اشتراک مقالات

استانداردهای پیاده سازی Network Policy Server یا NPS در ویندوز سرور

533 مشاهده 0 24 بهمن, 1399

در این مقاله مناسب­ترین روش­های پیاده­ سازی Network Policy Server یا NPS را معرفی شده و در بخش­های زیر این روش­ها برای جنبه های مختلف نصب NPS ارائه خواهد شد.

بررسی Accounting در NPS

در NPS دو نوع بررسی حساب یا Log کردن وجود دارد:

  • Event Logging برای NPS: کاربر می­تواند با Event Logging، رویدادهای NPS را در سیستم و Event Logهای امنیتی ثبت کند. این امر عمدتا برای ممیزی و عیب­ یابی تلاش­های مربوط به اتصال استفاده می­شود.
  • Log کردن احراز هویت کاربر و درخواست­های بررسی: کاربر می­تواند درخواست­ های احراز هویت و بررسی خود را برای فایلهای Log در قالب متن یا دیتابیس وارد کند، یا با روش ذخیره ­سازی در دیتابیس 2000SQL Server ،Log نماید. درخواست  Logging به طور عمده با هدف تجزیه و تحلیل اتصال و اهداف  Billing استفاده می­شود. علاوه­ براین، به عنوان ابزاری که  برای بررسی امنیت مفید بوده و روش ردیابی فعالیت مهاجم را در اختیار کاربر قرار می­دهد.

استفاده موثرتر از Logging NPS  

  • Logging هم برای احراز هویت و هم برای بررسی سوابق باید روشن باشد. که البته بعد از تعیین آنچه برای محیط کاربر مناسب است، می­توان این انتخاب­ها را تغییر داد. 
  • حصول اطمینان از اینکه Event Logging با ظرفیت کافی برای نگهداری Logهای کاربر، تنظیم شده است.
  • باید به طور منظم از تمام فایل­های Log ،Back Up گرفت. زیرا در صورت آسیب ­دیدن یا پاک­ شدن، نمی­توان دوباره آنها را ایجاد نمود.
  • می­توان از ویژگی RADIUS Class برای ردیابی میزان استفاده و ساده­ سازی شناسایی این که هزینه­ ها مربوط به کدام بخش یا کاربر است، استفاده نمود. اگرچه ویژگی Class به طور خودکار برای هر درخواست به صورت مجزا است، اما در مواردی که پاسخ دسترسی به سرور از بین رفته و درخواست مجدداً ارسال می­شود، ممکن است، سوابق تکراری وجود داشته باشند. در این صورت، گاهی لازم است برای پیگیری دقیق میزان استفاده، درخواست های تکراری را از Logها حذف کرد.
  • اگر Network Access Serverها و سرورهای پروکسی RADIUS به صورت دوره­ا ی پیام ­های درخواست اتصال ساختگی را برای تأیید آنلاین بودن به NPS ارسال ­کنند، باید از تنظیمات رجیستری Ping User-Name استفاده نمود. این تنظیم، NPS را طوری تنظیم می­کند که این درخواست­ ها را بدون پردازش به طور خودکار رد­ کند. علاوه بر این، NPS تراکنش­های مربوط به نام کاربری ساختگی را در هیچ فایل Logی ثبت نمی­کند، که این امر تفسیر Event Log را آسان­تر می ­نماید.
  • NAS Notification Forwarding باید غیر فعال شود. می­توان انتقال پیام ­های شروع و توقف از Network  Access Serverها یا NAS که به اعضای یک دسته سرور RADIUS Remote که در NPS تنظیم شده است را غیر فعال می­کند. برای Failover کردن و افزونگی با SQL Server Logging، دو کامپیوتر که دارای SQL Server هستند را باید در دو Subnet متفاوت قرار داد. برای راه ­اندازی Database Replication بین دو سرور می­توان از SQL Server Create Publication Wizard استفاده نمود.
  • احراز هویت

بیشتر بخوانید: بررسی Network Policy Server یا NPS در ویندوز سرور

بهترین روش­های احراز هویت

  • برای احراز هویت قوی می­ توان از روش­های احراز هویت مبتنی بر Certificate مانند Protected Extensible Authentication Protocol  یا PEAP و Extensible Authentication Protocol یا EAP استفاده نمود. نباید از روش­های احراز هویتی که فقط با رمز عبور عمل می­کنند استفاده کرد زیرا در برابر حملات مختلف آسیب­ پذیرند و امن نیستند. برای احراز هویت Wireless امن، استفاده از PEAP-MS-CHAP v2 توصیه می­شود، زیرا NPS با استفاده از Certificate سرور، هویت خود را به کاربران Wireless ثابت می­کند، در حالی که کاربران هویت خود را با نام کاربری و رمز عبور خود ثابت می­کنند. هنگام استفاده از روش­های احراز هویت قوی مبتنی بر Certificate، مانند PEAP و EAP، که نیاز به استفاده از Certificate سرور در NPSها دارند، کاربر باید Certification Authority یا CA خود را با Active Directory Certificate Service یا AD CS نصب کند. همچنین، می­تواند از CA خود برای ثبت Certificateهای رایانه و Certificateهای خود استفاده کند.

بهترین روش­های تنظیم رایانه Client

  • باید با استفاده از Group Policy تمام رایانه­ های Client 802.1X عضو دامنه­ ی کاربر به طور خودکار تنظیم شوند.

روش­های  نصب NPS

بهترین روش­ها برای نصب NPS به شرح زیر می­باشد:

• قبل از نصب NPS، هر یک از سرورهای Network Access باید با استفاده از روش­های احراز هویت Local نصب و آزمایش شوند، قبل از اینکه آنها به عنوان Client های  RADIUS در NPS تنظیم شوند.

• پس از نصب و تنظیم NPS، باید با استفاده از دستور Export-NpsConfiguration ،Windows PowerShell تنظیمات ذخیره شوند.

در زیر بهترین روش­ها برای تنظیم عملکرد NPS آمده ­است.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5
  • برای بهینه ­سازی زمان پاسخ به احراز هویت و تأیید NPS و به حداقل رساندن ترافیک شبکه، NPS باید روی یک کنترلر دامنه نصب شود.
  • وقتی از Universal Principal Namesها یا UPNها یا دامنه­ه ای ویندوز سرور 2088 و 2003 استفاده می­شود، NPS از کاتالوگ جهانی برای احراز هویت کاربران استفاده می­کند. برای به حداقل رساندن زمان لازم برای انجام این کار، NPS باید یا روی سرور Global Catalog یا سروری که در همان Subnet سرور Global Catalog است، نصب شود.
  • با وجود داشتن گروه­های سرور RADIUS  Remote تنظیم­ شده و در Connection Request Policies NPS، اطلاعات بررسی ضبط شده در سرورها در Check Box گروه سرور RADIUS Remote باید پاک شوند، با این وجود، این گروه­ها هنوز Notification Messageهای شروع و توقف Network Access Server می­ فرستند، که باعث ایجاد ترافیک غیرضروری در شبکه می­شود. برای از بین­ بردن این ترافیک، با پاک کردن Forward Network Start and Stop Notification در Check Box این سرور، NAS Notification Forwarding برای سرورهای جداگانه در هر گروه سرور Remote RADIUS، باید غیر فعال شود.

استفاده از NPS در سازمان­ های بزرگ

  • اگر از پالیسی­ های شبکه برای محدود کردن دسترسی همه به جز گروه ­های خاص استفاده می­شود، باید یک گروه برای همه ­ی کاربرانی که قرار است اجازه دسترسی داشته باشند، ایجاد شود و سپس پالیسی شبکه ایجاد گردد که اجازه دسترسی به این گروه ­ها را بدهد. همه کاربران نباید مستقیماً در گروه قرار گیرند، خصوصاً اگر تعداد آنها در شبکه زیاد باشد. در عوض، باید گروه­های جداگانه ­ای که عضو گروه هستند ایجاد نمود و کاربران را به آن گروه­ ها اضافه کرد.
  • تا حد امکان باید از نام اصلی کاربر برای مراجعه به کاربران استفاده کرد. صرف نظر از عضویت دامنه، یک کاربر می­تواند نام اصلی کاربری یکسانی داشته باشد. این روش مقیاس­پذیری را ارائه می­کند که ممکن است در سازمان­ هایی با تعداد دامنه زیاد مورد نیاز باشد.
  • اگر Network Policy Server یا NPS روی رایانه ­ای غیر از کنترلر دامنه نصب گردیده و NPS در هر ثانیه تعداد زیادی درخواست احراز هویت دریافت می­کند، می­توان با افزایش تعداد احراز هویت همزمان بین NPS و کنترلر دامنه عملکرد NPS را بهبود بخشید.

ارتقای امنیت سازمان با NPS

وقتی NPS از راه دور اداره می­شود، داده ­های حساس یا محرمانه به عنوان مثال، موارد محرمانه یا گذرواژه های مشترک، را نباید از طریق شبکه به Plaintext ارسال کرد. دو روش توصیه شده برای مدیریت از راه دور وجود دارد:

  • برای دسترسی به NPS می­توان از Remote Desktop Services استفاده کرد. به این ترتیب، داده ها بین  Client و سرور ارسال نمی­شوند. فقط رابط کاربری سرور مانند دسکتاپ سیستم عامل و Image کنسول NPS برای Client Remote Desktop Services ارسال می­شود، که به نام Remote Desktop Connection در ویندوز 10 نامگذاری شده است. Client، ورودی صفحه کلید و ماوس را ارسال می­کند، که به صورت Local  توسط سروری که سرویس­ های Remote Desktop Services را فعال کرده پردازش می­شود. وقتی کاربرانRemote Desktop Services وارد سیستم می­شوند، می­توانند فقط جلسات Client خود را مشاهده کنند که توسط سرور مدیریت می شوند و از یکدیگر مستقل نیستند. علاوه­ براین، Remote Desktop Connection رمزگذاری 128 بیتی بین Client و سرور را فراهم می­کند.
  • برای رمزگذاری داده­ های محرمانه باید از Internet Protocol Security یا IPsec استفاده کرد. برای رمزگذاری ارتباط بین NPS و رایانه Remote Client که برای مدیریت NPS استفاده می­شود، می­توان از IPsec استفاده نمود. برای مدیریت سرور از راه دور، می­توان Remote Server Administration Tools برای ویندوز 10 را روی کامپیوتر Client نصب کرد. پس از نصب، به منظور اضافه کردن NPS Snap-In در کنسول باید از Microsoft Management Console یا MMC استفاده کرد.

مقاله های مرتبط:

بررسی Network Policy Server یا NPS در ویندوز سرور- قسمت دوم
برچسب ها : NPS چیستبررسیNPS

مطلب مفید بود؟

 
بیشتر بخوانید