.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } 电缆专家 在 Internet 上的 NAP
Joseph Davies
内容
IPsec 实施概述
在 Internet 上的 NAP
NAP Internet 示例上
摘要
在 Internet 上的网络访问保护 (NAP) 是强制的自然发展的网际协议安全 (IPSec) 扩展运行状况检查系统运行状况强制的在 Internet 上漫游的托管计算机正在进行补救措施。 在 Internet 上的 NAP 允许在任何时候从任意位置,连接到 Internet 的加入域的计算机的更强的、 基于主机的安全模型。 渚嬪的方式 移动计算机连接到在本地咖啡店 Wi-Fi 网络可用于 NAP 在 Internet 上评估和解决其系统运行状况,在用户不知情或干预的情况下。
我们在详细信息之前,让我们回顾一些基础知识和有关 NAP 和 IPsec 强制在部署的详细信息。
IPsec 实施概述
IPsec 实施是包含一个 NAP 运行状况评估 IPsec 对等身份验证过程的一部分的域隔离方案的扩展。 在域的隔离情况下您使用 IPsec 策略设置需要的所有传入连接进行身份验证进行受保护配置域成员 (通信的加密是可选的)。 IPsec 对等方可以使用 Kerberos 或数字的证书进行身份验证。 域成员会自动拥有 Kerberos 的凭据,并且证书可以自动部署到与基于 Windows 的证书颁发机构 (CA) 和组策略的域成员。
对于 NAP 的 IPsec 强制,IPsec 对等身份验证的凭据运行状况证书是包含在系统状态身份验证增强密钥用法 (EKU) 证书。 IPsec 实施 IPsec 策略要求所有传入的连接尝试使用运行状况证书进行身份验证。 这可以确保对等方启动通信不只是域成员但也是符合系统运行状况要求。 在完整的强制模式下,如果 NAP 客户端没有运行状况证书 IPsec 对等身份验证失败,不符合要求的 NAP 客户端不能发起与一个兼容的 IPsec 对等通信。
对于 IPsec 强制配置 NAP 客户端启动时, 其联系人健康注册机构 (HRA)。 一个 HRA 是运行 Windows Server 2008,Internet Information Services (IIS) 和 HRA 角色服务网络策略和访问服务角色的计算机。 在 HRA 获取 X.509 证书从 CA 代表的 NAP 客户端时 NAP 运行状况策略服务器已经确定客户端兼容。
若要获得兼容的 NAP 客户端的运行状况证书,您必须配置 NAP 的 CA 的位置与您 HRAs 在 Intranet 上。 对于在您的 Intranet 中找到该 HRAs NAP 客户端,您可以或者配置它们与受信任的服务器组 — — 在 HRAs 在 Intranet 上的 URL 的列表或 HRA 发现 (请参阅侧栏 HRA 发现和面向 Internet 的 HRAs)。
NAP 客户端启动时, 它们找到的 HRA Intranet 上,提交它们的运行状况状态并,如果符合,获取健康证书。 NAP 客户端启动的其他 Intranet 终结点的通信时, 它们尝试协商 IPsec 保护为使用运行状况证书凭据的通信。 如果在 IPsec 协商在失败则 NAP 客户端连接没有 IPsec 保护。 如果将更改兼容的 NAP 客户端的运行状况或网络的状态有一个 HRA,使用一个额外的系统运行状况检查,并且如果符合,它获取新证书。 如果需要更正的系统运行状况条件必须 NAP 客户端将获取健康证书之前更正它们。
HRA 发现和面向 Internet 的 HRAs
NAP 客户端可以使用自动发现该 HRAs 在网络上的 HRA 发现。 而不是受信任的服务器组中配置的 URL 的列表,HRA 发现启用的 NAP 客户端尝试通过发送 _hra._tcp.site_name._sites.domain_name 的 SRV 记录的 DNS 查询中查找的 HRA。 例如,如果 NAP 客户端的主键域为 contoso.com,客户端使用默认的 Active Directory 站点和具有 HRA 启用发现,它将查询的 _hra._tcp.default 的第一个-站点-name._sites.contoso.com SRV 记录。 HRAs SRV 记录包含在完全限定域名 (FQDN),HRA。 HRAs DNS SRV 记录必须手动配置在相应区域中。
对于在 Internet 上的 NAP,您可以配置 HRA SRV 记录的 Intranet HRAs FQDN 和 Internet HRA SRV 记录为该 FQDN 您面向 Internet 的 HRAs 的 Intranet。 NAP 客户端查询相同的名称和记录类型,但根据位置获取不同的 FQDN。
为接收通过组策略的 NAP 配置 NAP 客户端启用 HRA 发现,将 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery 注册表值 (DWORD 类型) 设置为 1。
有关详细信息,请参阅" 配置 HRA 自动发现 ."
在 Internet 上的 NAP
NAP 客户端计算机配置为 IPsec 强制离开内联网和连接到 Internet 时, NAP 客户端仍尝试定位的 HRA。 因为在 Internet 上漫游的计算机不再可以与企业内部网 HRA 并执行系统运行状况验证,它不再可以确定它是否符合系统运行状况策略,以及如何解决其系统运行状况。 随着时间,漫游 Internet 的 NAP 客户端可以得到缺少鎿嶄綔绯荤粺或应用程序的更新或用户,取决于其权限级别可能执行危险如禁用主机防火墙将计算机的配置更改。
不符合要求的计算机返回到局域网时, 它必须先修正其系统运行状况,它可以获取健康证书并开始通信之前。 不符合要求的计算机正在 remediated 时, 没有它可以感染其他不受 IPsec 保护的企业内部网计算机的风险。
通过将 HRAs 放在 Internet 上配置 NAP 客户端定位它们,在 Internet 上的 NAP 客户端可以像它们已连接到 Intranet 不断其运行状况检查。 虽然运行状况证书不用于执行 IPsec 对等身份验证,NAP 客户端仍然验证其运行状况。 如果启用了 autoremediation,NAP 客户端将自动尝试更正其运行状况降低到 Internet 上计算机的风险。 将 Autoremediation 保持计算机符合组织的系统运行状况要求而无需用户干预的情况。 移动已符合极大地返回来自 Internet 的计算机可以降低感染 Intranet 资源的风险。
系统运行状况的问题的补救措施系统运行状况代理 (SHAs) 的功能有限,可能需要您部署在 Internet 上的其他修正服务器。
请注意,默认情况下,NAP 客户端将尝试 Kerberos 身份验证,连接到在面向 Internet 的 HRAs 时。 因为域控制器上不可用 Internet,则此身份验证将失败。 因此,您必须在面向 Internet 的 HRAs 上运行以下命令以便 NAP 客户端使用身份验证:
%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
/-providers.[value='Negotiate']
可以使用由 NAP 运行状况策略服务器记录的信息来确定总体运行状况符合性,在 Internet 上漫游的 NAP 客户端。
独立于您的 Intranet HRAs 您面向 Internet 的 HRAs 是否可以为您连接到 Internet 的 NAP 客户端配置单独的一组运行状况要求策略。 渚嬪的方式 ,您可以通过作为条件指定该 HRAs 的 IP 地址配置单独的网络策略集。 Intranet 的运行状况要求策略使用所有您 SHAs,如 Windows 安全状况代理 (WSHA)、 在 Forefront SHA 和在系统中心配置管理器 (SCCM) SHA。 Internet 运行状况要求策略使用的设置仅在 WSHA。
NAP Internet 示例上
图 1 显示了如何在 Contoso 公司已经部署在 Internet 上的 NAP 的一个简化的图。
图 1 部署在 Internet 上 NAP
此的示例在面向 Internet 的 HRAs 是物理上连接到 Internet 和企业内部网上,以便它们可以到达 NAP 的 CA 和 NAP 运行状况策略服务器。 要保护在面向 Internet 的 HRAs,防火墙设置允许仅 TCP 绔 彛 443 通信在面向 Internet 的 HRAs SSL 通过 HTTP 通信相对应。
让我们假设 Intranet HRAs 具有名称 hra1.corp.contoso.com 和 hra2.corp.contoso.com。 在面向 Internet 的 HRAs 具有名称 int_hra1.contoso.com 和 int_hra2.contoso.com。 当然,Intranet DNS 服务器无法解析该名称 int_hra1.contoso.com,并且 int_hra2.contoso.com 和面向 Internet 的 DNS 服务器无法解析姓名 hra1.corp.contoso.com hra2.corp.contoso.com。
这种配置 Contoso 的网络管理员配置受信任的服务器组与以下列表的 URL:
- https://hra1.corp.contoso.com/domainhra/hcsrvext.dll
- https://hra2.corp.contoso.com/domainhra/hcsrvext.dll
- https://int_hra1.contoso.com/domainhra/hcsrvext.dll
- https://int_hra2.contoso.com/domainhra/hcsrvext.dll
NAP 客户端首先尝试在 Intranet HRAs,然后在面向 Internet 的 HRAs。
在 Intranet 上的 NAP 客户端将连接到 HRA1 或 HRA2。 在 Internet 上的 NAP 客户端将首先尝试解决名称 hra1.corp.contoso.com hra2.corp.contoso.com。 快速将这些两个名称解析尝试一个 DNS 名称未找到错误导致。 NAP 客户端成功地解析 int_hra1.contoso.com 或 int_hra2.contoso.com 然后连接到 INT_HRA1 或 INT_HRA2。
摘要
已在 Intranet 上部署 IPsec 实施方案,扩展运行状况合规性验证和连接到 Internet 的 NAP 客户端的更正后相对容易,面向 Internet 的 HRAs (或其他现有的面向 Internet 的服务器角色) 需要一些其他的服务器。 此外,取决于如何在 NAP 客户端定位 HRAs,您可能需要在面向 Internet 的 HRAs 发布 Internet DNS 记录,并更新您的受信任的服务器组。 也可以创建一组额外的运行状况要求策略,以连接到 Internet 的 NAP 客户端的指定系统运行状况检查和 autoremediation 行为。
在编写 Microsoft 团队将 Windows 网络上一个主要技术作者 Joseph Davies 。 他是作者或数的出版的微软出版社,包括 Windows Server 2008 Networking and Network Access Protection (NAP),coauthor Understanding IPv6, Second Edition,和 Windows Server 2008 TCP/IP Protocols and Services。