.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } The Cable Guy NAP im Internet

Joseph Davies

Inhalt

IPsec-Erzwingung Übersicht
NAP im Internet
NAP im Internet, ein Beispiel
Zusammenfassung

Netzwerk Access Protection (NAP) im Internet ist der natürlichen Entwicklung der Internetprotokollsicherheit (IPsec) erzwingen, die erweitert Zustand zu überprüfen und kontinuierliche Abhilfeprozedur Systemzustand für verwaltete Computer, die im Internet roaming. NAP im Internet ermöglicht ein sicherer, Host-basierte Sicherheitsmodell für Domäne beigetretenen Computer mit dem Internet überall, jederzeit verbunden. Beispielsweise kann ein mobiler Computer Verbinden mit einem Wi-Fi-Netzwerk in einem örtlichen Café verwenden NAP im Internet zum Auswerten und korrigieren Sie den Systemzustand ohne Wissen oder Eingriffe des Benutzers.

Bevor wir die Details erhalten, sehen einige der Grundlagen und die Bereitstellung Details NAP und IPsec-Erzwingung.

IPsec-Erzwingung Übersicht

IPsec-Erzwingung ist eine Erweiterung der Domänenisolierungszenario, die eine NAP Zustand Bewertung als Teil der IPSec-Peer-Authentifizierung integriert. In der Domänenisolierungszenario konfigurieren Sie Domänenmitglieder mit IPSec-Richtlinieneinstellungen erforderlich, dass alle eingehende Verbindungen authentifiziert und geschützt (Verschlüsselung des Datenverkehrs ist optional). IPSec-Peers können für die Authentifizierung Kerberos oder digitale Zertifikate verwenden. Domänenmitglieder verfügen automatisch über Kerberos-Anmeldeinformationen und Zertifikate können automatisch an Domänenmitglieder mit einer Windows-basierte Zertifizierungsstelle (CA) und der Gruppenrichtlinie bereitgestellt wird.

Für IPSec-Erzwingung in NAP ist die Anmeldeinformationen für IPSec-Peer-Authentifizierung ein Integritätszertifikat mit dem System Health Authentifizierung erweiterte Schlüsselverwendung (EKU). IPSec-Richtlinie für IPSec-Erzwingung erfordert, dass alle eingehenden Verbindungsversuche ein Integritätszertifikat für die Authentifizierung verwenden. Auf diese Weise wird sichergestellt, dass der Peer initiiert die Kommunikation nicht nur Mitglied einer Domäne ist, jedoch auch kompatibel mit Systemintegritätsanforderungen ist. Im vollständigen Erzwingung Modus, wenn ein NAP-Client verfügt nicht über ein Integritätszertifikat, die IPSec-Peer-Authentifizierung fehlschlägt und nicht richtlinienkonforme NAP-Client nicht von Kommunikationsanforderungen für eine kompatible IPSec-Peer initiieren kann.

Wenn ein NAP-Client für die IPSec-Erzwingung konfiguriert startet, kontaktiert er eine Health Registration Authority (HRA). Eine HRA ist ein Computer unter Windows Server 2008, IIS- und der HRA-Rolle-Dienst von der Netzwerkrichtlinien- und Zugriffsdienste Rolle. Die HRA erhält ein x. 509-Zertifikat von einer ZERTIFIZIERUNGSSTELLE stellvertretend für einen NAP-Client, wenn NAP-Integritätsrichtlinienserver ermittelt hat, dass der Client kompatibel ist.

Um Integritätszertifikate für richtlinienkonforme NAP-Clients zu erhalten, müssen Sie Ihre HRAs mit den Lagerplätzen der NAP-CAs in Ihrem Intranet konfigurieren. Für NAP-Clients der HRAs auf Ihrem Intranet finden, Sie können entweder konfigurieren Sie mit einer vertrauenswürdigen Servergruppe – eine Liste der URLs für die HRAs in Ihrem Intranet – oder HRA Discovery (Siehe die Randleiste „ HRA Discovery und internetseitigen HRAs „).

Wenn NAP-Clients starten, Sie suchen eine HRA im Intranet, senden Ihren Status und, wenn kompatibel ist, ein Zustand Zertifikat erhalten. Wenn NAP-Clients die Kommunikation mit anderen Endpunkten Intranet initiieren, versuchen Sie zum Aushandeln von IPSec-Schutz für den Datenverkehr die Zustand Zertifikats Anmeldeinformationen verwenden. Wenn die IPSec-Aushandlung fehlschlägt, verbindet der NAP-Client ohne IPSec-Schutz. Wenn ein kompatibler NAP-Client Zustand oder Netzwerk Zustand ändert, wird es eine zusätzliche Systemüberprüfung mit eine HRA, und wenn kompatibel ist, erhält er ein neues Zertifikat. Wenn System Health Bedingungen, die korrigiert werden müssen, müssen der NAP-Client vor dem Anfordern eines Zertifikats Zustand beheben.

HRA erkennen und internetseitigen HRAs

Ein NAP-Client kann auch die HRA Discovery verwenden, um die HRAs in einem Netzwerk automatisch erkennen. Anstatt eine Liste von URLs in einer vertrauenswürdigen Servergruppe konfigurieren, versucht ein HRA-Ermittlung aktiviert hat NAP-Client eine HRA suchen, indem eine DNS-Abfrage nach SRV-Einträgen für _hra._tcp.site_name._sites.domain_name gesendet. Z. B. Wenn ein NAP-Client primäre Domäne ist contoso.com und des Clients verwendet die Standard-Active Directory-Site HRA Erkennung aktiviert, es wird Abfrage nach SRV-Einträge für _hra._tcp.default-First-Site-name._sites.contoso.com. Der SRV-Datensatz für HRAs enthält den vollständig qualifizierten Domänennamen (FQDN) von die HRA. DNS-SRV-Einträge für HRAs müssen manuell in den entsprechenden Zonen konfiguriert werden.

Für NAP im Internet konfigurieren Sie Intranet HRA SRV für den FQDN des Intranets HRAs und Internet HRA SRV-Einträge für die FQDNs Ihrer internetseitigen HRAs Datensätze. Der NAP-Client fragt nach dem gleichen Namen und dem Eintragstyp, ruft jedoch unterschiedliche FQDNs abhängig vom Speicherort ab.

Um HRA Discovery für NAP-Clients aktivieren, die NAP-Konfiguration über Gruppenrichtlinien empfangen, legen Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery-Registrierungswert (Typ DWORD) auf 1.

Weitere Informationen finden Sie unter" Automatische Ermittlung HRA konfigurieren ."

NAP im Internet

Wenn ein NAP-Clientcomputer konfiguriert für IPSec-Erzwingung das Intranet verlässt und eine Verbindung zum Internet herstellt, versucht der NAP-Client weiterhin, eine HRA zu finden. Da der servergespeicherte Computer im Internet nicht mehr erhalten Sie ein Intranet HRA und System Health Validierung kann kann es nicht mehr bestimmen, ob es mit System Integritätsrichtlinien und wie seine Systemintegrität korrigiert kompatibel ist. Im Laufe der Zeit ein NAP-Client das Internet wechselt mit fehlenden Betriebssystem landen kann oder Anwendungsupdates oder seine Berechtigungsebene der Benutzer möglicherweise Konfigurationsänderungen, die den Computer, z. B. das Deaktivieren der Firewall Host Risiko durchführen.

Zumindest wenn auf das Intranet nicht richtlinienkonforme Computer zurückgibt, muss es zuerst seine Systemintegrität beseitigt vor eines Zertifikats Zustand beziehen und Kommunikation beginnen können. Während der nicht richtlinienkonforme Computer beseitigt wird wird, besteht das Risiko, die es anderen Intranetcomputer zu infizieren, die nicht durch IPsec geschützt sind.

HRAs auf dem Internet platziert und Konfigurieren von NAP-Clients um diese zu suchen, können NAP-Clients im Internet deren Zustand regelmäßig überprüfen, als wären Sie mit dem Intranet verbunden. Obwohl Health Certificate nicht für die IPSec-Peer-Authentifizierung verwendet wird, ist der NAP-Client weiterhin dessen Zustand überprüft. Wenn Autoremediation aktiviert ist, versucht der NAP-Client automatisch seinen Zustand, Risiken zu der Computer während der im Internet zu korrigieren. Autoremediation hält den Computer ohne Benutzereingriff kompatibel mit Systemintegritätsanforderungen Ihrer Organisation. Ein mobiler Computer, der bereits kompatible Rückgabe aus dem Internet erheblich ist verringert das Risiko einer Infektion auf Intranetressourcen.

Abhilfeprozedur Systemprobleme Zustand ist die Funktionalität des Systems Zustand Agents (SHAs) eingeschränkt und erfordern, dass Sie zusätzliche Wartungsserver im Internet bereitstellen.

Beachten Sie, dass standardmäßig NAP-Clients Kerberos-Authentifizierung beim Verbinden mit der internetseitigen HRAs versuchen. Da ein Domänencontroller nicht im Internet verfügbar ist, schlägt diese Authentifizierung fehl. Daher müssen Sie den folgenden Befehl auf internetseitigen HRAs ausführen, damit NAP-Clients NTLM-Authentifizierung verwenden:

%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
 /-providers.[value='Negotiate']

Können Sie von Ihrem NAP-Integritätsrichtlinienserver protokollierte Informationen die allgemeine Zustand Kompatibilität von NAP-Clients bestimmen, die im Internet roaming.

Wenn Ihre HRAs internetseitigen getrennt von Ihrem Intranet HRAs sind, können Sie einen separaten Satz Anforderung Integritätsrichtlinien für Ihre Internetverbindung NAP-Clients konfigurieren. Beispielsweise können Sie separate Sätze der Netzwerkrichtlinien konfigurieren, indem Sie die IP-Adresse der HRAs als eine Bedingung angeben. Die Intranet Anforderung Integritätsrichtlinien verwenden Ihre SHAs, wie z. B. Windows Security Health Agent (WSHA), die Forefront-SHA und System Center Configuration Manager (SCCM) SHA. Das Internet Satz von Health Anforderung Richtlinien verwenden nur die WSHA.

NAP im Internet, ein Beispiel

Abbildung 1 zeigt eine vereinfachte Darstellung wie der Contoso Corporation NAP im Internet bereitgestellt hat.

Abbildung 1 Bereitstellung von NAP im Internet

In diesem Beispiel werden internetseitigen HRAs physisch mit dem Internet und dem Intranet verbunden, so, dass Sie die NAP-CAs und der NAP-Zustand Richtlinie Server erreichen können. Um internetseitigen HRAs zu schützen, zulassen Firewall-Einstellungen nur TCP-Port 443 Datenverkehr zum und vom HRAs internetseitigen SSL über HTTP-Datenverkehr entspricht.

Angenommen der Intranet-HRAs den Namen hra1.corp.contoso.com und hra2.corp.contoso.com. Internetseitigen HRAs besitzen Namen int_hra1.contoso.com und int_hra2.contoso.com. Natürlich Intranet DNS-Server den Namen int_hra1.contoso.com nicht auflösen kann und int_hra2.contoso.com und Internet verbundenen DNS-Server können nicht auflösen der Namen hra1.corp.contoso.com und hra2.corp.contoso.com.

Mit dieser Konfiguration konfiguriert der Netzwerkadministrator für Contoso eine vertrauenswürdige Servergruppe mit der folgenden Liste von URLs:

• https://hra1.corp.contoso.com/domainhra/hcsrvext.dll
• https://hra2.corp.contoso.com/domainhra/hcsrvext.dll
• https://int_hra1.contoso.com/domainhra/hcsrvext.dll
• https://int_hra2.contoso.com/domainhra/hcsrvext.dll

NAP-Clients versuchen zuerst der Intranet-HRAs und dann internetseitigen HRAs.

Ein NAP-Client im Intranet wird eine Verbindung zu HRA1 oder HRA2 herstellen. Ein NAP-Client im Internet versucht zunächst, um den Namen hra1.corp.contoso.com und hra2.corp.contoso.com zu beheben. Diese zwei Namensauflösung versucht schnell Ergebnis in einem Fehler DNS-Name nicht gefunden. Der NAP-Client anschließend erfolgreich behebt int_hra1.contoso.com oder int_hra2.contoso.com und verbindet mit INT_HRA1 oder INT_HRA2.

Zusammenfassung

Nachdem das IPSec-Erzwingung Szenario in Ihrem Intranet bereitgestellt wurde, ist die Erweiterung Zustand Kompatibilität Überprüfung und Korrektur für internetverbundenen NAP-Clients relativ einfach, verlangen einige zusätzliche Server für die internetseitigen HRAs (oder zusätzliche Rollen für vorhandene Internet verbundenen Servern). Darüber hinaus je nach Ihren NAP-Clients HRAs wie gefunden haben, müssen Sie möglicherweise DNS-Datensätze für internetseitigen HRAs veröffentlichen und Aktualisieren Ihrer vertrauenswürdigen Servergruppen. Sie können auch eine Reihe zusätzliche Zustand Anforderung Richtlinien zum Angeben der System-Integritätsprüfungen und der Autoremediation-Verhalten für internetverbundenen NAP-Clients erstellen.

Joseph Davies ist technischer Chefredakteur auf schreiben-Team bei Microsoft Windows-Netzwerke. Er ist Autor oder Mitautor von einer Anzahl von Büchern veröffentlicht von Microsoft Press, einschließlich Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition, und Windows Server 2008 TCP/IP Protocols and Services.