DHCP Uzerinde Network Access Protection (NAP Clinet Ayarları icin GPO Yapilandirmasi)
Bir önceki bölümde NAP ve SHVs ayarlarını yaptıktan sonra DHCP servisini NAP ile çalışacak şekilde yapılandırmıştık.
Bu bölümde ise, Client’ların NAP Kontrolünden geçebilmesi için gerekli ayarlardan bahsedeceğiz.
NAP Kontrolü için, client’lar üzerinde tanımlı ve çalışıyor olması gereken birkaç ayar var. Bunlara NAP Client Settings diyoruz.
Aşağıdaki 3 tanımın, ağa erişecek clinet’lar üzerinde yapılandırılmış olması gerekiyor ki NAP kontrolü sağlıklı olarak işleyebilsin.
Aksi durumda NAP kontrolünden geçemezler ve ağa erişim sağlayamazlar.
· NAP Enforcement clients
· NAP Agent service
· Security Center user interface
Bu ayarları Client üzerinde local policy ile yapabileceğimiz gibi, GPO ile de yapılandırabiliriz.
Tek tek yapmak yerine GPO kullanmak çok daha mantıklı.
Policy yapılandırmasına başlamadan önce Group Policy Management konsolu yüklüyoruz. GPM ilk kurulumda gelen bir ara yüz değil bu nedenle, yüklemek için aşağıdaki adımları izliyoruz. (NPS01 üzerindeyiz)
Server Manager konsolunu açıyoruz ve Features içinde Add Features diyoruz.
Gelen pencerede Group Policy Management özelliğini tıklayıp Next diyoruz.
Gelen pencerede; Install diyerek kurulumu bitiriyoruz.
Yeni bir GPO oluşturmak için GPO Management Editör ‘ü açıyoruz (Bu az önce yüklediğimiz gpmc.msc konsolu değil.)
Start> Run> gpme.msc yazıyoruz.
Açılan pencerede test.local domain’i seçiliyken, NAP Clinet Ayarları isimli yeni bir GPO yaratıyoruz ve Ok diyoruz.
Karşımıza, oluşturduğumuz GPO’yu düzenlemek için bir editör geliyor.
Öncelikle NAP kontrolü için clinet’lar üzerinde çalışması zorunlu olan Network Access Protection Agent servisini, otomatik başlayacak şekilde yapılandırıyoruz. (Bu NAP için ilk gereklilik (NAP Agent Service)) Eğer clinet üzerinde bu servis çalışmaz ise, NAP kontrolü gerçekleşmez.
Bunun için;
Computer Configuration/ Policies/ Windows Settings/ Security Settings/ System Services
altında,
Network Access Protection Agent çift tıklıyoruz.
Bu servisi aşağıdaki şekilde otomatik başlaması için yapılandırıyoruz.
Daha sonra; clientları DHCP üzerinden NAP kontrolüne zorlamak için, yine aynı editör içinde
Network Access Protection NAP Client Configuration Enforcement Clients altında
DHCP Quarantine Enforcement Client ‘a sağ tıklayıp enable yapıyoruz. (Bu NAP için ikinci gereklilik (NAP Enforcement Clients))
Ve ayarın Enable olmasını sağlıyoruz.
Bu noktadan sonra group policy editör içinde NAP Client Configuration ‘a sağ tıklayıp Apply dememiz gerekiyor. Aksi taktirde bu ayar kayda alınmaz.
Yine aynı editör içinde;
Computer Configuration Policies Administrative Templates Windows Components Security Center alltında
Turn on Security Center (Domain PCs only) ayarını Enable yapıyoruz.
Böylece domain’deki clinet’lar üzerinde, güvenlik merkezinin açık olmasını sağlıyoruz. Güvenlik merkezi sayesinde NAP ile ilgili uyarıları alıyor olacağız.
GP Management Editor penceresini kapatabiliriz.
Oluşturduğumuz bu GPO ayarlarının, serverlar gibi NAP kontrolü ile alakası olmayacak bilgisayarları etkilemesini istemeyiz sanırım.
Bu nedenle NAP Client ayarlarını alacak bilgisayarlar için, active directory altında bir gurup oluşturmamız uygun olur.
Bunun için DC olan makine üzerinde (main-dc), NAP Computers adında, kapsamı Global olan ve türü Security olan bir grup oluşturuyorum. Henüz kimseyi bu guruba üye yapmıyoruz.
Normal bir grup oluştururmuş gibi oluşturabilirsiniz. Ancak Global grup oluşturabilmek için, Etki Alanı İşlev Düzeyi Windows server 2003 olmak zorunda.
NAP Computers gurubunu oluşturduktan sonra, tekrar NPS01 makinemize geliyoruz.
Policy ayarı üzerinde bir filtreleme işlemi ile, yalnızca belirli bir guruba etki etmesini sağlayacağız. Bu belirli gurup ise az önce oluşturduğumuz NAP Computers gurubu olacak.
Bunun için;
Start> Run> gpmc.msc konsolunu açıyoruz (Hatırlarsanız bu konsolu sonradan yüklemiştik)
Forest: test.local Domains test.local Group Policy Objects altında yer alan
NAP Client Ayarları isimli GPO’yu tıklıyoruz.
Bu pencerede Security Filtering kısmında Authenticated Users gurubunu kaldırıyoruz.
Daha sonra yine Security Filtering kısmında Add diyerek NAP Computers gurubunu ekliyoruz.
Böylece, oluşturmuş olduğumuz NAP Client Ayarlari isimli GPO’nun, sadece NAP Computers gurubuna üye olan bilgisayarlara etki edeceğini garanti etmiş olduk.
NAP kontrolünden geçecek bilgisayarları, domaine join ettikten sonra bu guruba üye yapacağız.
Diğer bölümde görüşmek üzere.
Serhat AKINCI – IT Professional