The Cable Guy: DirectAccess mit Netzwerkzugriffsschutz (Network Access Protection, NAP)

  • Artikel

DirectAccess ist gut. Ergänzen Sie ihn um Netzwerkzugriffsschutz, und das Ergebnis ist noch besser.

Autor: The Cable Guy

Remotebenutzer können jetzt noch sicherer auf Ihr Unternehmensnetzwerk zugreifen. DirectAccess ist ein neues Feature in Windows 7 und Windows Server 2008 R2, das Remotebenutzern einen sicheren Zugriff auf Intranetressourcen ohne eine VPN-Verbindung (Virtual Private Network, virtuelles privates Netzwerk) bereitstellt.

Zusätzlich verfügen Windows 7 und Windows Server 2008 R2 über Network Access Protection (NAP). Dieses Feature überwacht und bewerten die Integrität von Clientcomputern, die sich mit dem Netzwerk verbinden oder mit diesem kommunizieren möchten.

Beide Features zusammen sind ein unschlagbares Team: Über DirectAccess mit NAP können Sie festlegen, dass nur DirectAccess-Clients, die die Systemintegritätsanforderungen erfüllen, über das Internet auf Intranetressourcen zugreifen können.

DirectAccess-Tunnel

DirectAcces-Clients, die einen vollständigen Intranetzugriff oder Zugriff auf ausgewählte Server haben, richten folgende Ipsec-Tunnel (Internet Protocol security) zu einem DirectAcces-Server ein:

  • Infrastrukturtunnel: reicht bis zu den DNS-Servern (Domain Name System) im Intranet und den AD DS-Domänencontrollern (Active Directory Domain Services). Standardmäßig sind für diesen Tunnel ein Computerzertifikat sowie NT LAN Manager Version 2- (NTLMv2) Anmeldedaten zur Authentifizierung des Computerkontos erforderlich. Der DirectAccess-Client richtet diesen Tunnel ein, bevor sich der Benutzer anmeldet.
  • Verwaltungstunnel: reicht bis zu zusätzlichen Intranetspeicherorten, ehe sich der Benutzer anmeldet. Dieser Tunnel kann auch von Intranetverwaltungsservern eingerichtet werden, um DirectAccess-Clients remote zu verwalten. Wie der Infrastrukturtunnel sind für diesen Tunnel standardmäßig ein Computerzertifikat sowie NTLMv2-Anmeldedaten zur Authentifizierung des Computerkontos erforderlich.
  • Intranettunnel: reicht bis zu Intranetspeicherorten, die bei den Infrastruktur- und Verwaltungstunnelregeln nicht in der Liste der Zieladressen enthalten sind, nachdem sich der Benutzer angemeldet hat. Standardmäßig sind für diesen Tunnel ein Computerzertifikat sowie Kerberos-Anmeldedaten zur Authentifizierung des Benutzerkontos erforderlich.

NAP- und IPsec-Erzwingung

Es gibt eine Reihe von Erzwingungsmethoden, bei denen Sie NAP einsetzen können, um die Systemintegritätsanforderungen für die Verbindung oder Kommunikation durchzusetzen. Die IPsec-Erzwingungsmethode verwendet Integritätszertifikate, d. h. digitale Zertifikate, bei denen im Feld der erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) der Objektbezeichner (Object Identifier, OID) „Systemintegritätsauthentifizierung“ aufgeführt ist, sowie IPsec-Verbindungssicherheitsregeln, die IPsec-Schutz von Intranetverkehr und IPsec-Peerauthentifizierung mit Integritätszertifikaten verlangen.

Diese Kombination kann die Systemintegritätsanforderungen für die Kommunikation zwischen Computern in einem Intranet erzwingen. Computern, die die Anforderungen nicht erfüllen und kein Integritätszertifikat aufweisen können, wird die Kommunikation im Intranet verweigert.

Zur Bereitstellung einer IPsec-Erzwingung ist Folgendes erforderlich:

  • Integritätsregistrierungsstelle (Health Registration Authority, HRA): ein Webserver, der Aufforderungen von NAP-Clients zum Prüfen ihrer Systemintegrität und zum Ausstellen eines Integritätszertifikats empfängt und beantwortet.
  • NAP-Zertifizierungsstelle (Certification Authority, CA): eine – typischerweise dedizierte – Zertifizierungsstelle in Ihrer PKI (Public Key-Infrastruktur), die Integritätszertifikate für konforme NAP-Clients ausstellt.
  • NAP-Integritätsrichtlinienserver: ein Netzwerkrichtlinienserver (Network Policy Server, NPS), der Systemintegritätsanfragen auswertet.
  • Wartungsserver: Server, die spezielle Ressourcen für NAP-Clients enthalten, mit denen diese ihre nichtkonforme Systemintegrität beheben können.

Von der Integritätsregistrierungsstelle ausgestellte Integritätszertifikate haben kurze Lebenszyklen, in der Regel nur einige Stunden. Sie können aber auch Ausnahmeintegritätszertifikate mit langem Lebenszyklus für Server ausstellen, die Integritätszertifikate für die IPsec-Peerauthentifizierung benötigen, aber keine Systemintegritätsprüfung durchführen müssen.

DirectAccess mit NAP

DirectAccess mit NAP integriert die Systemintegritätskonformität in den DirectAccess-Verbindungsvorgang. Wenn Sie DirectAccess mit NAP kombinieren, um Systemintegritätsanforderungen zu erzwingen, ehe Sie den Zugriff auf Intranetressourcen genehmigen, nutzen Sie die NAP-Infrastruktur zum Ausstellen von Integritätszertifikaten (HRA, NAP CA, NAP-Integritätsrichtlinienserver) und zum Korrigieren der Systemintegrität (Wartungsserver). Außerdem nutzen Sie die DirectAccess-Verbindungssicherheitsregeln für die Infrastruktur, die Verwaltung und die Intranettunnel.

Standardmäßig erfordern die Verbindungssicherheitsregeln, die auf dem DirectAccess-Client und -Server für Infrastruktur, Verwaltung und Intranettunnel konfiguriert sind, keine Integritätszertifikate zur Authentifizierung. Welche Regeln Sie ändern müssen, um Integritätszertifikate erforderlich zu machen, hängt von folgenden Faktoren ab:

  • NAP-Bereitstellungsmodus (Berichterstattung oder vollständige Erzwingung)

Für den Berichterstattungsmodus ist keine Systemintegritätskonformität erforderlich. Nicht konforme DirectAccess-Clients können auf das Intranet zugreifen, daher sind keine Änderungen der DirectAccess-Verbindungssicherheitsregeln nötig.

Für den vollständigen Erzwingungsmodus dagegen ist eine Systemintegritätskonformität erforderlich. In diesem Modus müssen Sie Verbindungssicherheitsregeln konfigurieren, damit Integritätszertifikate statt normalen Computerzertifikaten erforderlich sind.

  • Standort der HRA- und Wartungsserver

Sie können HRA- und Wartungsserver entweder in Ihr Intranet oder in das Internet stellen.

In den folgenden Abschnitten werden die beiden Standorte sowie die Änderungen beschrieben, die Sie an den Verbindungssicherheitsregeln vornehmen müssen, um Integritätszertifikate erforderlich zu machen.

Intranetbasierte HRA- und Wartungsserver

Befinden sich die HRA- und Wartungsserver im Intranet, müssen Sie für DirectAccess-Clients mit Computerzertifikaten und nicht mit Integritätszertifikaten zugänglich sein. Die Integritätsprüfung erfolgt nach dem Einrichten der Infrastruktur- und Verwaltungstunnel. Der DirectAccess-Client benötigt den Infrastrukturtunnel, um auf einen DNS-Server im Intranet zuzugreifen und Intranetnamen aufzulösen, und den Verwaltungstunnel, um auf die HRA- und Wartungsserver zuzugreifen.

Figure 1  DirectAccess with NAP when the HRAs and remediation servers are on the intranet.

Abbildung 1 DirectAccess mit NAP – die HRA- und Wartungsserver befinden sich im Intranet.

Für den vollständigen Erzwingungsmodus allerdings benötigt der DirectAccess-Client ein Integritätszertifikat, ehe er auf andere Intranetressourcen zugreifen kann. Aus diesem Grund gilt die Integritätszertifikatanforderung nur für die Verbindungssicherheitsregeln des Intranettunnels.

Konfigurationsschritte

Um DirectAccess mit NAP zu konfigurieren, wenn sich die HRA- und Wartungsserver im Intranet befinden, müssen Sie folgende Schritte durchführen:

  • Fügen Sie die IPv6-Adresse der HRA- und Wartungsserver zur Liste der Verwaltungsserver hinzu. Dazu können Sie Schritt drei des DirectAccess-Setup-Assistenten durchführen oder die Netsh.exe-Befehle ausführen.
  • Konfigurieren Sie die Intranettunnelregel im Gruppenrichtlinienobjekt (Group Policy Object, GPO) des DirectAccess-Servers so, dass Integritätszertifikate mit einem Netsh.exe-Befehl erforderlich sind.

Eine ausführliche Beschreibung der Schritte finden Sie unter Konfigurieren der DirectAccess-Verbindungssicherheitsregeln für NAP.

Wenn Sie die DirectAccess-Verbindungssicherheitsregeln mit Netsh.exe anpassen, werden die Änderungen überschrieben, sobald Sie das nächste Mal die Einstellungen des Setup-Assistenten für DirectAccess anwenden. Um sicherzustellen, dass die angepassten Einstellungen beibehalten werden, sollten Sie entweder nicht mehr den Setup-Assistenten verwenden, um Konfigurationsänderungen vorzunehmen, oder eine Liste der von Ihnen vorgenommenen Änderungen in Form eines Skripts erstellen und dieses jedes Mal ausführen, wenn sie die Einstellungen des Setup-Assistenten für DirectAccess anwenden.

Funktionsweise

Im Folgenden wird beschrieben, wie DirectAccess mit NAP bei einem DirectAccess-Client funktioniert, wenn sich die HRA- und Wartungsserver ausschließlich im Intranet befinden:

  1. Sobald der DirectAccess-Client gestartet wird und sich mit seinem Computerkonto an der AD DS-Domäne anmelden will, erstellt er über sein Computerzertifikat den Infrastrukturtunnel. [Infrastrukturtunnel]
  2. Startet dann der NAP-Agent, löst der DirectAccess-Client den vollqualifizierten Domänennamen (FQDN) eines konfigurierten HRA-URLs auf, richtet anhand seines Computerzertifikats den Verwaltungstunnel ein und sendet dann seinen aktuellen Integritätsstatus an den HRA. [Verwaltungstunnel]
  3. Der HRA sendet die Integritätsstatusinformationen des DirectAccess-Clients an den NAP-Integritätsrichtlinienserver. [Intranetverkehr]
  4. Der NAP-Integritätsrichtlinienserver wertet den Integritätsstatus des DirectAccess-Clients aus, ermittelt, ob dieser konform ist, und sendet die Ergebnisse an den HRA zurück. [Intranetverkehr]
  5. Der HRA wiederum sendet die Ergebnisse an den DirectAccess-Client. [Verwaltungstunnel]
  6. Geht der HRA von einem konformen Integritätsstatus aus, erhält er ein Integritätszertifikat von einer NAP-Zertifizierungsstelle und sendet dieses dann an den DirectAccess-Client. [Verwaltungstunnel]
  7. Sobald der DirectAccess-Client versucht, auf eine Ressource im Intranet zuzugreifen, richtet er zunächst mithilfe seines Integritätszertifikats den Intranettunnel ein. [Intranettunnel]

Wenn der DirectAccess-Client nicht konform ist:

  1. Der HRA leitet die Ergebnisse der Integritätsprüfung an den DirectAccess-Client weiter, einschließlich Anweisungen zur Integritätswiederherstellung. Ein Integritätszertifikat wird nicht ausgegeben. [Verwaltungstunnel]
  2. Je nach den installierten Integritätsauswertungskomponenten muss der DirectAccess-Client unter Umständen auf Wartungsserver zugreifen, um seinen Integritätsstatus zu korrigieren. Ist dies der Fall, sendet der DirectAccess-Client Aktualisierungsanfragen an den entsprechenden Wartungsserver. [Verwaltungstunnel]
  3. Die Wartungsserver stellen dem DirectAccess-Client die erforderlichen Einstellungen oder Updates zur Verfügung, die zum Erfüllen der Systemintegritätsanforderungen benötigt werden. [Verwaltungstunnel]
  4. Der DirectAccess-Client sendet die aktualisierten Integritätsstatusinformationen an den HRA. [Verwaltungstunnel]
  5. Dieser wiederum leitet die Informationen an den NAP-Integritätsrichtlinienserver weiter. Davon ausgehend, dass alle erforderlichen Updates durchgeführt wurden, legt der NAP-Integritätsrichtlinienserver fest, dass der DirectAccess-Client konform ist, und sendet dieses Ergebnis an den HRA. [Intranetverkehr]
  6. Der HRA erhält das Integritätszertifikat von der NAP-Zertifizierungsstelle. [Intranetverkehr]
  7. Der HRA sendet das Zertifikat an den DirectAccess-Client. [Verwaltungstunnel]
  8. Sobald der DirectAccess-Client versucht, auf eine Ressource im Intranet zuzugreifen, richtet er mithilfe seines Integritätszertifikats den Intranettunnel ein. [Intranettunnel]

HRA- und Wartungsserver im Internet

Befinden sich die HRA- und Wartungsserver ausschließlich im Internet, sind sie jederzeit zugänglich für DirectAccess-Clients. Die Systemintegritätsprüfung erfolgt unabhängig von den DirectAccess-Tunneln.

Abbildung 2 zeigt die Konfiguration, wenn sich die HRA- und Wartungsserver ausschließlich im Internet befinden. Weitere Informationen zu dieser Konfiguration finden Sie im Artikel „NAP im Internet” von The Cable Guy, Juni 2009.

Figure 2  DirectAccess with NAP when the HRAs and remediation servers are on the Internet.

Abbildung 2 DirectAccess mit NAP – die HRA- und Wartungsserver befinden sich im Internet.

Für den vollständigen Erzwingungsmodus benötigt der DirectAccess-Client ein Integritätszertifikat, eher er überhaupt auf eine beliebige Intranetressource zugreifen kann – mit Ausnahme der Verwaltungsserver, die möglicherweise erforderlich sind, um nicht konforme DirectAccess-Clients über das Intranet remote zu verwalten oder zu unterstützen. Aus diesem Grund gilt die Integritätszertifikatanforderung für die Verbindungssicherheitsregeln von Infrastruktur-, Intranet- und Verwaltungstunneln (optional).

Konfigurationsschritte

Um DirectAccess mit NAP zu konfigurieren, wenn sich die HRA- und Wartungsserver im Internet befinden, müssen sie die Regeln für Infrastruktur-, Intranet- und Verwaltungstunnel im GPO des DirectAccess-Servers so ändern, dass Integritätszertifikate mit Netsh.exe-Befehlen erforderlich sind.

Die folgenden Befehle verwenden die Standardnamen der Gruppenrichtlinienobjekte und die vom DirectAccess-Setup-Assistenten in Windows Server 2008 R2 festgelegten Verbindungssicherheitsregeln:

  1. Führen Sie auf Administratorebene in der Eingabeaufforderung den Befehl „netsh –c advfirewall“ aus.
  2. Führen Sie bei der „netsh advfirewall“-Eingabeaufforderung folgende Befehle aus:

 

set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

Hinweise: DomainName ist der vollqualifizierte Domänenname Ihrer AD DS-Domäne. CANameString ist der Wert im Feld “Auth1CAName” in der Anzeige des Befehls consec show rule name=“DirectAccess Policy-DaServerToCorp”.

Führen Sie den letzten Befehl nur aus, wenn Sie Verwaltungsserver festgelegt haben und verhindern möchten, dass nicht konforme DirectAccess-Clients auf diese zugreifen.

Funktionsweise

Im Folgenden wird beschrieben, wie DirectAccess mit NAP bei einem DirectAccess-Client funktioniert, wenn sich die HRA- und Wartungsserver ausschließlich im Internet befinden:

  1. Sobald der DirectAccess-Client gestartet wird und sich mit seinem Computerkonto an der AD DS-Domäne anmelden will, erstellt er den Infrastrukturtunnel. Da der Client kein Integritätszertifikat hat, schlägt dieser Versuch fehl. [Internetverkehr]
  2. Startet dann der NAP-Agent, löst der DirectAccess-Client den vollqualifizierten Domänennamen (FQDN) eines HRA-URLs auf und sendet dann seinen aktuellen Integritätsstatus an den HRA im Internet. [Internetverkehr]
  3. Der HRA sendet die Integritätsstatusinformationen des DirectAccess-Clients an einen NAP-Integritätsrichtlinienserver. [Intranetverkehr]
  4. Der NAP-Integritätsrichtlinienserver wertet den Integritätsstatus des DirectAccess-Clients aus, ermittelt, ob dieser konform ist, und sendet die Ergebnisse an den HRA zurück. [Intranetverkehr]
  5. Der HRA wiederum sendet die Ergebnisse an den DirectAccess-Client. [Internetverkehr]
  6. Geht der HRA von einem konformen Integritätsstatus aus, erhält er ein Integritätszertifikat von einer NAP-Zertifizierungsstelle und sendet dieses dann an den DirectAccess-Client. [Internetverkehr]
  7. Wenn der DirectAccess-Clientcomputer das nächste Mal versucht, sich mit seinem Computerkonto an der AD DS-Domäne anzumelden oder einen Intranet-FQDN aufzulösen, erstellt er zunächst über sein Integritätszertifikat den Infrastrukturtunnel. [Infrastrukturtunnel]
  8. Muss der DirectAccess-Client auf eine Ressource im Intranet zugreifen, richtet er zunächst mithilfe seines Integritätszertifikats den Intranettunnel ein. [Intranettunnel]

Wenn der DirectAccess-Client nicht konform ist:

  1. Der HRA leitet die Ergebnisse der Integritätsprüfung an den DirectAccess-Client weiter, einschließlich Anweisungen zur Integritätswiederherstellung. Ein Integritätszertifikat wird nicht ausgegeben. [Internetverkehr]
  2. Je nach den installierten Integritätsauswertungskomponenten muss der DirectAccess-Client unter Umständen auf Wartungsserver zugreifen, um seinen Integritätsstatus zu korrigieren. Ist dies der Fall, sendet der DirectAccess-Client Aktualisierungsanfragen an den entsprechenden Wartungsserver. [Internetverkehr]
  3. Die Wartungsserver stellen dem DirectAccess-Client die erforderlichen Einstellungen oder Updates zur Verfügung, die zum Erfüllen der Systemintegritätsanforderungen benötigt werden. [Internetverkehr]
  4. Der DirectAccess-Client sendet die aktualisierten Integritätsstatusinformationen an den HRA. [Internetverkehr]
  5. Dieser wiederum leitet die Informationen an den NAP-Integritätsrichtlinienserver weiter. Davon ausgehend, dass alle erforderlichen Updates durchgeführt wurden, legt der NAP-Integritätsrichtlinienserver fest, dass der DirectAccess-Client konform ist, und sendet dieses Ergebnis an den HRA. [Intranetverkehr]
  6. Der HRA erhält das Integritätszertifikat von der NAP-Zertifizierungsstelle. [Intranetverkehr]
  7. Der HRA sendet das Zertifikat an den DirectAccess-Client. [Internetverkehr]
  8. Wenn der DirectAccess-Clientcomputer das nächste Mal versucht, sich mit seinem Computerkonto an der AD DS-Domäne anzumelden oder einen Intranet-FQDN aufzulösen, erstellt er zunächst über sein Integritätszertifikat den Infrastrukturtunnel. [Infrastrukturtunnel]
  9. Muss der DirectAccess-Client auf eine Ressource im Intranet zugreifen, richtet er mithilfe seines Integritätszertifikats den Intranettunnel ein. [Intranettunnel]

Joseph Daviesist Principal Technical Writer im Autorenteam für Windows-Netzwerke bei Microsoft. Er ist Autor oder Koautor einer Reihe von Büchern, die von Microsoft Press veröffentlicht wurden, darunter „Windows Server 2008 Networking and Network Access Protection (NAP)“, „Understanding IPv6, Second Edition“ und „Windows Server 2008 TCP/IP Protocols and Services.“

Verwandter Inhalt: