Salam Dostlar. Məqaləmizin bu bölümündə biz, NAP üçün DHCP server üzərində lazım olan əməliyyatlardan və NAP Client üçün GPO tənzimləmələrindən bəhs edəcəyik.
DHCP`də IP paylamaq üçün istifadə etdiyimiz Scope`un Network Access Protection üçün aktiv vəziyyətə gəlməsini, “NAP Capable” olmasını təmin edəcəyik. Bunun üçün:

Əvvəlki məqalədə “NAP Scope” adlı scopumuzun mövcud olduğundan bəhs etmişdik. DHCP konsolumuzda Scope`muzun üzərində sağ düyməni sıxıb, “Properties” menusunu açaq.

Burada “Network Access Protection” tabına gəldikdən sonra, bu scope üçün NAP`ı aktiv vəziyyətə gətirən “Enable for this scope” seçək.

Bununla da DHCP Servisi üzərində edəcəyimiz əməliyyatları yekunlaşdırdıq.

Növbəti mərhələdə isə, Client`lərin NAP testindən keçə bilməkləri üçün lazım olan tənzimləmələrdən bəhs edəcəyik.
NAP nəzarəti (testdən keçə bilmə) üçün, client komputerlərdə işləməsi lazım olan bir neçə servis var. Bunları “NAP Client Settings” adlandırırıq. Bu nizamlamalar olmasa komputerlər NAP testindən keçə bilməyib, şəbəkəyə daxil ola bilməyəcəklər.

a) NAP enforcement clients
b) NAP Agent Service
c) Security Center user interface

Biz bu nizamlamalar üçün GPO`dan istifadə edəcəyik. Bunun üçün DC serverimizdə “Group Policy Management” vasitəsi ilə Domain altında “NAP Client Settings” adında yeni bir GPO yaradıb, “Edit” düyməsi ilə, lazımı tənzimləmələrə başlayaq.

İlk olaraq NAP nəzarəti üçün, client komputerlərdə işləməsi vacib olan Network Access Protection Agent servisini, computer açılan zaman avtomatik şəkildə işləməsini təmin edəcəyik. Əgər client komputerdə bu servis işləməsə, NAP nəzarətindən keçə bilməyəcək.

Bunun üçün,
Computer Configuration->Policies->Windows Settings->Security Settings->System Services
Gəlib, “Network Access Protection Agent” üzərində sağ düymə ilə Properties`na daxil oluruq.

Bu servisin avtomatik şəkildə işə düşməsi üçün, aşağıdakı kimi tənzimləyirik.

Daha sonra, client komputerləri DHCP üzərindən NAP testindən keçməyə “məcbur etmək” (Enforcement) üçün elə bu policy`də
Computer Configuration->Policies->Windows Settings->Security Settings-> Network Access Protection-> NAP Client Configuration-> Enforcement Clients altında,
“DHCP Quarantine Enforcement Client” üzərində sağ düymə ilə “Enabled” vəziyyətinə gətirək.

Ən sonda isə, domaində olan bütün komputerlərdə “Security Center”i aktivləşdirək. Beləliklə “Security Center” vasitəsi ilə, NAP ilə əlaqədər xəbərdarlıqları alacağıq. Bunun üçün,
Computer Configuration -> Administrative Templates -> Windows Components -> Security Center altında “Turn on Security Center (Domain PCs Only)” girib “Enabled” edək.

Düşünürəm ki, yaratdığımız bu GPO`nun, NAP testinə ehtiyac bilmədiyimiz komputerlərə (misal üçün serverlərə) tətbiq olunmasını istəmərik.

Buna görə də bu GPO`nu tətbiq edəcəyimiz komputerlər üçün, Active Directory altında bir “computer group” yaratmağımız, daha sonra komputerləri o qrup altına salmağımız məqsədə uyğun olacaqdır.
Yadınızdadırsa bundan əvvəlki məqalədə “NAP Clients” adlı computer group yaradacağımızdan bəhs etmişdik. Computer Group yaratmağın yolunu bu məqalədən öyrənə bilərsiniz.

Daha sonra isə, yaratdığımız GPO`ya gələrək, “Security Filtering” olan sahədə “Authenticated Users”i silib, “ADD” düyməsi ilə “NAP Clients” adlı computer qrupumuzu əlavə edək.

Bununla da biz, NAP`ı tənzimləmiş olduq. Biz DHCP`dən IP alan bütün klient computerlərin və “NAP Clients” qrupunun üzvü olan bütün komputerlərin Windows Firewall`unun açıq olmasını şərt qoyduq. Yəni bizim kriteryalarımıza görə, yalnız Windows Firewall`u açıq olan komputertlər məhdudiyyətsiz şəbəkəyə daxil ola bilərlər.
Əziz dostlar, məqaləmizin bu hissəsini burada tamamladıq.Gələn məqaləmizdə, testlər edib NAP`ın client üzərində düzgün işləyib-işləməməsindən bəhs edəcəyik.