简介:本专栏中有关 Windows Server“Longhorn”的预发布信息可能会有所变动。 目前,各种规模的组织都面临的最大安全威胁之一就是网络外围背后的恶意设备。任何组织,不论其对来自 Internet 的外部威胁防御得多么 ...
关键字:longhornwindows server 2008NAP网络访问保护
本专栏中有关 Windows Server“Longhorn”的预发布信息可能会有所变动。 目前,各种规模的组织都面临的最大安全威胁之一就是网络外围背后的恶意设备。任何组织,不论其对来自 Internet 的外部威胁防御得多么严密,都会因善意的员工在不知情的情况下带入
蠕虫或木马等恶意软件而在安全性方面面临风险。这种威胁在中小型组织的 IT 环境中尤其如此,因为其员工可能使用同一台便携式计算机处理个人事务和工作任务,并且对他们而言,网络访问控制技术也经常因过于昂贵和复杂而无法部署。不过通常由于停机而付出高昂代价的也正是这些组织。由此可见防御这些威胁是至关重要的。
利用 Microsoft 的网络访问保护 (NAP) 技术,各种规模的组织都能在计算机连接到网络时前瞻性地检查其运行状况,以确保计算机在整个连接期间始终运转正常。NAP 为组织提供了一种基于策略的灵活的体系结构,可防止员工、供应商和访问者有意或无意地将不符合安全策略的计算机连接到组织的网络。NAP 主要围绕四大基本核心构建而成:策略验证、隔离、补救和持续的遵从性。
NAP 概述 NAP 提供的第一个核心服务是策略验证。策略验证是指 NAP 根据管理员定义的一组规则对系统进行评估并划定系统运行状况的过程。
IT 管理员指定一组策略元素,NAP 在计算机尝试连接到网络时会使用这些元素进行对比。符合这些策略元素的计算机被视为状态良好的计算机,而不符合其中一项或多项核查标准(由管理员指定)的计算机则被认为是状态不良的计算机。这些策略可以检查计算机是否安装有防病毒软件和防间谍软件、主机防火墙是否处于活动状态、是否缺少某个安全更新,等等。此外,由于 NAP 是可扩展的,因此独立软件供应商可针对 NAP 开发自己的插件,以针对应用程序进行检查。
NAP 提供的另一项核心服务是网络连接限制。根据管理员定义的策略的不同,NAP 可以将计算机的网络连接设置为各种状态。例如,如果一台计算机因缺少关键的安全更新而被视为状态不良,则 NAP 可以将该计算机置于隔离网络中,使其与网络中其他计算机隔绝,直至恢复健康为止。如果没有 NAP,状态不良的客户端也可以不受限制地访问组织的网络。一旦恶意软件能够通过那些本该由更新程序修补的漏洞危害该计算机,它就能够不断试图将自身的感染传播给网络中的其他计算机。图 1 所示使您对该体系结构有一个大致的了解。
图 1 常见的 NAP 体系结构 (单击该图像获得较小视图)
不过,仅限制连接并非处理那些状态不良的计算机的有效方法(毕竟,您的用户还要工作)。为此,NAP 提供了补救服务,被隔离的计算机无需管理员干预即可纠正影响运行状态的问题。在上述示例中,受限的网络只允许状态不良的计算机访问安装缺失更新程序必需的特定网络资源,例如组织的 Windows Server® Update Services (WSUS) 计算机。也就是说,有了 NAP,状态不良的计算机只能访问那些可使其运行正常的网络资源,在其恢复健康前,不能向网络中的其他计算机发送任何通信。
NAP 的最后一个核心服务是持续的遵从性,即强制计算机在与网络保持连接期间,而不仅仅在初始连接时,始终符合这些可保持状态良好的策略。通过我们的示例,设想一下计算机对自身进行更新并恢复良好状态(因此可获得不受限的网络访问)后会怎么样。如果该计算机之后与策略不相符合,例如禁用了 Windows 防火墙,则 NAP 将自动将该计算机重新隔离。NAP 还允许管理员配置自动补救,无需用户干预即可自动更正违规状态,甚至在初始连接建立很久之后仍可执行这一操作。
NAP 可以采取多种不同的方法控制网络访问。采用托管网络交换机的组织可以利用 802.1X 在网络硬件层提供基于端口的访问控制。NAP 还能够利用基于 Ipsec 的强制技术,通过 Ipsec 关联建立安全网络并将其覆在物理网络之上。利用基于 Ipsec 的强制技术,NAP 可动态地创建和删除 IPsec 引擎所使用的证书,以此来控制对安全区域的访问。最后,NAP 可以提供基于 DHCP 的强制技术。在这种情况下,DHCP 服务器为运行状态不良的客户端提供来自受限池的 IP 租约。这些租约使用单独的 DNS 后缀和 IP 路由来控制受限客户端可以访问哪些资源。
NAP 服务器组件基于下一版本的 Windows Server(代号“Longhorn”)构建,更具体地说,是内置在新的网络策略服务器 (NPS) 中,NPS 是 Internet 身份验证服务 (ISA) 的替代品,功能得到了极大的增强。组织如果利用基于 802.1X 的强制技术,其网络硬件必须支持 802.1X 身份验证和动态 VLAN 功能(“NAP 资源”侧栏中的 NAP 合作伙伴站点提供了有关特定硬件供应商的详细信息)。要利用基于 DHCP 的强制技术,需要一个与 Windows Server“Longhorn”提供的类似的支持 NAP 的 DHCP 服务。在客户端上,Windows Vista™ 中内置了 NAP 支持。NAP 支持也可以作为加载项添加到 Windows® XP 中,随之添加的还有一个新的 802.1X 申请者 (supplicant),它将在 Windows XP 上支持 802.1X 强制技术。
此外,NAP 还集成在 Windows 安全中心和第三方的运行状态代理内,用于报告运行状态的信息。因此,NAP 能够根据安全中心公布的数据作出策略验证决策。
NAP 是一个功能非常强大的企业级策略管理解决方案,因此,本文篇幅有限,不可能涵盖其全部功能和部署策略。本文主要将重点放在中小型组织的部署上,因为在这些组织中,IT 员工的时间已经不够分配了,因此可以对 NAP 部署进行精简和优化,以便更快地实现部署所要求获得的投资回报。但是文中很多讲解性的内容和通用准则也同样适用于任何规模的组织的 NAP 设计。但要注意的是,我所列举的示例方法并非逐步设置指南,而是大体上概述了成功部署基于 DHCP 的 NAP 应关注的关键领域。有关详细的设置指南,请参阅“NAP 资源”侧栏提供的链接。
Contoso 的问题包袱 为了更清楚地了解 NAP 如何解决中小型组织的独特需求,我们将以 Contoso 公司为例加以说明。Contoso 是一家假想的中型组织,有三个主要办事处,共有 250 台计算机。该公司的工作人员实现了很高的移动性,许多用户都从远程的客户所在地远距离地与主要办事处进行通信或连接回主要办事处。因此,该公司的计算机中有一半是便携式计算机和 Tablet PC。与许多组织一样,随着工作人员移动性的增强,Contoso 也面临着更加严峻的安全性挑战。某些使用移动数据终端的用户从客户那里或家庭办公室染上了恶意软件,然后将受感染的计算机又连接到 Contoso 的内部网络中。
Contoso 也曾努力采取过多种措施来确保这些远程计算机保持最新状态。但有的用户经常要在客户处工作很久才会回到 Contoso 的办事处。在这些情况下,他们计算机经常会数月不进行安全更新,这增加了 Contoso 网络中其他计算机面临的整体风险。Contoso 需要一个解决方案来确保所有连接到公司网络的计算机(不论是远程的还是本地的)都是安全的、状态良好的。
NAP 将如何帮助 Contoso 实现这一目标呢?请回顾一下 NAP 的主要核心服务。借助策略验证,NAP 可以对所有连接到 Contoso 网络的计算机的运行状态进行检查。策略验证可以确定计算机是否具有最新的防病毒签名,是否已完全安装了所有安全更新修补程序。当 NAP 策略验证例程确定一台计算机状态不良时,NAP 可以对该主机的网络连接进行限制。这样就确保了在异地使用并感染恶意软件的计算机无法将恶意软件传播给网络中的其他计算机。NAP 将限制状态不良的计算机的连接,使其只能访问由 Contoso 的 IT 管理员定义的补救资源。例如,状态不良的计算机可以访问 Contoso WSUS 服务器和承载防病毒签名的服务器。最后,NAP 可以确保计算机在恢复正常后始终保持良好状态。在这个示例中,如果远程办公人员通过 VPN 使用状态不良的主机,并且该用户关闭了主机防火墙,则 NAP 会自动对这一问题进行补救。只要一禁用防火墙,NAP 体系结构就会立即将该计算机隔离,重新启用防火墙,重新评估该计算机的运行状态,在确定该计算机恢复良好状态后,再将其放回不受限的网络中。NAP 的四项核心服务直接满足了 Contoso 对动态移动的计算环境的安全方面的需求。
NAP 设计 对许多中小型组织而言,实施基于 DHCP 的 NAP 强制技术是最快、最简单的可选方案。这是因为 DHCP 强制技术不需要对网络进行其他更改,而且除 DHCP 和 NPS 之外,不需要其他服务。尽管 IPsec 和 802.1X 强制方案更为灵活,但它们都需要在网络中进行额外更改并部署新的服务。对于较为简单的环境,使用 DHCP 既可享受 NAP 提供的大多数好处,同时实现成本也低得多,持续运营费用也少一些。
在 Contoso 的环境中,围绕一台运行 Windows Server“Longhorn”的计算机进行 NAP 部署。由于 NAP 需要 Windows Server“Longhorn”NPS,因此不能在以前的 Windows Server 版本上部署 NAP。NAP 的基于 DHCP 的强制也需要 Windows Server“Longhorn”DHCP 服务器。如果要整合这些服务,Contoso 可以将 NPS 和 DHCP 部署在同一台服务器上,二者可以相安无事,和谐共存。这样,Contoso 的基本 NAP 服务器体系结构就变得非常简单:仅需一台装有 Windows Server“Longhorn”的计算机,同时运行策略组件和强制组件。
在客户端,Contoso 运行 Windows Vista 的计算机已经具备支持 NAP 所需的能力。对运行 Windows Vista 的计算机而言,唯一要对客户端做出的更改就是启用 NAP 功能,这可通过组策略来实现。而对于运行 Windows XP 的计算机,则必须单独安装 NAP 客户端软件包。默认情况下,已加入域的 Windows XP 计算机的 Windows 安全中心功能是处于禁用状态的。如果 NAP 策略需要使用来自安全中心的状态信息来评估计算机的运行状态,则必须运行安全中心,否则 NAP 无法正常运行。因此,对于 Contoso 公司内运行 Windows XP 的计算机来说,管理员已通过组策略启用了安全中心。除了这些更改外,客户端无需再进行其他更改即可支持 NAP。
Contoso 的 NAP 部署 在 Contoso 完成前面所述的必要的组策略更改之后,下一个 NAP 部署步骤是安装 Windows Server“Longhorn”。所有 Windows Server“Longhorn”版本都包括必需的 NAP 组件,因此,Contoso 可以使用任何符合需求的版本。安装完毕后,IT 管理员要使用服务器管理器工具向计算机添加新的角色。对于 Contoso 使用的基于 DHCP 的强制,所需的角色为网络访问服务和 DHCP 服务器。添加角色向导将帮助管理员处理所有依赖关系并加入服务器可能需要的任何其他功能。添加完角色后,Contoso 即可开始配置 NAP 了。
Contoso 的管理员将使用服务器管理器工具访问 Microsoft 管理控制台 (MMC) 的 DHCP 管理单元,并添加新的作用域。配置 Windows Server“Longhorn”DHCP 服务器将导致它所服务的 IP 段上现有的 DHCP 服务全部被替换。根据 Contoso 的网络情况创建好该作用域并在其中填充了正确的选项后,就必须对其启用 NAP。这一操作可在作用域属性的“网络访问保护”选项卡上进行(参见图 2)。
图 2 启用 NAP (单击该图像获得较小视图)
NAP 通过新的 NAP 用户类作用域选项使计算机在同一作用域内的受限和不受限网络访问之间切换。在向状态不良的客户端提供租约时,会使用这组特殊的作用域选项(包括 DNS 服务器、默认的 DNS 后缀,等等)。例如,提供给状态良好的客户端的默认 DNS 后缀为“contoso.com”,而提供给状态不良的客户端的后缀为“restricted.contoso.com”,如图 3 中所示。配置好 DHCP 作用域选项后,即可设置网络策略服务器并创建规则了。
图 3 受限访问 (单击该图像获得较小视图)
NPS 策略由四个主要组件构成。系统健康验证器(System Health Validators,SHV)定义了评估计算机运行状态需要执行哪些检查。更新服务器组列出了状态不良的计算机可以访问的系统(例如 WSUS),通过访问这些系统,状态不良的计算机可以恢复正常状态。系统健康验证器模板组件用于定义实际的运行状况。例如,Contoso 可以认为通过了 Windows Security SHV 检验的计算机是“
[1] [2]
http://soft.xuezhishi.net/OS/Windows2008/news/2007-08-19/32564.html
