• Artículo

.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } The Cable Guy NAP en Internet

Joseph Davies

Contenido

Información general de cumplimiento de IPsec
NAP en Internet
NAP en Internet, un ejemplo
Resumen

Protección de acceso de red (NAP) en Internet es la evolución natural de cumplimiento de seguridad de protocolo Internet (IPsec) que amplía la comprobación del estado y corrección continua del estado del sistema para equipos administrados que móviles en Internet. NAP en Internet permite un modelo de seguridad más seguro basado en host para equipos unidos a un dominio conectados a Internet desde cualquier lugar, en cualquier momento. Por ejemplo, un equipo móvil conectarse a una red Wi-Fi en una cafetería local puede utilizar NAP en Internet para evaluar y corregir su estado del sistema sin conocimiento o la intervención del usuario.

Antes de entrar en detalles, revisemos algunos de los conceptos básicos y los detalles de implementación de cumplimiento NAP y IPsec.

Información general de cumplimiento de IPsec

En el caso de cumplimiento IPsec es una extensión del escenario de aislamiento de dominio que incorpora una evaluación de mantenimiento NAP como parte el proceso de autenticación de IPsec del mismo nivel. En el escenario de aislamiento de dominio, configura los miembros del dominio con la configuración de directiva de IPsec para requerir que todas las conexiones entrantes se autenticar y protegidas (cifrado de tráfico es opcional). Interlocutores IPsec pueden utilizar Kerberos o certificados digitales para la autenticación. Los miembros del dominio automáticamente tienen credenciales de Kerberos y certificados pueden implementarse automáticamente en los miembros del dominio con una entidad emisora de certificados basados en Windows (CA) y directiva de grupo.

El caso de cumplimiento IPsec en NAP, la credencial de autenticación del interlocutor de IPsec es un certificado de mantenimiento que contiene el sistema estado autenticación mejorada uso de clave (EKU). Directiva de IPsec en el caso de cumplimiento IPsec requiere que todos los intentos de conexión entrante utilice un certificado de mantenimiento para la autenticación. Esto garantiza que el interlocutor iniciar la comunicación no es sólo un miembro de dominio, pero también es compatible con los requisitos de estado del sistema. En modo de aplicación completa, si un cliente NAP no tiene un certificado de mantenimiento, falla la autenticación del interlocutor de IPsec y el cliente NAP no compatible no puede iniciar comunicaciones con un interlocutor IPsec compatible.

Cuando se inicia un cliente NAP configurado en el caso de cumplimiento IPsec, se pone en contacto una autoridad de registro de mantenimiento (HRA). Un HRA es un equipo que ejecuta Windows Server 2008, servicios de Internet Information Server (IIS) y el servicio de rol HRA de la directiva de red y la función Servicios de acceso. La HRA Obtiene un certificado X.509 de una entidad emisora de CERTIFICADOS en nombre de un cliente NAP cuando el servidor de directivas de mantenimiento NAP ha determinado que el cliente es compatible con.

Para obtener certificados de mantenimiento para los clientes NAP compatibles con, debe configurar sus HRAs con las ubicaciones de las CA de NAP en su intranet. Para que los clientes NAP localizar los HRAs en su intranet, puede configurarlos o con un grupo de servidores de confianza, una lista de direcciones URL de HRAs en su intranet, o HRA descubrimiento (consulte la barra lateral "Descubrimiento HRA y HRAs orientados a Internet").

Cuando inician los clientes NAP, busque un HRA en la intranet, envíen su estado y, si es compatible con, obtener un certificado de mantenimiento. Cuando los clientes NAP inician comunicaciones a otros extremos de intranet, intenta negociar la protección de IPsec para el tráfico utilizando las credenciales de certificado de mantenimiento. Si falla la negociación de IPsec, el cliente NAP se conecta sin protección IPsec. Si cambia el estado de mantenimiento o de red del cliente NAP compatible con, no se realiza una comprobación adicional del sistema con un HRA y si es compatible con, obtiene un certificado nuevo. Si hay condiciones de estado del sistema que necesitan corregirse, el cliente NAP tendrá que corregir antes de obtener un certificado de mantenimiento.

Descubrimiento HRA y HRAs orientados a Internet

Un cliente NAP también puede utilizar el descubrimiento HRA para descubrir automáticamente HRAs en una red. En lugar de configurar una lista de direcciones URL en un grupo de servidores de confianza, un cliente NAP que tiene habilitado el descubrimiento HRA intenta encontrar un HRA enviando una consulta DNS para los registros SRV para _hra._tcp.site_name._sites.domain_name. Por ejemplo, si un cliente NAP principal es de dominio contoso.com y el cliente está utilizando el sitio de Active Directory predeterminado y tiene HRA descubrimiento habilitado, consultará para los registros SRV para _hra._tcp.default-primer-sitio-name._sites.contoso.com. El registro SRV para HRAs contiene el nombre de dominio completo (FQDN) de la HRA. Los registros SRV de DNS para HRAs deben configurarse manualmente en las zonas adecuadas.

NAP en Internet, configurar intranet que servidor HRA registros para el FQDN de la intranet HRAs y Internet HRA los registros SRV para los FQDN de sus HRAs orientados a Internet. El cliente NAP consulta para el mismo nombre y tipo de registro, pero obtiene FQDN diferentes dependiendo de la ubicación.

Para habilitar Descubrimiento HRA para los clientes NAP que reciben la configuración de NAP mediante la directiva de grupo, establezca el valor de registro de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery (tipo DWORD) a 1.

Para obtener más información, vea" Configurar HRA la detección automática ."

NAP en Internet

Cuando un equipo de cliente NAP configurado en el caso de cumplimiento IPsec deja la intranet y se conecta a Internet, el cliente de NAP todavía intenta localizar un HRA. Porque el equipo móvil en Internet ya no puede ponerse en contacto con una intranet HRA y realizar validación del estado del sistema, ya no puede determinar si es compatible con las directivas de estado del sistema y cómo corregir su estado del sistema. A lo largo del tiempo, un cliente NAP se desplaza a Internet puede acabar con falta el sistema operativo o las actualizaciones de la aplicación o el usuario, según su nivel de privilegio, puede llevar a cabo cambios de configuración que poner el equipo en riesgo, como deshabilitar el firewall de host.

Cuando el equipo no compatible se vuelve a la intranet, primero debe corregir su estado del sistema antes de obtener un certificado de mantenimiento y comenzar a comunicarse. Aunque el equipo no compatible se se corregirán, no hay un riesgo puede infectar a otros equipos de intranet que no están protegidos por IPsec.

Colocando HRAs en Internet y configurar clientes NAP para localizarlos, los clientes NAP en Internet pueden comprobar su estado de forma continua como si estuvieran conectados a la intranet. Aunque el certificado de mantenimiento no se utiliza para realizar la autenticación de IPsec del mismo nivel, el cliente de NAP todavía está validando su estado. Si está habilitada autoremediation, el cliente de NAP automáticamente intentará corregir su estado de mantenimiento para mitigar los riesgos en el equipo mientras está en Internet. Autoremediation mantiene el equipo compatible con los requisitos de estado del sistema de su organización sin necesidad de intervención del usuario. Un equipo móvil que ya es compatible con devolver desde Internet enormemente reduce el riesgo de infección a los recursos de la intranet.

Solución de problemas de estado del sistema está limitada a la funcionalidad de los agentes de estado del sistema (SHA) y puede requerir que implemente servidores de corrección adicionales de Internet.

Tenga en cuenta que de forma predeterminada, los clientes NAP intente la autenticación Kerberos cuando se conecta a las HRAs orientados a Internet. Debido a que un controlador de dominio no está disponible en Internet, esta autenticación fallará. Por lo tanto, debe ejecutar el comando siguiente en los HRAs orientados a Internet para que los clientes NAP utilizan la autenticación NTLM:

%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
 /-providers.[value='Negotiate']

Puede utilizar la información registrada por los servidores de directivas de mantenimiento NAP para determinar la compatibilidad del estado general de los clientes NAP que móviles en Internet.

Si sus HRAs orientados a Internet son independientes de la intranet HRAs, puede configurar un conjunto independiente de directivas de requisitos de estado para los clientes NAP conectado a Internet. Por ejemplo, puede configurar conjuntos independientes de las directivas de red especificando la dirección de las HRAs como una condición. Las directivas de requisito de estado de intranet utilizan todo su SHA, como el agente de mantenimiento de seguridad de Windows (WSHA), el SHA Forefront y System Center Configuration Manager (SCCM) SHA. Conjunto de Internet de uso de directivas de requisito de estado sólo el WSHA.

NAP en Internet, un ejemplo

La figura 1 muestra una ilustración simplificada de cómo Contoso Corporation ha implementado NAP en Internet.

tnonlineaprdavies.cableguy.gif

Figura 1 implementación de NAP en Internet

En este ejemplo, los HRAs orientados a Internet conectados físicamente a Internet y la intranet para que pueden llegar a las entidades emisoras de NAP y el estado NAP servidores de directivas. Para proteger los HRAs orientados a Internet, configuración de firewall permite sólo el puerto 443 tráfico TCP a y desde los HRAs orientados a Internet, correspondiente a SSL sobre tráfico HTTP.

Supongamos que el HRAs intranet tienen el nombres hra1.corp.contoso.com y hra2.corp.contoso.com. Los HRAs orientados a Internet tienen el nombres int_hra1.contoso.com y int_hra2.contoso.com. Por supuesto, los servidores DNS de intranet no pueden resolver el int_hra1.contoso.com nombres y int_hra2.contoso.com y servidores DNS de Internet no pueden resolver nombres hra1.corp.contoso.com los hra2.corp.contoso.com.

Con esta configuración, el Administrador de red de Contoso configura un grupo de servidores de confianza con la siguiente lista de direcciones URL:

Los clientes NAP primero intente HRAs las intranet y, a continuación, los HRAs orientados a Internet.

Un cliente NAP en la intranet se conectará a HRA1 o HRA2. Un cliente NAP en Internet primero intentará resolver los nombres hra1.corp.contoso.com y hra2.corp.contoso.com. Estos dos resolución de nombres rápidamente intentos incorrectos de un error DNS el nombre no encontrado. El cliente de NAP, a continuación, correctamente resuelve int_hra1.contoso.com o int_hra2.contoso.com y conecta con INT_HRA1 o INT_HRA2.

Resumen

Una vez el escenario de cumplimiento IPsec se ha implementado en la intranet, extender la validación de cumplimiento de estado y corrección de los clientes NAP conectado a Internet es relativamente fácil, requerir algunos servidores adicionales para el HRAs orientados a Internet (o funciones adicionales para servidores de Internet existentes). Además, dependiendo de cómo los clientes NAP localizan HRAs, tiene que publicar registros DNS de Internet para los HRAs orientados a Internet y actualizar los grupos de servidores de confianza. También puede crear un conjunto adicional de estado de las directivas de requisito para especificar la comprobaciones de estado del sistema y autoremediation comportamiento para los clientes NAP conectado a Internet.

Joseph Davies es un escritor de la técnica principal en la red de Windows escribir el equipo de Microsoft. Es autor o coautor de un número de libros publicados por Microsoft Press, incluidos Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition y Windows Server 2008 TCP/IP Protocols and Services.