mfarouk7900
04-06-2010, 14:54
السلام عليكم ورحمة الله وبركاته (الموضوع منقول)
السلام عليكم ورحمة الله وبركاته
أهلا بكم اخواني
اليوم سوف يتم شرح خاصية ممتعة في الرهيب
Windows Server 2008
ألا وهي
Network Access Protection
مثال للتوضيح
حضرتك تعمل في شركة كا System Administrator بها الاف الأجهزة وبها Firewall للدفاع
نتيجة لذلك أي Attack أو Malware أو Worms سيقوم ال Firewall بصده .
-عندك User كثير السفر بال Laptop الخاص به والذي أيضا يعمل به في الشركة ولكن للأسف ال Laptop خاصته اتصاب بالكثير من ال Worms
وال Viruses.
-رجع صاحبنا الي الشركة مرة أخري بعد السفر وجهازه Infected كما وضحنا سابقا.
-قام هذا ال User بتركيب ال Network Cable فأصبح بذلك Connected بال Network خاصتك
مما أدي ذلك الي الي انتشار الهجوم الفيروسي وال Worms بطريقة كبيرة جدا داخل الشبكة متجاهلة تماما ال Firewall لان ال Attack
حدث Internally أي من وراء ال Firewall .
فأصبحت الشبكة عبارة عن كابوس رهيب بالنسبة لي ولك أخي الكريم.
هنا يأتي دور ال Network Access Protection
وهي Policy يتم تطبيقها لوضع قيود أو شروط سلامة معينة لا بد من توافرها في الكمبيوتر الذي سيتم دخولة علي ال Network
وبذلك تمنع الجهاز المصاب من الدخول الي شبكتك الي أن يطابق الشروط التي وضعتها في ال Policy .
ومن أمثلة هذه الشروط:-
ضرورة وجود Anti-Virus.
ضرورة وجود Updates لل Windows تم عمل Install لها في الجهاز.
خطوات Setup ال NAP
أولا اتبع الصور لتنزيل ال NAP
قم بفتح Server Manager ثم Add Role
https://up.arabsgate.com/u/6957/5100/77235.jpg
https://up.arabsgate.com/u/6957/5100/77236.jpg
https://up.arabsgate.com/u/6957/5100/77237.jpg
https://up.arabsgate.com/u/6957/5100/77238.jpg
https://up.arabsgate.com/u/6957/5100/77239.jpg
لا بد من تنزيل ال DHCP
وضبطة كالتالي لكي يتم تطبيق ال NAP علي ال Scope
اتبع الصور
https://up.arabsgate.com/u/6957/5100/77189.jpg
https://up.arabsgate.com/u/6957/5100/77190.jpg
نكمل شغلنا مع ال NAP
https://up.arabsgate.com/u/6957/5100/77241.jpg
https://up.arabsgate.com/u/6957/5100/77242.jpg
https://up.arabsgate.com/u/6957/5100/77243.jpg
https://up.arabsgate.com/u/6957/5100/77244.jpg
https://up.arabsgate.com/u/6957/5100/77245.jpg
في الصورتين السابقتين أي CheckBox حضرتك بتعلم عليه اذن انت تريد الجهاز الذي سيتم شبكه بال Network خاصتك به هذه الميزة
مثل
A Firewall is enabled
Automatic updates are enabled
Antivirus is up to date…
وهكذا
وتم التفرقة بين الاجهزة عن طريق 2 tabs
الاول لأجهزة ال Vista والاخر لأجهزة Windows XP
نضغط OK بعد اختيار الشروط التي نريدها في الاجهزة حسب متطلباتك
https://up.arabsgate.com/u/6957/5100/77273.jpg
بعد ذلك يتم انشاء 2 policies واحدة لل Compliance أو المطاوعة لل Policy التي يتوافر بها الشروط
والأخري لل Incompliance أو الغير موافقة لل Policy
First: Compliant DHCP
https://up.arabsgate.com/u/6957/5100/77274.jpg
https://up.arabsgate.com/u/6957/5100/77275.jpg
في الصورة السابقة يتضح الشروط الواجب توافرها في الجهاز الذي يريد الدخول علي الشبكة
وحضرتك تختار من بينهم بناءا علي ال windows security health validator الموجودة في ال System health validator
بمعني
1-Client Passes all SHV Checks
وهنا لابد من اتفاق الجهاز الذي يريد الدخول علي الشبكة مع كل ال CheckBoxes الموجودة في ال SHV
أو ال System Health Validators
2-Client Fails all SHV Checks
وهنا لا يتفق الجهاز الذي يريد الدخول علي الشبكة مع كل ال CheckBoxes الموجودة في ال SHV
أو ال System Health Validators ودي هنستخدمها في ال Incompliant DHCP
3-Client passes one or more SHV Check
وهنا لابد من اتفاق الجهاز الذي يريد الدخول علي الشبكة مع واحد أو أكثر ال CheckBoxes الموجودة في ال SHV
أو ال System Health Validators
وهي أضعف من رقم 1
وهكذا تختار الذي يناسب حضرتك اذا كنت تريد ان تطبق ال SHV كلها أم أجزاء منها
بالنسبة لل Compliant وال Incompliant
**هنا سنختار رقم 1
https://up.arabsgate.com/u/6957/5100/77277.jpg
ثم Apply OK
Second: Incompliant DHCP
https://up.arabsgate.com/u/6957/5100/77278.jpg
https://up.arabsgate.com/u/6957/5100/77279.jpg
نتجه الي ال NPS ثم Policies ثم Network Policies
يفضل عمل Disable لل 2 Policies الموجودين
كما بالصورة
https://up.arabsgate.com/u/6957/5100/77280.jpg
وهنا سيتم عمل بناء 2policies لكي يقوم ال DHCP بتطبيق ال NAP Policies
الأولي
https://up.arabsgate.com/u/6957/5100/77281.jpg
https://up.arabsgate.com/u/6957/5100/77282.jpg
https://up.arabsgate.com/u/6957/5100/77283.jpg
ثم Next
https://up.arabsgate.com/u/6957/5100/77284.jpg
https://up.arabsgate.com/u/6957/5100/77285.jpg
https://up.arabsgate.com/u/6957/5100/77286.jpg
https://up.arabsgate.com/u/6957/5100/77287.jpg
ولنا وقفة هنا
طبعا بالنسبة للجهاز الذي يوافق شروط الدخول علي الشبكة بنحدد له
Allow Full Network Access
أيضا من الممكن اختيار وقت محدد لهذا الدخول كما بالاختيار الثاني
Allow full network access for a limited time
ثالث اختيار
من الممكن اعطاء Allow limited Access
ونقوم بتوجيهه الي ال RSG وهو ال Antivirus server أو ال SCCM مثلا
**سوف نختارها فيما بعد**
https://up.arabsgate.com/u/6957/5100/77288.jpg
لا حاجة لاختيار ال RSG
Next ثم Finish
وعمل Move Up لل Policy لكي تكون الأولي
الثانية
https://up.arabsgate.com/u/6957/5100/77289.jpg
https://up.arabsgate.com/u/6957/5100/77290.jpg
https://up.arabsgate.com/u/6957/5100/77291.jpg
https://up.arabsgate.com/u/6957/5100/77292.jpg
https://up.arabsgate.com/u/6957/5100/77285.jpg
https://up.arabsgate.com/u/6957/5100/77286.jpg
https://up.arabsgate.com/u/6957/5100/77293.jpg
Next ثم Finish
ثم Move UP كما بالصورة
https://up.arabsgate.com/u/6957/5100/77294.jpg
ثم نذهب الي ال DHCP مرة تانية
https://up.arabsgate.com/u/6957/5100/77296.jpg
https://up.arabsgate.com/u/6957/5100/77297.jpg
https://up.arabsgate.com/u/6957/5100/77298.jpg
الاعدادات السابقة كانت تشاور علي ال Network Access Protection Server
وأخيرا بعض الاعدادات النهائية
1- ال Group Policy
https://up.arabsgate.com/u/6957/5100/77299.jpg
https://up.arabsgate.com/u/6957/5100/77300.jpg
ثم ندخل علي Computer Config.
ثم كما بالصورة
طبعا لازم ال Security Center يكون Enabled وده طبقناه من ال GPO
بعد كده
ن enable ال NAP Service
أتبع الصورة
----------------------------------------------------------------------------------------------------------------------------------------------
2-نعمل Enable لل DHCP Quarantine Enforcement Client
افتح Run واكتب NAPCLCFG.MSC
ثم Enter
واتبع الصورة
ومع هذه الصورة تكون بذلك طبقت ال NAP علي ال Scope أو ممكن علي مجموعة Scopes في شبكتك
ووصلت الي معدل أمان رهيب
--------------------------------------------------------------------------------------------------------
(https://edu.arabsgate.com/showthread.php?p=3317794)
السلام عليكم ورحمة الله وبركاته
أهلا بكم اخواني
اليوم سوف يتم شرح خاصية ممتعة في الرهيب
Windows Server 2008
ألا وهي
Network Access Protection
مثال للتوضيح
حضرتك تعمل في شركة كا System Administrator بها الاف الأجهزة وبها Firewall للدفاع
نتيجة لذلك أي Attack أو Malware أو Worms سيقوم ال Firewall بصده .
-عندك User كثير السفر بال Laptop الخاص به والذي أيضا يعمل به في الشركة ولكن للأسف ال Laptop خاصته اتصاب بالكثير من ال Worms
وال Viruses.
-رجع صاحبنا الي الشركة مرة أخري بعد السفر وجهازه Infected كما وضحنا سابقا.
-قام هذا ال User بتركيب ال Network Cable فأصبح بذلك Connected بال Network خاصتك
مما أدي ذلك الي الي انتشار الهجوم الفيروسي وال Worms بطريقة كبيرة جدا داخل الشبكة متجاهلة تماما ال Firewall لان ال Attack
حدث Internally أي من وراء ال Firewall .
فأصبحت الشبكة عبارة عن كابوس رهيب بالنسبة لي ولك أخي الكريم.
هنا يأتي دور ال Network Access Protection
وهي Policy يتم تطبيقها لوضع قيود أو شروط سلامة معينة لا بد من توافرها في الكمبيوتر الذي سيتم دخولة علي ال Network
وبذلك تمنع الجهاز المصاب من الدخول الي شبكتك الي أن يطابق الشروط التي وضعتها في ال Policy .
ومن أمثلة هذه الشروط:-
ضرورة وجود Anti-Virus.
ضرورة وجود Updates لل Windows تم عمل Install لها في الجهاز.
خطوات Setup ال NAP
أولا اتبع الصور لتنزيل ال NAP
قم بفتح Server Manager ثم Add Role
https://up.arabsgate.com/u/6957/5100/77235.jpg
https://up.arabsgate.com/u/6957/5100/77236.jpg
https://up.arabsgate.com/u/6957/5100/77237.jpg
https://up.arabsgate.com/u/6957/5100/77238.jpg
https://up.arabsgate.com/u/6957/5100/77239.jpg
لا بد من تنزيل ال DHCP
وضبطة كالتالي لكي يتم تطبيق ال NAP علي ال Scope
اتبع الصور
https://up.arabsgate.com/u/6957/5100/77189.jpg
https://up.arabsgate.com/u/6957/5100/77190.jpg
نكمل شغلنا مع ال NAP
https://up.arabsgate.com/u/6957/5100/77241.jpg
https://up.arabsgate.com/u/6957/5100/77242.jpg
https://up.arabsgate.com/u/6957/5100/77243.jpg
https://up.arabsgate.com/u/6957/5100/77244.jpg
https://up.arabsgate.com/u/6957/5100/77245.jpg
في الصورتين السابقتين أي CheckBox حضرتك بتعلم عليه اذن انت تريد الجهاز الذي سيتم شبكه بال Network خاصتك به هذه الميزة
مثل
A Firewall is enabled
Automatic updates are enabled
Antivirus is up to date…
وهكذا
وتم التفرقة بين الاجهزة عن طريق 2 tabs
الاول لأجهزة ال Vista والاخر لأجهزة Windows XP
نضغط OK بعد اختيار الشروط التي نريدها في الاجهزة حسب متطلباتك
https://up.arabsgate.com/u/6957/5100/77273.jpg
بعد ذلك يتم انشاء 2 policies واحدة لل Compliance أو المطاوعة لل Policy التي يتوافر بها الشروط
والأخري لل Incompliance أو الغير موافقة لل Policy
First: Compliant DHCP
https://up.arabsgate.com/u/6957/5100/77274.jpg
https://up.arabsgate.com/u/6957/5100/77275.jpg
في الصورة السابقة يتضح الشروط الواجب توافرها في الجهاز الذي يريد الدخول علي الشبكة
وحضرتك تختار من بينهم بناءا علي ال windows security health validator الموجودة في ال System health validator
بمعني
1-Client Passes all SHV Checks
وهنا لابد من اتفاق الجهاز الذي يريد الدخول علي الشبكة مع كل ال CheckBoxes الموجودة في ال SHV
أو ال System Health Validators
2-Client Fails all SHV Checks
وهنا لا يتفق الجهاز الذي يريد الدخول علي الشبكة مع كل ال CheckBoxes الموجودة في ال SHV
أو ال System Health Validators ودي هنستخدمها في ال Incompliant DHCP
3-Client passes one or more SHV Check
وهنا لابد من اتفاق الجهاز الذي يريد الدخول علي الشبكة مع واحد أو أكثر ال CheckBoxes الموجودة في ال SHV
أو ال System Health Validators
وهي أضعف من رقم 1
وهكذا تختار الذي يناسب حضرتك اذا كنت تريد ان تطبق ال SHV كلها أم أجزاء منها
بالنسبة لل Compliant وال Incompliant
**هنا سنختار رقم 1
https://up.arabsgate.com/u/6957/5100/77277.jpg
ثم Apply OK
Second: Incompliant DHCP
https://up.arabsgate.com/u/6957/5100/77278.jpg
https://up.arabsgate.com/u/6957/5100/77279.jpg
نتجه الي ال NPS ثم Policies ثم Network Policies
يفضل عمل Disable لل 2 Policies الموجودين
كما بالصورة
https://up.arabsgate.com/u/6957/5100/77280.jpg
وهنا سيتم عمل بناء 2policies لكي يقوم ال DHCP بتطبيق ال NAP Policies
الأولي
https://up.arabsgate.com/u/6957/5100/77281.jpg
https://up.arabsgate.com/u/6957/5100/77282.jpg
https://up.arabsgate.com/u/6957/5100/77283.jpg
ثم Next
https://up.arabsgate.com/u/6957/5100/77284.jpg
https://up.arabsgate.com/u/6957/5100/77285.jpg
https://up.arabsgate.com/u/6957/5100/77286.jpg
https://up.arabsgate.com/u/6957/5100/77287.jpg
ولنا وقفة هنا
طبعا بالنسبة للجهاز الذي يوافق شروط الدخول علي الشبكة بنحدد له
Allow Full Network Access
أيضا من الممكن اختيار وقت محدد لهذا الدخول كما بالاختيار الثاني
Allow full network access for a limited time
ثالث اختيار
من الممكن اعطاء Allow limited Access
ونقوم بتوجيهه الي ال RSG وهو ال Antivirus server أو ال SCCM مثلا
**سوف نختارها فيما بعد**
https://up.arabsgate.com/u/6957/5100/77288.jpg
لا حاجة لاختيار ال RSG
Next ثم Finish
وعمل Move Up لل Policy لكي تكون الأولي
الثانية
https://up.arabsgate.com/u/6957/5100/77289.jpg
https://up.arabsgate.com/u/6957/5100/77290.jpg
https://up.arabsgate.com/u/6957/5100/77291.jpg
https://up.arabsgate.com/u/6957/5100/77292.jpg
https://up.arabsgate.com/u/6957/5100/77285.jpg
https://up.arabsgate.com/u/6957/5100/77286.jpg
https://up.arabsgate.com/u/6957/5100/77293.jpg
Next ثم Finish
ثم Move UP كما بالصورة
https://up.arabsgate.com/u/6957/5100/77294.jpg
ثم نذهب الي ال DHCP مرة تانية
https://up.arabsgate.com/u/6957/5100/77296.jpg
https://up.arabsgate.com/u/6957/5100/77297.jpg
https://up.arabsgate.com/u/6957/5100/77298.jpg
الاعدادات السابقة كانت تشاور علي ال Network Access Protection Server
وأخيرا بعض الاعدادات النهائية
1- ال Group Policy
https://up.arabsgate.com/u/6957/5100/77299.jpg
https://up.arabsgate.com/u/6957/5100/77300.jpg
ثم ندخل علي Computer Config.
ثم كما بالصورة
طبعا لازم ال Security Center يكون Enabled وده طبقناه من ال GPO
بعد كده
ن enable ال NAP Service
أتبع الصورة
----------------------------------------------------------------------------------------------------------------------------------------------
2-نعمل Enable لل DHCP Quarantine Enforcement Client
افتح Run واكتب NAPCLCFG.MSC
ثم Enter
واتبع الصورة
ومع هذه الصورة تكون بذلك طبقت ال NAP علي ال Scope أو ممكن علي مجموعة Scopes في شبكتك
ووصلت الي معدل أمان رهيب
--------------------------------------------------------------------------------------------------------
(https://edu.arabsgate.com/showthread.php?p=3317794)