.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } Nella rubrica The Cable Guy Protezione accesso alla rete su Internet
Joseph Davies
Contenuto
Panoramica di imposizione IPsec
Protezione accesso alla rete su Internet
Protezione accesso alla rete su Internet, un esempio
Riepilogo
Rete accesso di protezione su Internet è l'evoluzione naturale di imposizione di Internet Protocol Security (IPsec) che estende il controllo di integrità e monitoraggio e aggiornamento costante dello stato del sistema per i computer gestiti che sono comuni su Internet. Protezione accesso alla rete su Internet consente a un modello di protezione più avanzati basati su host per i computer appartenenti al dominio connesso a Internet da qualsiasi punto, in qualsiasi momento. Ad esempio, un computer portatile connessione a una rete Wi-Fi in un bar locale possibile utilizzare protezione accesso alla rete su Internet per valutare e correggere l'integrità del sistema senza la conoscenza dell'utente o l'intervento del.
Prima di passare i dettagli, esaminare alcuni dei concetti di base e i dettagli di distribuzione relativi imposizione Protezione accesso alla rete e IPsec.
Panoramica di imposizione IPsec
L'imposizione IPsec è un'estensione dello scenario di isolamento di dominio che incorpora una valutazione di integrità protezione accesso alla rete come parte del processo di autenticazione del peer IPsec. Nello scenario di isolamento del dominio, è necessario configurare i membri del dominio con le impostazioni di criteri IPsec per richiedere che tutte le connessioni in ingresso essere autenticate e protetta (crittografia del traffico è facoltativo). I peer IPsec è possono utilizzare Kerberos o certificati digitali per l'autenticazione. I membri del dominio hanno automaticamente le credenziali Kerberos e certificati possono essere distribuiti automaticamente i membri del dominio con un'autorità di certificazione basati su Windows (CA) e criteri di gruppo.
Per l'imposizione IPsec di protezione accesso alla rete, le credenziali per l'autenticazione del peer IPsec sono un certificato di integrità contenente il sistema stato autenticazione utilizzo (avanzato delle chiavi). Criterio IPsec per l'imposizione IPsec richiede che tutti i tentativi di connessione in ingresso utilizzi di un certificato di integrità per l'autenticazione. Questo garantisce che il peer per avviare la comunicazione non è un membro di dominio, ma è anche compatibile con i requisiti di integrità del sistema. In modalità di applicazione completo, se un client di protezione accesso alla rete non dispone di un certificato di integrità, l'autenticazione del peer IPsec non riesce e il client Protezione accesso alla rete non conforme Impossibile avviare la comunicazione con un peer IPsec compatibili con.
Quando si avvia un client di protezione accesso alla rete configurato per l'imposizione IPsec, viene contattato un Autorità registrazione integrità (integrità). Un'Autorità registrazione integrità è un computer che eseguono Windows Server 2008, Internet Information Services (IIS) e il servizio di ruolo di Autorità registrazione integrità di ruolo di servizi di accesso e i criteri di rete. L'Autorità registrazione integrità Ottiene un certificato X.509 da un'autorità di certificazione per conto di un client di protezione accesso alla rete quando il server criteri di integrità protezione accesso alla rete ha rilevato che il client è compatibile con.
Per ottenere i certificati di integrità per i client di protezione accesso alla rete conformi, è necessario configurare il HRA con le posizioni del protezione accesso alla rete sulla rete intranet. Per i client Protezione accesso alla rete individuare il HRA su intranet, è possibile possibile configurarli con un gruppo di server trusted, ovvero un elenco di URL per il HRA sulla rete intranet, o l'individuazione di Autorità registrazione integrità (vedere l'intestazione laterale "Rilevamento integrità e a Internet HRA").
Quando i client di protezione accesso alla rete avvia, sono individuare un'Autorità registrazione integrità della rete Intranet, inviare lo stato di integrità e, se è compatibile con, ottenere un certificato di integrità. Quando i client di protezione accesso alla rete avviare comunicazioni con altri endpoint di rete intranet, tenta di negoziare la protezione IPsec per il traffico utilizzando le credenziali certificato di integrità. Se la negoziazione di IPsec non riesce, il client Protezione accesso alla rete si connette senza protezione IPsec. Se cambia stato di integrità o di rete del client Protezione accesso alla rete compatibile con, esegue un controllo di integrità di sistema con un'Autorità registrazione integrità e se è compatibile con, ottiene un nuovo certificato. Se esistono le condizioni dello stato di sistema che devono essere corretti, il client alla dovranno correggerli prima di ottenere un certificato di integrità.
Rilevamento di Autorità registrazione integrità e HRA a Internet
Un client alla possibile utilizzare il rilevamento integrità per rilevare automaticamente il HRA su una rete. Anziché configurare un elenco di URL in un gruppo di server trusted, un client di protezione accesso alla rete è attivato Individuazione di Autorità registrazione integrità tenta di individuare un'Autorità registrazione integrità mediante l'invio di una query DNS i record SRV per _hra._tcp.site_name._sites.domain_name. Ad esempio, se un client di protezione accesso alla rete primario dominio è contoso.com e il client utilizza il sito di Active Directory predefinito e ha l'Autorità registrazione integrità attivato il rilevamento, eseguirà una query per i record SRV per _hra._tcp.default-primo-sito-name._sites.contoso.com. Il record SRV per HRA contiene il nome di dominio completo (FQDN) dell'Autorità registrazione integrità. Record DNS SRV per HRA deve essere configurato manualmente nelle aree appropriate.
Per protezione accesso alla rete su Internet, è possibile configurare intranet che SRV Autorità registrazione integrità record per il FQDN della rete intranet HRA e i record SRV Autorità registrazione integrità Internet per i nomi FQDN del HRA a Internet. Il client alla query per lo stesso nome e tipo di record, ma ottiene FQDN differenti vengono base sul percorso.
Per attivare il rilevamento integrità per i client di protezione accesso alla rete che ricevono la configurazione protezione accesso alla rete tramite Criteri di gruppo, impostare il valore di HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery del Registro di sistema (tipo DWORD) su 1.
Per ulteriori informazioni, vedere" Configurare il rilevamento automatico di Autorità registrazione integrità ."
Protezione accesso alla rete su Internet
Quando un computer del client Protezione accesso alla rete configurato per l'imposizione IPsec lascia la rete intranet e si connette a Internet, il client alla ancora tenta di individuare un'Autorità registrazione integrità. Poiché il computer comune su Internet non è più possibile contattare un'Autorità registrazione integrità intranet ed eseguire la convalida integrità sistema, non è più possibile determinare se è compatibile con i criteri di integrità del sistema e come correggere l'integrità del sistema. Con il passare del tempo, un client di protezione accesso alla rete che si sposta Internet possibile terminare con sistema operativo mancante, o gli aggiornamenti dell'applicazione o l'utente, in base al livello di privilegio, è possibile eseguire modifiche della configurazione che mettere il computer a rischio, ad esempio la disattivazione del firewall host.
Quando il computer non conforme termina alla rete Intranet, deve innanzitutto correggere l'integrità del sistema prima di ottenere un certificato di integrità e iniziare a comunicare. Mentre il computer non conforme è essere risolte, vi è il rischio che può infettare altri computer della rete intranet che non sono protetti da IPsec.
Posizionando HRA su Internet e configurazione client Protezione accesso alla rete per individuarli, client Protezione accesso alla rete su Internet possibile verificare le condizioni in modo continuativo come se questi fosse connesso alla rete Intranet. Sebbene il certificato di integrità non viene utilizzato per eseguire l'autenticazione del peer IPsec, il client alla convalida ancora lo stato di integrità. Se autoremediation è attivata, il client alla tenterà automaticamente di risolvere lo stato di integrità per ridurre i rischi al computer mentre è su Internet. Autoremediation mantiene il computer conformi ai requisiti di integrità del sistema dell'organizzazione senza alcun intervento da parte dell'utente. Un computer portatile è già compatibile restituzione da Internet notevolmente riduce il rischio di infezione alle risorse intranet.
Monitoraggio e aggiornamento dei problemi di integrità del sistema è limitato alle funzionalità di agenti di integrità del sistema (SHAs) e potrebbe essere necessario distribuire i server delle contromisure aggiuntive su Internet.
Si noti che per impostazione predefinita, i client di protezione accesso alla rete provare l'autenticazione Kerberos durante la connessione il HRA a Internet. Poiché un controller di dominio non è disponibile su Internet, l'autenticazione non riuscirà. Di conseguenza, è necessario eseguire il comando seguente sul HRA a Internet in modo che i client di protezione accesso alla rete utilizzano l'autenticazione NTLM:
%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
/-providers.[value='Negotiate']
È possibile utilizzare le informazioni registrate dai server criteri di integrità protezione accesso alla rete per determinare la conformità di integrità generale dei client Protezione accesso alla rete che sono comuni su Internet.
Se il HRA a Internet è separati dalla rete intranet HRA, è possibile configurare un insieme separato di criteri di requisito dello stato per i client Protezione accesso alla rete connesso a Internet. Ad esempio, è possibile configurare set di criteri di rete separati, specificando l'indirizzo IP del HRA come una condizione. I criteri di richiesta dello stato intranet utilizzano tutte le SHAs, ad esempio l'Agente integrità protezione di Windows (WSHA), il SHA Forefront e System Center Configuration Manager (SCCM) SHA. Set di Internet della finestra di stato requisito criteri utilizzare solo il WSHA.
Protezione accesso alla rete su Internet, un esempio
La figura 1 mostra un'illustrazione semplificata di come la Contoso Corporation ha distribuito protezione accesso alla rete su Internet.
Figura 1 distribuzione di protezione accesso alla rete su Internet
In questo esempio, il HRA Internet fisicamente connessi alla Internet e della rete intranet in modo che possono raggiungere la CA di protezione accesso alla rete e l'integrità di protezione accesso alla rete criterio server. Per proteggere il HRA a Internet, le impostazioni del firewall consentono il traffico porta 443 TCP solo da HRA a Internet e corrispondente a SSL sul traffico HTTP.
Si supponga che HRA la rete intranet hanno nomi hra1.corp.contoso.com e hra2.corp.contoso.com. Il HRA a Internet dispone di nomi int_hra1.contoso.com e int_hra2.contoso.com. Naturalmente, i server DNS della rete intranet Impossibile risolvere il int_hra1.contoso.com nomi e il server DNS di Internet e int_hra2.contoso.com Impossibile risolvere i nomi hra1.corp.contoso.com hra2.corp.contoso.com.
Con questa configurazione, l'amministratore della rete di Contoso configura un gruppo di server trusted con il seguente elenco di URL:
- https://hra1.corp.contoso.com/domainhra/hcsrvext.dll
- https://hra2.corp.contoso.com/domainhra/hcsrvext.dll
- https://int_hra1.contoso.com/domainhra/hcsrvext.dll
- https://int_hra2.contoso.com/domainhra/hcsrvext.dll
I client di protezione accesso alla rete provare HRA la rete intranet e quindi il HRA a Internet.
Un client di protezione accesso alla rete della rete Intranet si connetterà a HRA1 o HRA2. Un client di protezione accesso alla rete su Internet prima tenterà di risolvere i nomi hra1.corp.contoso.com hra2.corp.contoso.com. Questi due risoluzione nome rapidamente tenta di risultato in un errore di nome DNS non trovato. Il client alla quindi correttamente risolve int_hra1.contoso.com o int_hra2.contoso.com e si connette a INT_HRA1 o INT_HRA2.
Riepilogo
Dopo la distribuzione dello scenario di imposizione IPsec sulla rete intranet, l'estensione di convalida di conformità di integrità e la correzione per i client connessi a Internet NAP è relativamente semplice, che richiedono di alcuni server aggiuntivi per il HRA a Internet (o ruoli aggiuntivi per i server a Internet esistenti). Inoltre, a seconda del modo in cui i client di protezione accesso alla rete individuano HRA, sarà necessario pubblicare i record DNS Internet per il HRA a Internet e aggiornare i gruppi di server trusted. È inoltre possibile creare un insieme aggiuntivo di integrità i criteri di richiesta per specificare i controlli di integrità sistema e il comportamento autoremediation per client di protezione accesso alla rete connesso a Internet.
Joseph Davies è Principal Technical Writer sulle reti di Windows la scrittura del team di Microsoft. È autore e coautore di numerosi libri pubblicati da Microsoft Press, tra cui Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition e Windows Server 2008 TCP/IP Protocols and Services.