection tool ay dapat na sa wakas ay sumusuporta sa IPv6, ngunit... Ang Windows operating system na Windows 2008 Server ay nasa pagsubok pa rin, IPv6 ay kasalukuyang hindi suportado pagdating sa Network access protection. Samakatuwid, dapat mong huwag paganahin ang IPv6 sa mga setting ng network ng iyong computer. Kapag inilabas ang operating system ng Windows 2008 Server, balak kong magsulat ng update sa serye ng artikulong ito na tututuon sa paggamit ng IPv6 at lahat ng nagbago mula noong pagsubok na bersyon.

Ang client computer ay dapat ding miyembro ng domain na naglalaman ng Network Policy Server. Bilang karagdagan, ang domain ay dapat maglaman ng isang user account ( account ng gumagamit), na magagamit mo upang mag-log in sa Routing at Remote Access Server na iyong ginawa.

Ngayon, gumawa tayo ng isang Virtual Private Network na koneksyon na maaari mong gamitin sa huli upang subukan ang Network Access Protection server. Upang gawin ito, buksan ang Control Panel at mag-click sa link ng Network at Internet, at pagkatapos ay sa link ng Network Center ( sentro ng network). Pagkatapos ilunsad ang Network Center, mag-click sa link na Mag-set up ng Koneksyon o Network. Lilitaw ang isang window kung saan dapat mong tukuyin ang uri ng koneksyon na gusto mong likhain. Piliin ang setting ng Connect to a Workplace at i-click ang button na Susunod.

Pumili ng opsyon para kumonekta gamit ang VPN, at kakailanganin mong tukuyin ang Internet address at pangalan ng patutunguhan. Dapat mong ipasok ang IP address ng RRAS server sa field ng Internet Address. Maaari kang maglagay ng anumang pangalan sa field ng Pangalan ng Patutunguhan. Lagyan ng check ang checkbox na Payagan ang Iba pang mga Tao na gamitin ang Koneksyon na ito at i-click ang Susunod na button. Kailangan mo na ngayong magbigay ng username at password para sa user na may pahintulot na mag-log in sa RRAS server, pati na rin ang pangalan ng domain na iyong papasukan.

I-click ang button na Connect at susubukan ng Vista na kumonekta sa iyong RRAS server. Higit sa malamang ang koneksyon ay hindi mangyayari. Kung nakatanggap ka ng mensahe na nagsasabing hindi makakonekta ang wizard sa iyong workstation, mag-click sa icon ng Setup a Connection Anyway. Ise-save nito ang iyong mga setting upang matapos namin ang pag-configure sa mga ito sa susunod na artikulo sa seryeng ito.

Koneksyon ng VPN sa isang kliyente na nagpapatakbo ng Windows Vista

Simulan natin ang proseso ng pag-setup sa pamamagitan ng paglulunsad ng Control Panel, at pag-click sa link ng Network at Internet, at pagkatapos ay sa link ng Network at Sharing Center. Kapag bumukas ang window ng Network and Sharing Center, mag-click sa link na Manage Network Connections. Dapat mong makita ang isang window na nagpapakita ng lahat ng iyong koneksyon sa network, pati na rin ang koneksyon sa VPN na iyong ginawa sa huling bahagi ng artikulong ito.

Mag-right-click sa koneksyon ng VPN at piliin ang Properties mula sa pop-up menu. Pagkatapos nito, lilitaw ang window ng mga katangian ng koneksyon. Pumunta sa tab na Seguridad at piliin ang radio button na Advanced (Custom Settings), gaya ng ipinapakita sa Figure A.

Figure A: Dapat mong i-configure ang iyong koneksyon para magamit ang Advanced na mga setting ng seguridad (Custom Settings)

Ngayon mag-click sa pindutan ng Mga Setting upang ipakita ang dialog box ng Advanced na Mga Setting ng Seguridad. kasi Na-configure na namin ang koneksyon ng VPN upang gumamit ng bukas na protocol para sa pagpapatunay (Extensible Authentication Protocol), pagkatapos ay dapat mong piliin ang radio button na Gamitin ang Extensible Authentication Protocol (EAP). Pagkatapos nito, magiging aktibo ang drop-down list na matatagpuan sa ilalim ng radio button na ito. Piliin ang Protected EAP (PEAP) (Encryption Enabled) gaya ng ipinapakita sa Figure B.

Figure B: Dapat mong i-configure ang seguridad ng iyong koneksyon sa VPN at gamitin ang Protection EAP (PEAP) (Encryption Enabled)

Ngayon mag-click sa button na Properties upang buksan ang Protected EAP Properties dialog box. Lagyan ng check ang kahon ng Patunayan ang Sertipiko ng Server at alisan ng tsek ang kahon ng Connect to these Servers. Dapat mo ring piliin ang Secured Password (EAP-MSCHAP V2) mula sa drop-down na listahan ng Select Authentication Method. Panghuli, alisan ng tsek ang kahon ng Paganahin ang Mabilis na Kumonekta muli at lagyan ng check ang kahon ng Paganahin ang Mga Pagsusuri sa Quarantine, tulad ng ipinapakita sa Figure C.

Figure C: Ang pahina ng Protected EAP Properties ay nagpapahintulot sa iyo na i-configure ang mga setting para sa Extensible Authentication Protocol.

Pagkatapos nito, mag-click sa pindutan ng OK sa bawat bukas na dialog box upang isara ang mga ito. Na-configure mo na ngayon ang koneksyon ng VPN upang matugunan ang mga kinakailangang kinakailangan. Pero hindi pa tapos ang lahat. Upang magsimulang gumana ang Network Access Protection, kailangan mong tiyakin na awtomatikong magsisimula ang serbisyo ng Network Access Protection. Bilang default, sa Windows Vista, ang lahat ng mga serbisyo ay naka-configure upang magsimula nang manu-mano, kaya dapat mong baguhin ang paraan ng pagsisimula ng serbisyong ito.

Upang gawin ito, buksan ang Control Panel at mag-click sa System at Maintenance link, at pagkatapos ay sa Administrative Tools link. Ngayon ay makikita mo ang isang listahan ng iba't ibang mga tool sa administratibo. I-double click ang icon ng Mga Serbisyo para buksan ang Service Control Manager.

Hanapin ang serbisyo ng Network Access Protection Agent sa listahan ng mga serbisyo. Mag-double click sa serbisyong ito at pagkatapos ay baguhin ang uri ng startup sa Awtomatiko at mag-click sa OK na buton. Pakitandaan na ang pagpapalit ng uri ng startup ng serbisyo sa Awtomatiko ay hindi magsisimula ng serbisyo. Tinitiyak lamang nito na ang serbisyong ito ay awtomatikong magsisimula pagkatapos ma-restart ang computer. Gayunpaman, maaari kang magsimula ng mga serbisyo nang hindi nagre-reboot sa pamamagitan ng pag-right-click sa serbisyo at pagpili sa Start mula sa menu ng konteksto. Kung mayroon kang mga problema sa pagsisimula ng serbisyo, tingnan kung ang serbisyo ng Remote Procedure Call (RPC) at ang serbisyo ng DCOM Server Process Launcher ay tumatakbo. Ang serbisyo ng Network Access Protection Agent ay hindi maaaring gumana nang wala itong mga sumusuportang serbisyo.

Sinusuri ang Network Access Protection

Maniwala ka man o hindi, sa wakas ay tapos na kami sa pag-set up ng Network Access Protection. Ngayon ay oras na upang magpatakbo ng ilang simpleng pagsubok upang matiyak na gumagana ang lahat sa paraang gusto namin.

Tulad ng iyong natatandaan, binago namin ang configuration ng aming server ng patakaran sa network upang awtomatikong maitama ang mga computer na hindi sumusunod sa patakaran. Na-configure din namin ang aming server ng patakaran sa network upang ang tanging pamantayan ay pinagana ang Windows firewall. Kaya dapat mong i-disable ang firewall sa client machine at pagkatapos ay kumonekta sa network policy server na gumagamit ng VPN connection na iyong ginawa. Pagkatapos nito, dapat na awtomatikong paganahin ang firewall sa client machine.

Magsimula tayo sa pamamagitan ng hindi pagpapagana ng firewall sa computer ng kliyente. Upang gawin ito, buksan ang Control Panel at mag-click sa link ng Seguridad. Ngayon piliin ang link ng Windows Firewall upang buksan ang dialog box ng Windows Firewall. Ipagpalagay na tumatakbo na ang Windows Firewall, i-click ang link na I-on o I-off ang Windows Firewall. Makakakita ka na ngayon ng isang dialog box na nagbibigay-daan sa iyong paganahin o huwag paganahin ang firewall. Piliin ang I-off (hindi inirerekomenda) na radio button tulad ng ipinapakita sa Figure D at i-click ang OK button. Dapat na hindi pinagana ang Windows firewall.

Figure D: Piliin ang Off (Not Recommended) radio button at i-click ang OK button para i-disable ang Windows firewall

Ngayon na hindi mo pinagana ang Windows Firewall, kailangan mong magtatag ng koneksyon sa VPN sa iyong RRAS / NAP server. Upang gawin ito, buksan ang Control Panel at mag-click sa link ng Network at Internet, at pagkatapos ay sa link ng Network at Sharing Center. Kapag bumukas ang window ng Network and Sharing Center, mag-click sa link na Manage Network Connections. Dapat mo na ngayong makita ang isang listahan ng mga lokal na koneksyon ng iyong workstation at umiiral na mga koneksyon sa VPN.

I-double click ang koneksyon sa VPN na iyong ginawa at pagkatapos ay i-click ang button na Connect. Kakailanganin mong ipasok ang iyong username, password at domain name. Mag-click sa OK na buton pagkatapos ipasok ang impormasyong ito at magkakaroon ng koneksyon sa iyong VPN/NAP server.

Pagkatapos ng maikling panahon pagkatapos maitatag ang mga koneksyon, dapat mong makita ang sumusunod na mensahe sa screen:

Hindi Natutugunan ng Computer na Ito ang Mga Kinakailangan ng Corporate Network. Limitado ang Network Access (Ang computer na ito ay hindi nakakatugon sa mga kinakailangan ng corporate network. Limitado ang network access).

Makikita mo ang mensaheng ito sa Figure E.

Figure E: Kung hindi pinagana ang firewall, dapat mong makita ang mensaheng ito pagkatapos magtatag ng koneksyon sa VPN

Kaagad pagkatapos nito, makikita mo ang pagbabago ng icon ng Windows Firewall upang ipahiwatig na ang firewall ay pinagana. Kapag nangyari ito, makakakita ka ng isa pang mensahe:

Natutugunan ng Computer na ito ang Mga Kinakailangan sa Corporate Network. Mayroon kang Buong Network Access (Ang computer na ito ay nakakatugon sa mga kinakailangan ng corporate network. Mayroon kang ganap na access sa network).

Makikita mo ang mensaheng ito sa Figure F.

Figure F: Kapag ikinonekta ng NAP Server ang Windows Firewall, lalabas ang mensaheng ito

Ang mensaheng ipinapakita sa Figure F ay lalabas din kapag ang iyong ganap na enterprise-compliant na computer ay kumonekta sa isang NAP server gamit ang isang VPN connection.

Brian Posey