• 發行項

.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } 纜線專家 在網際網路上的 NAP

Joseph Davies

內容

IPsec 強制概觀
在網際網路上的 NAP
NAP 的網際網路範例
摘要

網路存取保護 (NAP) 在網際網路上是自然演化過程的網際網路通訊協定安全性 (IPsec) 強制延伸健全狀況檢查] 和 [正在漫遊在網際網路上的受管理電腦的系統健康情況的持續的補救措施。 在網際網路上的 NAP 可讓您加入網域的電腦連線到網際網路從任何地方,在任何時候強壯且主機為基礎的安全性模型。 就例如一個行動電腦連線到在本機的咖啡店 Wi-Fi 網路就可以使用 NAP 在網際網路上,評估並更正其系統健康狀況,在使用者不知情或介入的情況。

我們進入詳細資料之前先讓我們來檢閱的一些基本概念和 NAP 和 IPsec 強制部署詳細。

IPsec 強制概觀

IPsec 強制是網域隔離案例包含做為 IPsec 對等驗證程序的一部分是 NAP 健康評估的擴充。 在網域的隔離案例您設定網域成員要求所有連入連線會驗證和保護的 IPsec 原則設定 (流量的加密是選擇性的)。 IPsec 對等可以使用 Kerberos 或 「 數位憑證來驗證。 網域成員會自動具有 Kerberos 的認證,且憑證可以自動部署到網域成員,以 Windows 為基礎的憑證授權單位 (CA) 」 和 「 群組原則]。

IPsec 強制的 NAP,IPsec 對等驗證的認證會是包含 [系統狀況驗證增強金鑰使用方式 (EKU) 的健康情況憑證。 IPsec 強制的 IPsec 原則需要的所有連入連線嘗試使用健康情況憑證進行驗證。 如此可確保對等個體起始通訊不是只有網域成員,但也是相容的系統健康需求。 在完整的強制模式,如果 NAP 用戶端並沒有健康情況憑證,IPsec 對等驗證失敗,而且不合格的 NAP 用戶端無法起始與相容的 IPsec 對等通訊。

IPsec 強制設定 NAP 用戶端啟動時, 它會連絡健康情況登錄授權單位 (HRA)。 HRA 就是執行 Windows Server 2008]、 [網際網路資訊服務 (IIS)] 及 [網路原則與存取服務角色 HRA 角色服務的電腦。 在 HRA 會從 CA,NAP 用戶端的身份取得 X.509 憑證,NAP 健康原則伺服器已經決定用戶端的相容時也一樣。

若要取得相容的 NAP 用戶端的健康情況憑證,您必須設定 NAP CA 的位置與您 HRAs 內部網路上的網站。 為內部網路上找不到 [HRAs NAP 用戶端,您可以是它們使用來設定信任的伺服器群組) 的內部網路上 HRAs URL 的清單 — 或 HRA 探索 (請參閱 「 HRA 探索與網際網路的 HRAs 」 資訊看板)。

當 NAP 用戶端啟動時,他們找到的 HRA 在內部網路上,送出他們的健康狀態並,如果相容,取得健康情況憑證。 NAP 用戶端啟動其他的內部網路端點的通訊時, 它們會嘗試交涉 IPsec 保護流量使用健康情況憑證認證。 如果 IPsec 交涉失敗,NAP 用戶端會連接沒有 IPsec 保護。 相容 NAP 用戶端的健康狀況] 或 [網路狀態有所它的 HRA,使用的其他系統健康檢查並如果相容,它會取得新的憑證。 如果需要修正的系統健康條件 NAP 用戶端必須更正後再取得健康情況憑證。

HRA 探索和網際網路面向 HRAs

NAP 用戶端自動找出網路上 HRAs 也可以使用 HRA 探索。 而不是受信任的伺服器群組中,設定的 URL 清單,有 HRA 探索啟用一個 NAP 用戶端會嘗試尋找的 HRA 藉由傳送 DNS 查詢針對 _hra._tcp.site_name._sites.domain_name 的 SRV 記錄。 例如,如果 NAP 用戶端的主網域是 contoso.com,用戶端正在使用預設 Active Directory 站台,且有 HRA 啟用探索,它會查詢 _hra._tcp.default-第一的站台-name._sites.contoso.com 的 SRV 記錄。 HRAs 的 SRV 記錄包含在完全合格網域名稱 (FQDN) 的 [HRA。 在適當的區域中,必須以手動方式設定 HRAs DNS SRV 記錄。

在網際網路上的 NAP,您設定內部網路 HRA SRV 記錄 FQDN HRAs 您內部網路和網際網路 HRA SRV 記錄的您的網際網路面向 HRAs 的 FQDN。 NAP 用戶端相同的名稱和記錄類型,查詢,但根據位置取得不同的 FQDN。

若要啟用接收透過 「 群組原則的 NAP 設定 NAP 用戶端 HRA 探索,設定 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery 登錄值 (DWORD 型別) 為 1。

如需詳細資訊,請參閱" 設定 HRA 自動探索 ."

在網際網路上的 NAP

當設定 IPsec 強制的 NAP 用戶端電腦會保留在內部網路,並連線到網際網路時,NAP 用戶端仍會嘗試找出的 HRA。 因為漫遊電腦在網際網路上的不再可以連絡 HRA 企業內部網路,並執行系統健康狀況驗證,它不再可以判斷是否符合系統健康情況原則,以及如何修正其系統健康狀況。 經過一段時間,NAP 用戶端漫遊網際網路,可以得到遺失的作業系統或應用程式的更新] 或 [根據他的權限層級,使用者,可能會執行,例如停用主機防火牆的風險將電腦設定變更]。

當不合格的電腦傳回至內部網路時,它第一次必須補救其系統健康狀態之前可以取得健康情況憑證並開始通訊。 雖然不合格的電腦被 remediated,會有風險,它可以感染並未受到 IPsec 保護的內部網路其他電腦。

將 HRAs 放在網際網路上,並設定 NAP 用戶端找不到它們在網際網路上的 NAP 用戶端可以檢查,持續地健康值,如同它們連線到內部網路。 雖然健康情況憑證不用來執行 IPsec 對等驗證,NAP 用戶端仍驗證其健康狀態。 如果已啟用 autoremediation 則 NAP 用戶端會自動嘗試修正其健康狀態,以降低電腦在網際網路上的風險。 Autoremediation 保留將不需要使用者介入的情況下的電腦符合組織的系統健康狀態需求。 行動電腦已相容大幅從網際網路傳回可降低風險的感染內部網路上的資源。

系統健康狀況問題的補救限制的系統健康狀態代理程式 (SHAs) 功能,可能需要您部署網際網路上的其他補救伺服器。

請注意,根據預設,NAP 用戶端連線到網際網路面向] HRAs 時,請嘗試 Kerberos 驗證。 因為在網際網路上沒有網域控制站這項驗證會失敗。 因此,您必須執行下列命令在 [網際網路面向 HRAs,NAP 用戶端使用 NTLM 驗證:

%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
 /-providers.[value='Negotiate']

您可以使用您 NAP 健康原則伺服器所記錄的資訊來判斷正在漫遊在網際網路上的 NAP 用戶端整體的健康相容性。

如果您在面對網際網路的 HRAs 不同於您的近端內部網路 HRAs,您可以設定另一健康需求原則組,為您的連線到網際網路的 NAP 用戶端。 就例如,您可以藉由指定的 [HRAs IP 位址作為條件設定不同組的網路原則。 內部網路健康需求原則會使用所有您 SHAs,Windows 安全性狀況代理程式 (WSHA)、 Forefront SHA 中,及 [系統中心組態管理員 (SCCM) SHA。 網際網路設定健康需求原則使用只 WSHA。

NAP 的網際網路範例

圖 1] 顯示方式在 Contoso 公司已部署在網際網路上的 NAP 是簡化的的圖例。

tnonlineaprdavies.cableguy.gif

[圖 1 在網際網路上部署 NAP

在這個範例中,在面對網際網路的 HRAs 是實際連接到網際網路與內部網路,讓他們可以到達 NAP CA 和 NAP 健康原則伺服器。 若要保護在網際網路的 HRAs,防火牆設定會允許唯一的 TCP 連接埠 443 流量與網際網路的 HRAs 中,對應到 SSL,透過 HTTP 流量。

假設在內部網路 HRAs 有 hra2.corp.contoso.com 與名稱 hra1.corp.contoso.com。 在面對網際網路的 HRAs 具有名稱 int_hra1.contoso.com 和 int_hra2.contoso.com。 就說內部 DNS 伺服器無法解析該名稱 int_hra1.contoso.com 並 int_hra2.contoso.com 及網際網路的 DNS 伺服器,不能解決 hra2.corp.contoso.com 與名稱 hra1.corp.contoso.com。

有這種設定 Contoso 公司的網路系統管理員會設定與下列清單受信任的伺服器群組的 URL:

NAP 用戶端會先嘗試在內部網路 HRAs,然後在面對網際網路的 HRAs。

在內部網路上 NAP 用戶端會連接至 HRA1 或 HRA2。 NAP 用戶端在網際網路上的將會先嘗試解析名稱 hra1.corp.contoso.com 和 hra2.corp.contoso.com。 這些兩個名稱解析快速嘗試在找一個 DNS 名稱不到錯誤的結果。 NAP 用戶端成功解析 int_hra1.contoso.com 或 int_hra2.contoso.com 然後連線到 INT_HRA1 或 INT_HRA2。

摘要

一旦已內部網路上部署 IPsec 強制案例,擴充健康相容性的驗證和修正為連線到網際網路的 NAP 用戶端是相當簡單的在面對網際網路的 HRAs (或其他現有的網際網路的伺服器角色) 需要一些額外的伺服器。 此外,取決於如何 NAP 用戶端找出 HRAs,您可能需要為在面對網際網路的 HRAs 發佈網際網路 DNS 記錄,並更新您信任的伺服器群組。 您也可以建立健康情況的其他集合,指定在系統健全狀況檢查] 以及 [autoremediation 行為 (為連線到網際網路的 NAP 用戶端的需求原則。

約瑟夫 Davies 是一個主要技術編寫器上撰寫小組在 Microsoft Windows 網路。 他是作者或由 Microsoft 請按包括 Windows Server 2008 Networking and Network Access Protection (NAP),發行的活頁簿的數字的 coauthor Understanding IPv6, Second Edition,和 Windows Server 2008 TCP/IP Protocols and Services