DHCP Üzerinde NAP Network Access Protection – Bölüm4

Bir önceki bölümde NAP Client ayarları için GPO yapılandırmasını tamamlamıştık. Bu noktadan sonra NAP ortamı hazır sayılır. Artık Client üzerindeki ayarlara ve testlere geçebiliriz.

NPS01 üzerindeki yapılandırmalar esnasında bazı noktaları bilerek atlamıştım. Bu ayarları client testleri sırasında yapacağız. Böylece kilit noktaları daha iyi kavrayabileceksiniz. Yeni kurulmuş bir Windows Vista Business Edition ile testlere başlıyoruz.

NAP Client Ayarları ve Testleri

Vista kurulumundan sonra ilk kez oturum açtığımızda “Select your computer’s current location” penceresinde “Work” seçeneği ile devam etmeyi unutmayın. Bu, bilgisayarımızı iş ortamında kullanacağımız anlamına geliyor ve Work ortamına uygun profili almayı sağlıyor (güvenlik duvarı vs.. ayarları için.)

Client’ın ismi Client-130

Öncelikle Local Area Connection özelliklerine geliyoruz ve IPv6 öğesini devre dışı bırakıyoruz. Ayrıca IPv4 için Obtain an IP address automatically ve Obtain DNS server address automatically seçili olduğundan emin oluyoruz.
Bu ayarlar doğrultusunda ve normal bir network yapısında client-130 bilgisayarının DHCP den TCP/IP ayarlarını almış olması ve network’teki kaynaklara erişebilir durumda olması gerekirdi. Çünkü normal şartlarda Windows Server 2003 üzerinde hizmet veren DHCP servisi, kendisinden IP isteyen client’ların kim olduğunu kontrol etme yeteneğine sahip değildir. Her gelen yeni bilgisayara aynı doğrultuda TCP/IP bilgisi atar, gerisine karışmaz.

Windows Server 2008 üzerinde çalışan ve NAP kontrolü için yapılandırdığımız DHCP servisi ise çok daha yetenekli ve kontrolcü bir kimlik kazanmış durumda.

Şimdi Client-130 bilgisayarının ağa erişim durumunu kontrol edelim.

Öncelikle main-dc yani 192.168.5.10 server’ımıza ping atarak sonucu izliyoruz.

Start> Run> cmd ile açılan pencerede ping 192.168.5.10 yazıyoruz ve enter yapıyoruz. Dönen yanıt aşağıdaki gibi olacaktır.

PING: transmit failed, error code 1231.

Gördüğünüz gibi main-dc server’ına ping atamıyoruz. Bunun nedeni main-dc üzerindeki bir güvenlik önlemi yada benzer bir durum değil, tamamen NAP ortamının sağlamış olduğu bir kontroldür.

Bu durum, network içerisindeki diğer IP adresleri ve sistemlere erişmek isteyince de aynıdır.

Peki Client-130 bilgisayarının IP adresi nedir? Acaba doğru IP adresini almış mıdır?

Hemen Client-130 IP bilgisine bakıyoruz.

Aynı CMD ekranında IPCONFIG yazıyoruz ve enter yapıyoruz. Çıktı aşağıdaki gibi olacaktır.

Gördüğünüz gibi 192.168.5.100 olarak DHCP den IP adresi almış ama alt ağ maskesi 255.255.255.255 . Yani herhangi bir network ü temsil etmiyor. Bu nedenle 192.168.5.10 sunucusuna ulaşamadı.

IPCONFIG çıktısında bir başka dikkat çeken nokta ise Connection-specific DNS Suffix olarak restricted-zone.test.local yazıyor olması. Hatırlarsanız bu DNS Suffix’i, ağımıza kısıtlı şekilde erişecek client’lara atanması için belirlemiştik.

Toparlarsak; Client-130 bilgisayarı DHCP sunucumuzdan IP adresi almış ama şu an kısıtlı alanda bulunuyor ve ağ kaynaklarına hiçbir şekilde erişemiyor. Client-130’u ağımıza erişmek isteyen herhangi bir bilgisayar gibi düşünebilirsiniz. Bu, misafirlerimizin notebook’ları olabileceği gibi ağa yetkisiz olarak erişmek isteyen birileri de olabilir.

Peki Client-130 bilgisayarı neden şu an kısıtlı alanda bulunuyor? Ve nasıl ağımıza erişmesini sağlayacağız?

Client-130’un kısıtlı alanda bulunmasının temel nedeni, henüz NAP kontrolüne tabi tutulamamış olması. Dikkat edin NAP kontrolünden başarılı şekilde geçemediği için demiyorum. NAP kontrolüne tabi tutulmadığı için diyorum çünkü henüz tam anlamıyla NAP kontrolü yapılmadı.

Hatırlarsanız NAP gerekliliklerinin (SHVs yapılandırmasında belirlediğimiz) kontrolünün yapılması için, Client üzerinde çalışması ve tanımlanmış olması gereken 3 temel nokta vardı.

• NAP enforcement clients
• NAP Agent service
• Security Center user interface

Öncelikle bu 3 ayarın Client-130 üzerinde tanımlı olması gerekiyor ki NAP kontrolü yapılabilsin. Bu 3 ayar tanımlandıktan sonra, bu sefer de diğer gerekliliklerin uygunluğu kontrol edilecek (SHVs tanımları) ve uygunsa tam erişim verilecek, değilse kısıtlı alanda kalmaya devam edecek.

Peki Client üzerinde bu tanımları nasıl yapacağız?

NAP kontrolü için gerekli bu ayarları Client üzerinde local policy ayarları ile yapabiliriz. Ama örneğin 50 client’ımız varsa local policy ile uğraşmak çok anlamsız olur. İşte tam bu noktada devreye Remediation Server lar giriyor. Bu gurupta tanımlayacağımız serverlar, ağa erişmek isteyen client’lara yardımcı olacak.

(Hatırlarsanız NAP yapılandırması sırasında Remediation Server yapılandırmasını atlamıştık. Remediation Server ‘ı az sonra yapılandıracağız ve ne işe yaradığını daha iyi kavrayacaksınız.)

Örnek yapımızdaki Client-130 üzerinden gidersek; bu Client’a, ağa erişmesi için nasıl yardımcı olabiliriz bir bakalım.

Hatırlarsanız NAP Client Ayarları isimli bir policy oluşturmuştuk. Bu policy NAP kontrolü için gerekli olan 3 temel özelliği aktif yapıyordu (NAP Client Settings). Eğer ki bu policy ayarını ağa erişmek isteyen client’a uygulayabilirsek, gerekli olan 3 temel özelliği aktif yapmış oluruz ve client’ın NAP kontrolüne girmesini sağlayabiliriz.

Biliyorsunuz ki GPO ayarları domain’e dahil olan bilgisayarlara uygulanabilir. Bu nedenle, öncelikle Client-130 bilgisayarını domain’e almamız gerekiyor. Bunun için de, öncelikle DNS ve DC hizmeti veren, yani main-dc server’ına erişmesini sağlamamız gerekiyor.

Bu noktada main-dc server’ını Remediation Server olarak tanımlayacağız. Client’ların bu gurup altındaki serverlara yada makinelere (NAP kontrolünden geçememiş olsalar dahi) erişimleri olacak.

Client-130’u, Main-dc’e eriştikten sonra domain’e join edeceğiz. Böylece GPO ayarlarını almasını ve NAP kontrolüne girmesini sağlayacağız.

dc-main server’ını Remediation Server olarak tanımlamak için aşağıdaki adımları izliyoruz.

NAP Remediation Server Nasıl Yapılandırılır

NPS01 üzerinde start> run> nps.msc konsolunu açıyoruz.

Policies altında Network Policies ‘e geliyoruz ve NAP DHCP Non NAP-Capable ‘a çift tıklıyoruz.

Açılan pencerede Setings tabına geçiyoruz ve NAP Enforcement ‘a gelip Remediation Server Group and Troubleshooting URL altında Configure diyoruz.

Gelen pencerede New Group tıklıyoruz.

Gelen pencerede guruba bir isim veriyoruz ve Add diyoruz. Bu gurup altında birçok Remediation Server toplayabiliriz.

Add dedikten sonra gelen pencerede, Remediation Server olarak görev yapacak serverları giriyoruz.

Bizim yapımızda main-dc olacak. Remediation server’ın Windows Server 2008 çalıştırması gibi bir gereklilik yok.

Ok dedikten sonra Remediation Servers and Troubleshooting URL penceresine geri dönüyoruz ve oluşturduğumuz gurubun Remediation Servers Group altında seçili olduğundan emin olduktan sonra OK diyerek pencereleri kapatıyoruz.

Aynı işlemi NAP DHCP Noncompliant için de yapıyoruz.

Tekrar Policies altında Network Policies ‘e geliyoruz ve NAP DHCP Noncompliant ‘a çift tıklayarak açıyoruz.

Açılan pencerede Setings tabına geçiyoruz ve Configure butonuna tıklıyoruz.

Gelen pencerede; Remediation Server Group olarak açılır listeden RS-Group1 seçiyoruz ve OK ile onaylayarak pencereleri kapatıyoruz. (RS-Group1 ‘I önceden tanımladığımız için tekrar tanımlamıyoruz, sadece listeden seçiyoruz.)

Böylece her iki durumdaki (Non NAP-Capable ve Noncompliant) client’lar içinde Remediation Server tanımlamış olduk.

Şimdi tekrar Client-130 bilgisayarına geliyoruz ve start> run> cmd aracını açıp ipconfig /renew diyerek DHCP ye bir IP isteği gönderiyoruz. Ardından Remediation Server olarak tanımladığımız main-dc makinesine ping atmayı deniyoruz.

Ping 192.168.5.10

Ping cevabı aşağıdaki gibi olacaktır.

Gördüğünüz gibi artık 192.168.5.10 sunucusunu pingleyebiliyoruz.

İpconfig komutu ile IP yapılandırma bilgisini alalım ve bir değişiklik var mı göz atalım. Çıktı aşağıdaki gibi olacaktır.

Gördüğünüz gibi değişen bir şey yok. Client-130 hala kısıtlı alanda bulunuyor. Main-dc’ye erişebilmesinin nedeni, bu server’ı Remediation Server olarak belirlememizdir.

Client-130, ağ içerisindeki diğer kaynaklara hala erişemiyor.

Evet, artık main-dc ye erişebildiğimize göre Client-130 bilgisayarını domain’e join edebiliriz.

Normal bir join işlemi ile Client-130’u test.local domain’ine alıyoruz. Domain join işleminden ayrıca bahsetmiyorum.

Client-130’u domain’e aldıktan sonra, main-dc üzerinde active directory yönetim konsolunu açıyoruz ve Client-130 bilgisayar hesabını, NAP Computers gurubuna üye yapıyoruz.

Hatırlarsanız oluşturmuş olduğumuz NAP Client Ayarları isimli GPO yu, gereksiz makinelere etki etmemesi için, yalnızca NAP Computers gurubuna üye bilgisayarlara etki edecek şekilde filtrelemiştik. Bu nedenle Client-130 bilgisayar hesabını, Active Directory içinde NAP Computers gurubuna üye yapıyoruz ve Client-130’u restart ediyoruz.

Client-130 açıldıktan sonra, domain’de yetkili bir hesap ile oturum açıyoruz.

Biraz beklerseniz ilk olarak aşağıdaki gibi bir uyarı göreceksiniz

Bu noktada GPO ayarlarının başarılı bir şekilde uygulandığını kabul edebiliriz çünkü NAP kontrolü yapılmış ve uygun olmadığı bilgisi verilmiş.

Hemen arkasından aşağıdaki gibi bir uyarı gelecektir.

Bu uyarı geldiğinde NAP kontrolünde başarılı olamayan Client-130 üzerinde otomatik iyileştirme işlemi yapıldığını ve uyumlu hale getirildiğini anlayabiliriz.

Biz yine de GPO ayarlarını bir kontrol edelim.

Start> run> cmd ile komut satırını açıyoruz ve aşağıdaki komutu giriyoruz.

netsh nap client show grouppolicy

Çıktı aşağıdaki gibi olacaktır.

Gördüğünüz gibi DHCP Quarantine Enforcement Client için belirlemiş olduğumuz Enable ayarı doğru şekilde uygulanmış.

Yine CMD komut satırında aşağıdaki komutu giriyoruz.

netsh nap client show state

Çıktı aşağıdaki gibi olacaktır.

DHCP Quarantine Enforcement Client altında Initialized durumunun Yes olduğunu görüyoruz. Sonuçlar bu şekilde ise, GPO ayarı başarı ile uygulanmıştır.

GPO ayarları başarılı bir şekilde uygulandığına göre artık Client-130 bilgisayarı NAP kontrolü için uygun hala gelmiş demektir ki bu kontrol GPO ayarları uygulandıktan hemen sonra yapıldı bile.

Toparlarsak; NAP kontrolü için gerekli olan tanımları GPO üzerinden Client-130’a uyguladık. Bu GPO ayarları Client-130 üzerinde aktif olduktan sonra sistem NAP kontrolüne girdi. NAP kontrolünde zorunlu koştuğumuz güvenlik duvarının açık olması koşulu kontrol edildi ve Client-130 ağa tam erişim hakkı kazandı. Çünkü üzerinde güvenlik duvarı açık durumda.

Ipconfig ile IP yapılandırmasını kontrol ediyoruz. Çıktı aşağıdaki gibi olacak.

Gördüğünüz gibi Client-130, artık kısıtlı alanda değil ve 255.255.255.0 subnet mask’ına sahip. Yani artık ağımıza tam olarak erişebilir ve kaynakları kullanabilir durumda. Peki çalışma anında kullanıcı güvenlik duvarını kapatırsa ne olacak? Bu durum bizim politikamıza aykırı bir durum.

Hemen test ediyoruz.

Client-130 üzerinde güvenlik duvarını kapatıyoruz.

Control Panel> Security altında Windows Firewall ayarına geliyoruz ve Off konumuna getiriyoruz.

OK ile onayladığımızda Windows güvenlik duvarı kapanacak ve sistem uyumsuz duruma düşecektir. Ama hemen ardından Windows Güvenlik Duvarı otomatik olarak açılacak ve Client tekrar uyumlu hale gelecektir. Yani güvenlik duvarının kapatılabilmesi söz konu değil.

Makalemizde Windows Güvenlik Duvarı’nın açık olmasını zorunlu koştuğumuz için sadece bu ayarı test etme şansımız oldu. İlerleyen günlerde farklı zorunluluklara da değiniyor olacağız.

Son olarak NAP konusunda yardımcı olacağını düşündüğüm ve sorun giderme işlemleri sırasında kullanabileceğiniz olay kayıtlarının tutulduğu yer konusunda bilgi vermek istiyorum. Bu kayıtlar;

Client üzerinde: eventvwr.msc konsolu içinde Event Viewer(Local)\ Applications and Services Logs\ Microsoft\ Windows\ Network Access Protection\ Operational altında tutuluyor.

NAP Server üzerinde ise: yine eventvwr.msc konsolu içinde Event Viewer(Local)\ Custom Views\ Server Roles\ Network Policy and Access Services altında tutuluyor.

Problem oluştuğunda buradaki kayıtları inceleyebilirsiniz.

NAP konusunu mümkün olduğunca özetleyerek anlatmaya çalıştım ancak gördüğünüz gibi çok derin bir konu.

Çalışmalarınızda başarılar.

Bu Serinin Diğer Bölümleri

DHCP Üzerinde NAP Network Access Protection – Bölüm1

DHCP Üzerinde NAP Network Access Protection – Bölüm2

DHCP Üzerinde NAP Network Access Protection – Bölüm3