.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } The Cable Guy NAP na Internet
Joseph Davies
Conteúdo
Visão geral de imposição de IPsec
NAP na Internet
NAP na Internet, um exemplo
Resumo
NAP (proteção de acesso da rede) na Internet é correção contínua da integridade do sistema para computadores gerenciados que são móveis na Internet e a evolução natural de imposição de Internet Protocol Security (IPsec) que estende a verificação da integridade. NAP na Internet permite que um modelo de segurança mais seguro e baseado em host para computadores que ingressaram no domínio conectado à Internet de qualquer lugar, a qualquer momento. Por exemplo, um computador móvel conectar a uma rede Wi-Fi em uma lanchonete local pode usar NAP na Internet para avaliar e corrigir sua integridade do sistema sem conhecimento ou intervenção do usuário.
Antes de entrarmos em detalhes, vamos examinar algumas das noções básicas e os detalhes de implantação sobre imposição de NAP e IPsec.
Visão geral de imposição de IPsec
Imposição de IPsec é uma extensão do cenário de isolamento de domínio que incorpora uma avaliação de integridade NAP como parte do processo de autenticação IPsec de mesmo nível. No cenário de isolamento de domínio, você deve configurar os membros do domínio com configurações de diretiva IPsec para exigir que todas as conexões de entrada ser autenticadas e protegidas (criptografia de tráfego é opcional). Protocolos IPsec de mesmo nível pode usar o Kerberos ou certificados digitais para autenticação. Membros do domínio têm automaticamente as credenciais Kerberos e certificados podem ser implantados automaticamente para membros do domínio com uma CA (autoridade de certificação com base no Windows) e a diretiva de grupo.
Para a imposição de NAP de IPsec, a credencial de autenticação de mesmo nível IPsec é um certificado de integridade que contém o sistema integridade autenticação chave EKU (uso avançado). Diretiva IPsec para imposição de IPsec requer que todas as tentativas de conexão entrada use um certificado de integridade para autenticação. Isso garante que o ponto de iniciar a comunicação não é apenas um membro do domínio, mas também é compatível com requisitos de integridade do sistema. No modo de aplicação total, se um cliente NAP não tiver um certificado de integridade, a autenticação de mesmo nível IPsec falhar e o cliente NAP incompatível não é possível iniciar comunicações com um ponto IPsec compatível.
Quando um cliente NAP configurado para imposição de IPsec é iniciado, ele contata uma autoridade de registro de integridade (HRA). Uma HRA é um computador que executam o Windows Server 2008, o Internet Information Services (IIS) e o serviço de função HRA da função de serviços de acesso e diretiva de rede. A HRA obtém um certificado X.509 de uma autoridade de certificação em nome de um cliente NAP quando o servidor de diretiva de integridade de NAP determinou que o cliente é compatível com.
Para obter certificados de integridade para clientes NAP compatíveis, você deve configurar seus HRAs com os locais das CAs NAP na sua intranet. Para clientes NAP localizar as HRAs em sua intranet, você pode ou configurá-los com um grupo de servidores confiáveis — uma lista de URLs para HRAs na sua intranet — ou HRA descoberta (consulte a barra lateral "Descoberta HRA e HRAs voltados para a Internet").
Quando os clientes NAP inicia, eles localize uma HRA na intranet, enviar seu status de integridade e, se compatível, obter um certificado de integridade. Quando os clientes NAP iniciem comunicações com outros pontos de extremidade da intranet, eles tentam negociar a proteção de IPsec para o tráfego usando a credencial de certificado de integridade. Se a negociação IPsec falhar, o cliente NAP conecta-se sem proteção de IPsec. Se integridade ou rede estado um cliente NAP compatíveis com alterado, ele faz uma verificação de integridade adicional do sistema com uma HRA e se for compatível, ele obtém um novo certificado. Se houver condições de integridade do sistema que precise ser corrigido, será necessário o cliente NAP para corrigi-los antes de obter um certificado de integridade.
Descoberta HRA e HRAs voltados para a Internet
Um cliente NAP também pode usar descoberta HRA para descobrir automaticamente HRAs em uma rede. Em vez de configurar uma lista de URLs em um grupo de servidores confiáveis, um cliente NAP que tem descoberta HRA habilitada tenta localizar uma HRA enviando uma consulta DNS sobre registros SRV para _hra._tcp.site_name._sites.domain_name. Por exemplo, se um cliente NAP primário domínio é contoso.com e o cliente está usando o site do Active Directory padrão e HRA descoberta habilitada, ele consultará para os registros SRV para _hra._tcp.default-primeiro-site-name._sites.contoso.com. O registro SRV para HRAs contém o FQDN (nome de domínio totalmente qualificado) da HRA. Os registros de servidor DNS para HRAs devem ser configurados manualmente nas zonas apropriadas.
Para NAP na Internet, você configurar registros de servidor HRA para FQDNs de sua intranet HRAs e Internet HRA os registros SRV para FQDNs de seus HRAs voltados para a Internet de intranet. O cliente NAP consultará o mesmo nome e tipo de registro, mas obtém FQDNs diferentes dependendo da localização.
Para ativar a descoberta HRA para clientes NAP que recebem a configuração de NAP por meio da diretiva de grupo, defina o valor de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery (tipo DWORD) como 1.
Para obter mais informações, consulte" Configurar HRA descoberta automática ."
NAP na Internet
Quando um computador de cliente NAP configurado para imposição de IPsec sai da intranet e se conecta à Internet, o cliente NAP ainda tenta localizar uma HRA. Porque o computador móvel na Internet não pode contatar uma intranet HRA e executa validação de integridade do sistema, ele não pode determinar se é compatível com as diretivas de integridade do sistema e como corrigir a integridade do sistema. Com o passar do tempo, um cliente NAP que se movimenta na Internet pode acabar com sistema operacional ausente ou atualizações de aplicativos ou o usuário, dependendo do seu nível de privilégio, pode executar alterações de configuração que colocam o computador em risco, como desabilitar o firewall de host.
Quando o computador incompatível retorna para a intranet, ele deve primeiro remediar a integridade do sistema antes de obter um certificado de integridade e começar a comunicá. Enquanto o computador incompatível está sendo remediado, há um risco de que ele pode infectar outros computadores da intranet que não são protegidos por IPsec.
Colocando HRAs na Internet e configurar os clientes NAP para localizá-los, clientes NAP na Internet podem verificar sua integridade em uma base contínua como se estivessem conectados à intranet. Embora o certificado de integridade não seja usado para executar autenticação de mesmo nível IPsec, o cliente NAP ainda está validando o estado de integridade. Se autoremediation estiver habilitada, o cliente NAP automaticamente tentará corrigir seu estado de integridade para atenuar os riscos para o computador enquanto estiver na Internet. Autoremediation mantém o computador compatível com requisitos de integridade de sistema da organização sem a necessidade de intervenção do usuário. Um computador móvel já é compatível com retorno de Internet muito reduz o risco de infecção aos recursos da intranet.
Correção de problemas de integridade do sistema é limitada a funcionalidade de agentes de integridade do sistema (SHAs) e pode exigir que você implantar servidores de remediação adicionais na Internet.
Observe que, por padrão, os clientes NAP tente a autenticação Kerberos ao se conectar a HRAs voltados para a Internet. Como um controlador de domínio não estiver disponível na Internet, essa autenticação falhará. Portanto, você deve executar o comando a seguir no HRAs voltados para a Internet para que os clientes NAP usam a autenticação NTLM:
%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
/-providers.[value='Negotiate']
Você pode usar as informações registradas por seus servidores de diretiva de integridade para determinar a conformidade de integridade geral dos clientes NAP que está em roaming na Internet.
Se seu HRAs voltados para a Internet estiverem separadas da sua intranet HRAs, você pode configurar um conjunto separado de diretivas de requisito de integridade para os clientes NAP conectado à Internet. Por exemplo, você pode configurar conjuntos separados de diretivas de rede, especificando o endereço IP dos HRAs como uma condição. As diretivas de requisito de integridade de intranet usam todos os seus SHAs, como o Windows segurança integridade agente (WSHA), o SHA Forefront e o SCCM (System Center Configuration Manager) SHA. Definir a Internet de uso de diretivas de requisito de integridade somente o WSHA.
NAP na Internet, um exemplo
Figura 1 mostra uma ilustração simplificada de como a Contoso Corporation implantou NAP na Internet.
Figura 1 Implantando NAP na Internet
Neste exemplo, HRAs voltados para a Internet estão conectadas fisicamente a da Internet e a intranet para que eles podem alcançar as CAs de NAP e a integridade NAP servidores de diretiva de. Para proteger HRAs voltados para a Internet, configurações de firewall permitem somente tráfego de porta 443 TCP e HRAs voltados para a Internet, correspondente ao SSL sobre tráfego HTTP.
Digamos que HRAs intranet têm o hra1.corp.contoso.com nomes e hra2.corp.contoso.com. HRAs voltados para a Internet têm o int_hra1.contoso.com nomes e int_hra2.contoso.com. É claro, servidores DNS da intranet não podem resolver int_hra1.contoso.com nomes e int_hra2.contoso.com e servidores DNS voltados para a Internet não é possível resolver o nomes hra1.corp.contoso.com e hra2.corp.contoso.com.
Com essa configuração, o administrador de rede da Contoso configura um grupo de servidores confiáveis com a lista a seguir de URLs:
- https://hra1.corp.contoso.com/domainhra/hcsrvext.dll
- https://hra2.corp.contoso.com/domainhra/hcsrvext.dll
- https://int_hra1.contoso.com/domainhra/hcsrvext.dll
- https://int_hra2.contoso.com/domainhra/hcsrvext.dll
Os clientes NAP primeiro tente HRAs intranet e, em seguida, HRAs voltados para a Internet.
Um cliente NAP na intranet se conectará ao HRA1 ou HRA2. Um cliente NAP na Internet tentará resolver nomes hra1.corp.contoso.com e hra2.corp.contoso.com primeiro. Esses dois resolução rapidamente tentativas resultam em um erro de nome DNS não encontrado. O cliente NAP, em seguida, com êxito resolve int_hra1.contoso.com ou int_hra2.contoso.com e se conecta ao INT_HRA1 ou INT_HRA2.
Resumo
Depois que o cenário de imposição IPsec foi implantado na sua intranet, estendendo a validação de conformidade de integridade e a correção para clientes NAP conectado à Internet é relativamente fácil, a necessidade de alguns servidores adicionais para HRAs voltados para a Internet (ou funções adicionais para os servidores de Internet existentes). Além disso, dependendo de como os clientes NAP localizam HRAs, talvez você precise publicar registros DNS de Internet para HRAs voltados para a Internet e atualizar os grupos de servidores confiáveis. Você também pode criar um conjunto adicional de integridade de diretivas de requisito para especificar a verificações de integridade do sistema e o comportamento autoremediation para clientes NAP conectado à Internet.
Joseph Davies é redator de técnico de segurança a rede do Windows escrevendo equipe da Microsoft. Ele é autor e co-autor de um número de livros publicados pela Microsoft Press, incluindo Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition e Windows Server 2008 TCP/IP Protocols and Services.