Bir önceki bölümde NAP ortamından bahsettik ve NPS01 üzerine DHCP Server ve Network Policy and Access Services rollerini ekleyip, temel ayarlarınıyaptık. Bu bölümde ise, NPS01 üzerinde NAP Wizard kullanarak yapılandırmaya devam edeceğiz ve ayrıca SHVs ayarlarınıyapacağız.
NAP Wizard’a ulaşmak için;
Start> Run > nps.msc yazıyoruz ve Network Policy Server konsolunu açıyoruz.
Konsol içinde Configure NAP ‘e tıklıyoruz.
Karşımıza aşağıdaki “NAP Configuration†sihirbazıgeliyor.
Ä°lk pencerede, Network connection method olarak gelen listede de görüldüğü üzere, farklıNAP uygulama metotlarımevcut. Biz makale konumuz olan ve en sık tercih edileceğini düşündüğüm Dynamic Host Configuration Protocol (DHCP) seçiyoruz.
Policy Name kısmında istediğimiz bir isim verebiliriz, ben değiştirmeden Next ile ilerliyoruz.
Aşağıdaki pencerede; DHCP server zaten NAP sunucumuz üzerinde yüklü olduğu için bir ayar yapmadan devam ediyoruz. Bazıdurumlarda DHCP hizmetini farklıbir sunucu ile sağlıyor olabiliriz. Bu durumda NAP sunucumuzun RADIUS Client olarak yapılandırılmasıve network’te kimlik doğrulamasıgerekebilir.
Aşağıdaki pencerede; eğer ki ihtiyacımız varsa, farklıdhcp scope’lar tanımlayabiliriz. Biz DHCP’i yapılandırırken bir tane scope tanımladığımız için ve şimdilik başka scope’a ihtiyacımız olmadığıiçin tekrar tanımlamıyorum. Next ile devam ediyoruz.
Aşağıdaki pencerede; bu policy ayarının etki edeceği bilgisayarlarıbelirleyebiliyoruz. Bunu daha sonra tanımlayacağımız için boş bırakarak Next diyoruz.
Aşağıdaki pencerede; sağlıksız bilgisayarların sağlıklıhale gelmesine yardımcıolacak olan Remediation Server lar için gurup ayarıvar. Müdahale etmeden Next ile devam ediyoruz. Çünkü bu ayarıda daha sonra yapacağız.
Aşağıdaki “Define NAP Health Policy†penceresinde; Windows Security Health Validator ve Enable auto-remediation of client computers check box’larının tıklıolduğundan emin oluyoruz.
Ayrıca policy’e uymayan bilgisayarların ağa tam olarak erişemeyeceğini, yalnızca kısıtlıbölgeye erişebileceklerini tanımlayan Deny Full Network Access to NAP-ineligible … ayarının seçili olmasına dikkat ediyoruz.
Aşağıdaki pencerede; Finish butonu ile yapılandırmayıbitiriyoruz.
Böylece temel NAP yapılandırmasınıbitirmiş olduk.
şimdi ise SHVs, yani clinet’lar üzerinde zorunlu koşacağımız ve kontrolünü yapacağımız gereklilikleri yapılandırıyoruz.
Aynıkonsol üzerinde devam ediyoruz. (nps.msc)
Network Access Protection altında System Health Validators ‘a geliyoruz ve Windows Security Health Validator’a çift tıklıyoruz.
Gelen pencerede Configure butonuna tıklıyoruz.
Gelen pencerede; A firewall is enabled for all network connections dışındaki tüm kutucuklarıtemizliyoruz çünkü sadece windows firewall’un açık olmasınızorunlu koşacağız. Yapılandırabileceğimiz diğer ayarlarıda açıkça görebiliyorsunuz.
Yeri gelmişken altınıçizelim; aşağıdaki pencerede birde Windows XP tabıolduğunu görebilirsiniz. şu an için Windows XP sistemlerde NAP Client desteği yok ancak XP SP3 pakedi ile NAP desteğinin gelmesi bekleniyor.
Tanımlarımızıyaptıktan sonra OK diyerek Windows Security Health Validator penceresini kapatıyoruz.
SHVs tanımıbu kadar. Nps.msc konsolunu kapatabiliriz.
NPS01 üzerindeki DHCP servisini, NAP için yapılandırarak devam ediyoruz.
Hatırlarsanız DHCP servisini ilk makalede, server manager’ıkullanarak yüklemiş ve genel tanımlarıyapmıştık.
şimdi ise kullandığımız scope için (192.168.5.x) NAP ayarlarınıyapıyor olacağız.
Start> Run> dhcpmgmt.msc yazarak DHCP konsolunu açıyoruz.
Ä°lgili scope’a (NAP Havuzu) sağ tıklayıp Properties diyoruz.
Gelen Properties penceresinde Network Access Protection tabına geçiyoruz ve Enable for this scope ‘u ve Use default Network Access Protection profile ‘ıişaretliyoruz.
Buradan anlaşılacağıgibi, farklıNAP ayar profilleri tanımlayıp uygulayabiliyoruz.
OK diyerek pencereyi kapatıyoruz.
Böylece NAP ayarlarını, bu scope için (Nap Havuzu) etkin kılmış olduk.
Kullandığımız scope üzerinde iki farklıayar gurubu (class) olmalı.
Ä°lk class, öngördüğümüz özelliklere uyan yani NAP kontrolünü başarıile geçen client’lara atanacak ve ağımıza tam olarak erişmelerini sağlayacak TCP/IP ayarlarınıiçeriyor olacak. (Default User Class)
Ä°knci class ise, NAP kontrolünden geçemeyip kısıtlıalana alınacak client’lara atanacak TCP/IP ayarlarınıiçeriyor olacak. (Default Network Access Protection Class)
Uyumlu olarak sınıflandırdığımız, yani NAP kontrolünden başarıile geçen clinet’ların alacağıTCP/IP ayarlarınıtutacak olan ilk class’ıyapılandırarak devam ediyoruz.
DHCP konsolunu açıyoruz ve oluşturduğumuz scope altında, Scope Oprions’a sağ tıklayıp Configure Options diyoruz.
Advenced tabına geçiyoruz ve User Class kısmında Default User Class seçili olduğundan emin oluyoruz.
006 DNS Servers olarak 192.168.5.10 veriyoruz. Bu adres, ağımızda DNS hizmetini veren server. Yani main-dc.
Aynıpencerede, 015 DNS Domain Name olarak test.local veriyoruz. Bu DNS Domain adımız. Yani tam erişime sahip clinet’ların bulunacağıdomain.
Diğer ayarlar isteğimize bağlı. Eğer ihtiyacımız varsa, default gateway yada wins gibi diğer TCP/IP ayarlarınıda atayabiliriz.
Default User Class, yani NAP kontrolünden başarıile geçen client’ların ip alacağıclass üzerinde yapacağımız ayarlar bu kadar.
şimdi ise Uyumsuz olarak sınıflandırılacak, yani NAP kontrolünden başarıile geçemeyen clinet’ların alacağıTCP/IP ayarlarınıtutacak olan ikinci class’ıyapılandırarak devam ediyoruz. Yani Default Network Access Protection Class.
Yine aynıscope altında Scope Oprions’a sağ tıklayıp Configure Options diyoruz.
Yine Advenced tabına geçiyoruz ve bu sefer User Class kısmında Default Network Access Protection Class seçili olmasınısağlıyoruz.
006 DNS Servers olarak 192.168.5.10 veriyoruz.
Aynıpencerede, 015 DNS Domain Name olarak restricted-zone.test.local veriyoruz.
Bu domain name, NAP kontrolünden geçemeyen client’ların alınacağıkısıtlıdomain bölgesini temsil ediyor. restricted-zone yazmak gibi bir zorunluluğunuz yok. Farklıisimler de kullanabilirsiniz.
Apply ile bitiriyoruz.
Böylece, her iki tip client (uyumlu ve uyumsuz) için gerekli class ayarlarınıtamamlamış olduk.
Diğer bölümde görüşmek üzere.
Serhat AKINCI – IT Professional
Powered by MightyAdsense
Tags: Access, alt, bilgisayarlar, Configure, DHCP, diyoruz, Firewall, gateway, Health, konsolunu, msc, NAP, Network, NPS, olarak, Policy, Protection, security, server, TCP, Uygulama, Validator, Windows, yapaca, Zone
