The Cable Guy: DirectAccess con Protezione accesso alla rete

DirectAccess è funzionale già di per sé, ma combinato con Protezione accesso alla rete è una vera bomba!

The Cable Guy

Gli utenti remoti possono ora usufruire di un accesso più protetto alle reti aziendali. DirectAccess è una nuova funzionalità di Windows 7 e Windows Server 2008 R2 che conferisce agli utenti remoti l'accesso protetto a risorse Intranet senza doversi connettere a una rete VPN.

Anche Protezione accesso alla rete è integrato in Windows Server 2008 R2 e Windows 7 e consente di monitorare e valutare l'integrità dei computer client in fase di connessione o comunicazione con una rete.

La combinazione dei due componenti risulta assolutamente vincente. DirectAccess con Protezione accesso alla rete consente di specificare l'accesso alle risorse Intranet tramite Internet per i soli client DirectAccess che soddisfano i requisiti di integrità del sistema.

Tunnel DirectAccess

I client DirectAccess che utilizzano i modelli di accesso completo alla Intranet o accesso a server selezionati creano i tunnel IPsec seguenti a un server DirectAccess:

• Tunnel di infrastruttura: raggiunge i server DNS della Intranet e i controller di dominio Servizi di dominio Active Directory. Per impostazione predefinita, questo tunnel necessita di credenziali NT LAN Manager versione 2 (NTLMv2) per un account computer e un certificato computer per l'autenticazione. Il client DirectAccess crea il tunnel prima dell'accesso da parte dell'utente.
• Tunnel di gestione: raggiunge ulteriori percorsi della Intranet prima dell'accesso da parte dell'utente. Anche i server di gestione Intranet possono creare questo tunnel per gestire in remoto i client DirectAccess. In modo analogo al tunnel di infrastruttura, per impostazione predefinita, anche questo tunnel necessita di credenziali NTLMv2 per un account computer e un certificato computer per l'autenticazione.
• Tunnel di Intranet: raggiunge i percorsi della Intranet non inclusi nell'elenco degli indirizzi di destinazione nelle regole del tunnel di gestione e del tunnel dell'infrastruttura dopo l'accesso da parte dell'utente. Per impostazione predefinita, questo tunnel necessita di credenziali Kerberos per un account utente e un certificato computer per l'autenticazione.

Protezione accesso alla rete e imposizione IPsec

Per applicare i requisiti di integrità del sistema per la connessione o la comunicazione è possibile distribuire Protezione accesso alla rete in vari modi. Il metodo di imposizione IPsec utilizza certificati di integrità: certificati digitali con l'ID oggetto Autenticazione integrità sistema nel campo Utilizzo avanzato chiave e regole di protezione della connessione IPsec che necessitano della protezione IPsec del traffico Intranet e dell'autenticazione peer IPsec con certificati di integrità.

Questa combinazione è in grado di applicare i requisiti di integrità del sistema per la comunicazione tra vari computer in una Intranet. I computer non conformi ai requisiti di integrità del sistema e sprovvisti di un certificato di integrità non sono in grado di avviare una comunicazione nella Intranet.

La distribuzione di un'imposizione IPsec richiede i componenti seguenti:

• Autorità registrazione integrità: un server Web che riceve e risponde ai client Protezione accesso alla rete e alle relative richieste per convalidare l'integrità dei sistemi e ottenere un certificato di integrità.
• Autorità di certificazione Protezione accesso alla rete: un'autorità di certificazione in un'infrastruttura a chiave pubblica (PKI), in genere dedicata, che emette certificati di integrità per i client Protezione accesso alla rete conformi.
• Server criteri di integrità Protezione accesso alla rete: un server dei criteri di rete che convalida le richieste di integrità del sistema.
• Server di monitoraggio e aggiornamento: i server che contengono client Protezione accesso alla rete di risorse necessitano di correggere l'integrità di sistema non conforme.

I cicli di vita dei certificati di integrità ricavati tramite Autorità registrazione integrità sono brevi, in genere calcolati in ore. È inoltre possibile emettere certificati di integrità di esenzione con cicli di vita estesi per i server che richiedono certificati di integrità per l'autenticazione peer IPsec ma non necessitano di eseguire la convalida dell'integrità del sistema.

DirectAccess con Protezione accesso alla rete

DirectAccess con Protezione accesso alla rete integra la conformità di integrità del sistema con il processo di connessione DirectAccess. Se si combina DirectAccess con Protezione accesso alla rete per applicare requisiti di integrità del sistema prima di consentire l'accesso alle risorse Intranet, viene utilizzata l'infrastruttura di Protezione accesso alla rete per emettere certificati di integrità (Autorità registrazione integrità, Autorità di certificazione Protezione accesso alla rete, server criteri di integrità Protezione accesso alla rete) e correggere l'integrità del sistema (server di monitoraggio e aggiornamento). È inoltre possibile usufruire di regole di protezione della connessione DirectAccess per i tunnel di infrastruttura, gestione e Intranet.

Per impostazione predefinita, le regole di protezione della connessione configurate nel server e nel client DirectAccess per i tunnel di infrastruttura, gestione e Intranet non necessitano di certificati di integrità per l'autenticazione. Il set di regole che è necessario modificare per richiedere certificati di integrità dipendono dai fattori seguenti:

• Modalità di distribuzione Protezione accesso alla rete (reporting o imposizione completa)

La modalità reporting non richiede la conformità dell'integrità del sistema. I client DirectAccess non conformi possono accedere alla Intranet e non sono pertanto richieste modifiche per le regole di protezione della connessione DirectAccess.

La modalità imposizione completa richiede la conformità dell'integrità del sistema. In questa modalità è necessario configurare regole di protezione della connessione per richiedere certificati di integrità, anziché normali certificati computer.

• Posizione di server Autorità registrazione integrità e di server di monitoraggio e aggiornamento

È possibile posizionare server Autorità registrazione integrità e server di monitoraggio e aggiornamento nella Intranet o in Internet.

Nelle sezioni seguenti vengono descritte queste due possibili posizioni e le modifiche risultanti che sarà necessario apportare per fare in modo che le regole di protezione della connessione richiedano certificati di integrità.

Server Autorità registrazione integrità e server di monitoraggio e aggiornamento basati su Intranet

Se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento sono posizionati nella Intranet, i client DirectAccess devono potervi accedere con certificati computer ma non certificati di integrità. La convalida dell'integrità si verifica successivamente alla creazione dei tunnel di infrastruttura e gestione. Il client DirectAccess necessita del tunnel di infrastruttura per accedere a un server DNS Intranet e poter risolvere nomi Intranet e del tunnel di gestione per accedere ai server Autorità registrazione integrità e ai server di monitoraggio e aggiornamento.

Figura 1  DirectAccess con Protezione accesso alla rete se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento si trovano nella Intranet.

Per la modalità imposizione completa, tuttavia, il client DirectAccess necessita di un certificato di integrità prima di poter raggiungere altre risorse Intranet. Il requisito del certificato di integrità viene pertanto applicato esclusivamente alle regole di protezione della connessione per il tunnel di Intranet.

Passaggi per la configurazione

Per configurare DirectAccess con Protezione accesso alla rete se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento si trovano nella Intranet, è necessario:

• Aggiungere gli indirizzi IPv6 dei server Autorità registrazione integrità e dei server di monitoraggio e aggiornamento all'elenco dei server gestiti. È possibile eseguire questa operazione nel terzo passaggio della Configurazione guidata DirectAccess o tramite comandi Netsh.exe.
• Configurare la regola del tunnel di Intranet nell'oggetto Criteri di gruppo del server DirectAccess per richiedere certificati di integrità con un comando Netsh.exe.

Per la procedura dettagliata consultare la pagina relativa alla configurazione di regole di protezione della connessione DirectAccess per Protezione accesso alla rete.

Se si utilizza Netsh.exe per personalizzare regole di protezione della connessione DirectAccess, le modifiche verranno sovrascritte alla successiva applicazione delle impostazioni della Configurazione guidata DirectAccess. Per garantire che vengano mantenute le impostazioni personalizzate, è necessario non utilizzare più la Configurazione guidata DirectAccess per le modifiche alla configurazione oppure compilare un elenco di modifiche personalizzate in uno script da eseguire a ogni applicazione delle impostazioni della Configurazione guidata DirectAccess.

Come funziona

Nel processo seguente viene illustrato il funzionamento di DirectAccess con Protezione accesso alla rete per un client DirectAccess se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento si trovano esclusivamente nella Intranet:

1. Nel momento in cui il client DirectAccess viene avviato e tenta di accedere al dominio Servizi di dominio Active Directory con l'account computer, crea il tunnel di infrastruttura utilizzando il certificato computer [tunnel di infrastruttura].
2. All'avvio dell'agente Protezione accesso alla rete il client DirectAccess risolve il nome di dominio completo dell'URL di un'Autorità registrazione integrata configurata, crea il tunnel di gestione utilizzando il certificato computer e quindi invia le informazioni sullo stato di integrità corrente all'Autorità registrazione integrata [tunnel di gestione].
3. L'Autorità registrazione integrata invia le informazioni sullo stato di integrità del client DirectAccess al server criteri di integrità Protezione accesso alla rete [traffico Intranet].
4. Il server criteri di integrità Protezione accesso alla rete valuta le informazioni sullo stato di integrità del client DirectAccess, determina se è conforme e invia i risultati all'Autorità registrazione integrata [traffico Intranet].
5. L'Autorità registrazione integrata invia al client DirectAccess i risultati della valutazione dell'integrità [tunnel di gestione].
6. Supponendo uno stato di integrità conforme, l'autorità ottiene un certificato di integrità da un'autorità di certificazione Protezione accesso alla rete e lo invia al client DirectAccess [tunnel di gestione].
7. Nel momento in cui il client DirectAccess tenta di accedere a una risorsa nella Intranet, creerà in primo luogo il tunnel di Intranet utilizzando il certificato di integrità [tunnel di Intranet].

Se il client DirectAccess non è conforme:

1. L'autorità registrazione integrata invia al client DirectAccess i risultati della valutazione dell'integrità, incluse le istruzioni sul monitoraggio e sull'aggiornamento dell'integrità, e non ottiene un certificato di integrità [tunnel di gestione].
2. A seconda dei componenti installati per la valutazione dell'integrità, il client DirectAccess potrebbe dover accedere ai server di monitoraggio e aggiornamento per correggere lo stato di integrità. In questo caso, il client DirectAccess invierà richieste di aggiornamento ai server di monitoraggio e aggiornamento appropriati [tunnel di gestione].
3. I server di monitoraggio effettuano il provisioning del client DirectAccess con le impostazioni o gli aggiornamenti necessari per rispettare la conformità ai requisiti di integrità del sistema [tunnel di gestione].
4. Il client DirectAccess invia le informazioni aggiornate sullo stato di integrità all'Autorità registrazione integrata [tunnel di gestione].
5. L'autorità invia le informazioni aggiornate sullo stato di integrità al server criteri di integrità Protezione accesso alla rete. Supponendo che siano stati effettuati tutti gli aggiornamenti necessari, il server criteri di integrità Protezione accesso alla rete determina che il client DirectAccess sia conforme e invia il risultato all'Autorità registrazione integrata [traffico Intranet].
6. L'autorità ottiene un certificato di integrità dall'Autorità di certificazione Protezione accesso alla rete [traffico Intranet].
7. L'autorità invia il certificato di integrità al client DirectAccess [tunnel di gestione].
8. Nel momento in cui il client DirectAccess tenta di accedere a una risorsa nella Intranet, creerà il tunnel di Intranet utilizzando il certificato di integrità [tunnel di Intranet].

Server Autorità registrazione integrità e server di monitoraggio e aggiornamento basati in Internet

Se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento sono posizionati solo in Internet, sono sempre accessibili dai client DirectAccess e l'integrazione del sistema viene convalidata indipendentemente dai tunnel DirectAccess.

Nella Figura 2 è illustrata la configurazione se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento si trovano solo in Internet. Per ulteriori informazioni su questa configurazione consultare l'articolo relativo a Protezione accesso alla rete in Internet di The Cable Guy (giugno 2009).

Figura 2  DirectAccess con Protezione accesso alla rete se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento si trovano in Internet.

Per la modalità imposizione completa il client DirectAccess necessita di un certificato di integrità prima di poter raggiungere qualsiasi risorsa Intranet, ad eccezione dei server di gestione, che potrebbero essere necessari per gestire o supportare in remoto i client DirectAccess non conformi dalla Intranet. Il requisito di un certificato di integrità viene pertanto applicato alle regole di protezione della connessione per i tunnel di infrastruttura, Intranet e gestione (facoltativo).

Passaggi per la configurazione

Per configurare DirectAccess con Protezione accesso alla rete se le Autorità registrazione integrità i server di monitoraggio e aggiornamento si trovano in Internet, è necessario modificare le regole dei tunnel di infrastruttura, Intranet e gestione nell'oggetto Criteri di gruppo del server DirectAccess per richiedere certificati di integrità con comandi Netsh.exe.

I seguenti comandi utilizzano i nomi predefiniti degli oggetti Criteri di gruppo e delle regole di protezione della connessione in base a quanto indicato nella Configurazione guidata DirectAccess in Windows Server 2008 R2:

1. A un prompt dei comandi a livello di amministratore eseguire il comando netsh –c advfirewall.
2. Al prompt netsh advfirewall eseguire i comandi seguenti:

set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

Note: DomainName è il nome di dominio completo del dominio Servizi di dominio Active Directory. CANameString è il valore del campo Auth1CAName nella visualizzazione del comando consec show rule name="DirectAccess Policy-DaServerToCorp".

Eseguire quest'ultimo comando solo se sono presenti server di gestione definiti e si desidera impedirvi l'accesso da parte di client DirectAccess non conformi.

Come funziona

Nel processo seguente viene illustrato il funzionamento di DirectAccess con Protezione accesso alla rete per un client DirectAccess se i server Autorità registrazione integrità e i server di monitoraggio e aggiornamento si trovano esclusivamente in Internet:

1. Nel momento in cui il client DirectAccess viene avviato, tenterà di accedere al dominio Servizi di dominio Active Directory con l'account computer e creerà il tunnel di infrastruttura. Poiché il client DirectAccess non dispone del certificato di autenticazione, il tentativo avrà esito negativo [traffico Internet].
2. All'avvio dell'agente Protezione accesso alla rete il client DirectAccess risolve il nome di dominio completo dell'URL di un'Autorità registrazione integrata e quindi invia le informazioni correnti sullo stato di integrità all'Autorità registrazione integrata in Internet [traffico Internet].
3. L'Autorità registrazione integrata invia le informazioni sullo stato di integrità del client DirectAccess a un server criteri di integrità Protezione accesso alla rete [traffico Intranet].
4. Il server criteri di integrità Protezione accesso alla rete valuta le informazioni sullo stato di integrità del client DirectAccess, determina se sia conforme e invia i risultati all'Autorità registrazione integrata [traffico Intranet].
5. L'Autorità registrazione integrata invia al client DirectAccess i risultati della valutazione dell'integrità [traffico Internet].
6. Supponendo uno stato di integrità conforme, l'autorità ottiene un certificato di integrità da un'autorità di certificazione Protezione accesso alla rete e lo invia al client DirectAccess [traffico Internet].
7. Al successivo tentativo da parte del computer client DirectAccess di accedere al dominio Servizi di dominio Active Directory con l'account computer o risolvere un nome di dominio completo Intranet, creerà in primo luogo il tunnel di infrastruttura utilizzando il certificato di integrità [tunnel di infrastruttura].
8. Nel momento in cui il client DirectAccess necessita di accedere a una risorsa nella Intranet, creerà in primo luogo il tunnel di Intranet utilizzando il certificato di integrità [tunnel di Intranet].

Se il client DirectAccess non è conforme:

1. L'autorità registrazione integrata invia al client DirectAccess i risultati della valutazione dell'integrità, incluse le istruzioni sul monitoraggio e sull'aggiornamento dell'integrità, e non ottiene un certificato di integrità [traffico Internet].
2. A seconda dei componenti installati per la valutazione dell'integrità, il client DirectAccess potrebbe dover accedere ai server di monitoraggio e aggiornamento per correggere lo stato di integrità. In questo caso, il client DirectAccess invierà richieste di aggiornamento ai server di monitoraggio e aggiornamento appropriati [traffico Internet].
3. I server di monitoraggio effettuano il provisioning del client DirectAccess con le impostazioni o gli aggiornamenti necessari per rispettare la conformità ai requisiti di integrità del sistema [traffico Internet].
4. Il client DirectAccess invia le informazioni aggiornate sullo stato di integrità all'Autorità registrazione integrata [traffico Internet].
5. L'autorità invia le informazioni aggiornate sullo stato di integrità al server criteri di integrità Protezione accesso alla rete. Supponendo che siano stati effettuati tutti gli aggiornamenti necessari, il server criteri di integrità Protezione accesso alla rete determina che il client DirectAccess sia conforme e invia il risultato all'Autorità registrazione integrata [traffico Intranet].
6. L'autorità ottiene un certificato di integrità dall'Autorità di certificazione Protezione accesso alla rete [traffico Intranet].
7. L'autorità invia il certificato di integrità al client DirectAccess [traffico Internet].
8. Al successivo tentativo da parte del computer client DirectAccess di accedere al dominio Servizi di dominio Active Directory con l'account computer o risolvere un nome di dominio completo Intranet, creerà in primo luogo il tunnel di infrastruttura utilizzando il certificato di integrità [tunnel di infrastruttura].
9. Nel momento in cui il client DirectAccess necessita di accedere a una risorsa nella Intranet, creerà il tunnel di Intranet utilizzando il certificato di integrità [tunnel di Intranet].

Joseph Davies* è un autore tecnico principale nel team per la scrittura di testi relativi alle reti di Windows presso Microsoft. È autore e coautore di una serie di libri pubblicati da Microsoft Press, tra cui "Windows Server 2008 Networking and Network Access Protection (NAP)", "Understanding IPv6, Second Edition" e "Windows Server 2008 TCP/IP Protocols and Services".*

Contenuto correlato:

• DirectAccess con soluzione Protezione accesso alla rete
• Pagina Web introduttiva su DirectAccess
• Pagina Web con informazioni sul prodotto Protezione accesso alla rete