安全性監控網路存取保護
John Morello
此專欄中的 Windows Server "Longhorn" 測試版相關資訊有可能變更。
當今的企業組織,無論規模大小,都面臨著一項巨大的安全性威脅,也就是周邊網路背後的惡意裝置。無論組織為防杜來自網際網路的外部威脅把自己包得密不通風,安全性還是可能會因為善意的員工不經意接觸
蠕蟲或特洛伊木馬程式所傳輸的惡意程式碼而危險重重。這種情況在中小型組織的 IT 環境中更是尤為如此,這些員工可能拿筆電作個人和商業用途,而且網路存取控制技術通常過於昂貴和複雜而沒有部署。也正因如此,這些組織往往為停機付出慘痛的代價,因此對抗這些威脅可說是至關重要。
Microsoft 推出的網路存取保護 (NAP) 技術方便各種規模的組織在加入網路時主動檢查電腦的健康狀況,並確保整個連線過程中保持良好狀態。NAP 為組織提供富彈性、以原則為主的架構,防止員工、廠商和訪客有意或無意地將不合格的電腦帶入他們的網路,起到保護組織的目的。NAP 是根據四大基本要件建置而成:原則驗證、隔離、矯正和保持合格性。
NAP 概觀
NAP 提供的第一項核心服務是原則驗證。原則驗證是一項過程,NAP 會藉著一組由系統管理員定義的規則評估系統,藉此替系統的健康狀態分級。
IT 系統管理員會指定一組原則元素,在電腦嘗試連上網路時供 NAP 比較之用。符合原則元素的電腦被視為健康,而那些沒有通過一或多項檢查 (由系統管理員指定) 的電腦則被視為不健康。這些原則可以檢查一些像是防毒和防間諜軟體是否存在、主機防火牆是否為作用中,以及電腦是否遺漏任何安全性更新等。此外,由於 NAP 建置上是可擴充的,因此獨立軟體廠商可以針對 NAP 建立自己的外掛程式,以便進行應用程式特定的檢查。
NAP 提供的另外一個核心服務是網路連線限制。視系統管理員定義的原則而定,NAP 可將機器設成不同的網路連線狀態。舉例來說,假如機器因遺漏重大安全性更新而被視為不健康,NAP 就可以將該部機器放入隔離網路,使該機器與環境的其他部分隔離,直到恢復健康狀態為止。少了 NAP,不健康的用戶端就能熬無阻礙地存取組織的網路。機器要是錯過更新而有漏洞,此時要是惡意程式碼趁虛而入,就能大肆感染其他的網路。[圖 1] 讓您對該架構有基本的了解。
![[圖 1] NAP 的一般架構](images/cc162368.fig01.gif)
[圖 1]** NAP 的一般架構 **(按影像可放大)
不過,光是制連線,仍不能算是處理不健康機器的有效方法 (畢竟,您的使用者還得工作)。因此 NAP 另外還提供了矯正服務,讓不健康且受到隔離的機器能夠在不需要系統管理員介入的情況下,修正它們的健康問題。在上例中,限制的網路只允許不健康的電腦存取安裝遺漏更新所需的特定網路資源,例如公司的 Windows Server® Update Services (WSUS) 電腦。換句話說,在設有 NAP 的情況下,不健康的機器僅限存取可使它恢復健康的網路資源,除非痊癒,否則這台機器無法將流量傳送給網路其餘的部分。
NAP 最後一大要件是保持合格,這會在電腦連線到網路的整段期間,而不只是初次連線時,強制這些健康原則。從本文的例子中,想想電腦自行更新並痊癒後 (因而獲得無限制的網路存取權) 會發生什麼事。假如該電腦稍後因為一些情況 (比方說 Windows 防火牆停用) 而不再合格,NAP 便會自動重隔離該機器。NAP 也允許系統管理員設定自動矯正,也就是不合格狀態在不需要其他使用者介入的情況下便會自動修正,即使是在完成初次網路連線後過了很久一段時間亦然。
NAP 可採用幾項不同的技術來控制網路存取。如果組織採用管理式網路交換器,可使用 802.1X 在網路硬體層提供以連接埠為基礎的存取控制。NAP 亦可使用 IPsec 強制的功能,以便透過 IPsec 關聯建立安全網路,並在實體網路上分層處理。透過 IPsec 強制,NAP 能藉著動態建立並移除 IPsec 引擎所使用的認證,來控制對安全區域的存取。最後,NAP 可提供 DHCP 強制。在本例中,DHCP 伺服器可為不健康的用戶端提供限制集區的 IP 租約。這些租約會使用不同的 DNS 尾碼和 IP 路由,來控制受限用戶端能夠存取哪些資源。
NAP 伺服器元件採下一版 Windows Server (代號 "Longhorn") 建置而成,特別是它已內建至全新的網路原則伺服器 (NPS),這是網際網路驗證服務經過大幅增強的後繼版本。對於利用 802.1X 強制的組織來說,網路硬體必須支援 802.1X 驗證和動態 VLAN 功能 (「NAP 資源」資訊看板中的 NAP 合作夥伴網站提供更多關於特定硬體廠商的詳細資料)。對於 DHCP 強制,則需要有啟用 NAP 的 DHCP 服務,例如 Windows Server "Longhorn" 當中提供的 DHCP 服務。在用戶端上,NAP 支援已內建至 Windows Vista™。NAP 支援也可作為 Windows® XP 的附加元件取得,當中隨附了一個新的 802.1X 請求者,可啟用 Windows XP 上的 802.1X 強制。
此外,NAP 不但已整合至 Windows 資訊安全中心,也已整合至協力廠商健康狀態代理程式,以報告健康資訊。因此,NAP 得以根據透過資訊安全中心公開的資料來訂定原則驗證決策。
NAP 這套企業級原則管理解決方案功能相當強大,光是一篇文章不足以介紹所有功能和部署策略。礙於篇幅,本文將著重於中小型組織的部署,這些組織中的 IT 員工所要處理的工作相當繁多,而且簡化 NAP 部署將快速提高部署所需的投資報酬率。不過,其中許多經驗分享和綜合指導方針同樣適用其他的組織和 NAP 設計,不受規模和種類限制。在此一強調,本文的逐步解說範例並非步驟式的安裝指南,而重點概述如何成功部署以 DHCP 為主的 NAP。如需更詳盡的安裝指南,請參閱「NAP 資源」資訊看板的連結。
Contoso 的問題集
為方便讀者更深入了解 NAP 如何解決中小型組織的獨特需要,我們以 Contoso, Inc. 為例。Contoso 是一家虛構的中型公司,在三處主要辦公室有 250 部電腦。它的行動員工比例很高,而且有許多使用者從遠端客戶地點透過電信或連線連回主辦公室。因此,約有一半的電腦是膝上型電腦和 Tablet PC。就跟許多組織一樣,Contoso 也隨著工作人力的行動化而面臨著與日俱增的安全性挑戰。有些配有可攜式電腦的使用者從客戶網站或家庭辦公室染上惡意程式碼,並將受感染的電腦連至 Contoso 內部網路。
Contoso 也為了使這些遠端電腦保持最新狀態而費盡心思。使用者往往在客戶地點工作了很長一段時間才回到 Contoso 辦公室。在這種情況下,他們的機器經常好幾個月未進行安全性更新,因此提高了 Contoso 的網路上其他機器的整體風險。Contoso 需要一套解決方案,確保連上其網路的所有機器 (無論是遠端或本機連線) 都受到保護而且健康狀況無虞。
NAP 要如何協助 Contoso 達到此目標呢?回想一下 NAP 的主要要件。透過原則驗證,NAP 可以檢查所有連線到 Contoso 網路的機器的健康狀態。原則驗證能判斷機器是否有符合時宜的防毒簽名檔,以及是否已安裝全部的安全性更新。只要 NAP 原則驗證常式判定機器不健康,NAP 便可限制這種主機的網路連線,以便確保離站使用且染上惡意程式碼的機器不會把問題散播到網路的其他部分。NAP 會限制不健康電腦的連線能力,規定讓它只能存取由 Contoso 的 IT 系統管理員所定義的矯正資源。比如,不健康電腦可存取 Contoso WSUS 伺服器和裝載防毒簽名檔的伺服器。最後,NAP 可確保在機器恢復正常後,仍然持續保持健康狀態。在這個例子中,如果電子通勤族經由 VPN 使用不健康的主機,而且使用者關閉主機防火牆的話,NAP 便會自動矯正該問題。防火牆一停用,NAP 基礎結構會馬上將電腦隔離,重新啟用防火牆,重新評估機器的健康,並且在判定它是健康的之後,再將該機器挪回無限制的網路上。NAP 的四大要件直接滿足了 Contoso 動態及行動運算環境的重要安全性需求。
NAP 設計
對於許多中小型組織來說,NAP 的 DHCP 強制是在實作上是快速簡單的選擇。這是因為 DHCP 強制不需要進行額外的網路變更,DHCP 和 NPS 背後也不需要額外的服務。雖然 IPsec 和 802.1X 強制選項比較有彈性,但它們需要對網路進行額外的變更,並且需要部署新服務。對於複雜度較低的環境而言,使用 DHCP 的成本較低,也不需要經常操作,同時又能兼顧 NAP 的各大優點。
Contoso 的環境採用執行 Windows Server "Longhorn" 的電腦作為 NAP 部署核心。由於 NAP 需要有 Windows Server "Longhorn" NPS,因此無法在舊版的 Windows Server 上進行部署。NAP 的 DHCP 強制也需要有 Windows Server "Longhorn" DHCP 伺服器。為了整併服務,Contoso 可同時將 NPS 和 DHCP 部署在同一台伺服器,它們可相安無事地並存。因此,Contoso 的基本 NAP 伺服器基礎結構相當簡單:一部同時執行原則和強制元件的 Windows Server "Longhorn" 電腦。
在用戶端上,Contoso 執行 Windows Vista 的電腦已具備支援 NAP 所需的功能。執行 Windows Vista 的機器上唯一得變更的用戶端設定就只有啟用 NAP 功能,這可透過群組原則來完成。Contoso 中執行 Windows XP 的電腦則必須另外安裝 NAP 用戶端套件。執行 Windows XP 且已加入網域的電腦,預設會停用 Windows 資訊安全中心功能。假如 NAP 原則使用資訊安全中心的狀態資訊,評估電腦的健康狀況,就必須執行資訊安全中心好讓 NAP 正常運作。因此,對於執行 Windows XP 的 Contoso 電腦,系統管理員必須利用群組原則來開啟資訊安全中心。除了上述變更,並不需要其他任何動作,即可讓用戶端支援 NAP。
Contoso NAP 部署
在 Contoso 進行稍早討論的必要群組原則變更後,部署 NAP 的下一步便是安裝 Windows Server "Longhorn"。Windows Server "Longhorn" 的所有版本都包括必要的 NAP 元件,因此 Contoso 可以使用最符合需求的版本。一旦完成安裝後,IT 系統管理員將使用「伺服器管理員」工具將角色新增至機器。Contoso 所使用的 DHCP 強制需要 Network Access Services 及 DHCP Server 這兩個角色。新增角色精靈將協助系統管理員處理各項依存性,以及加入伺服器所需的其他任何功能。新增角色之後,Contoso 就可以開始設定 NAP。
Contoso 的系統管理員將使用「伺服器管理員」工具存取 Microsoft Management Console (MMC) DHCP 嵌入式管理單元,並加入一個新領域。設定 Windows Server "Longhorn" DHCP 伺服器將會取代其服務的 IP 區段上的所有現有 DHCP 服務。建好領域並根據 Contoso 的網路填入正確選項之後,就必須啟用其上的 NAP。這是在領域屬性的 [網路存取保護] 索引標籤完成 (見 [圖 2])。
![[圖 2] 啟用 NAP](images/cc162368.fig02.gif)
[圖 2]** 啟用 NAP **(按影像可放大)
NAP 會在相同領域內限制或無限制的網路存取間切換機器,方法是使用全新的 NAP 使用者類別領域選項。這一組特殊的領域選項 (包括 DNS 伺服器、預設 DNS 尾碼等) 是在提供租約給不健康的用戶端時使用。譬如,提供給健康用戶端的預設 DNS 是含 "contoso.com" 尾碼,而提供給不健康用戶端的則會有 "restricted.contoso.com" 的尾碼,如 [圖 3] 所示。DHCP 領域選項一旦設定好之後,就可設定網路原則伺服器並建立規則。
![[圖 3] 限制存取](images/cc162368.fig03.gif)
[圖 3]** 限制存取 **(按影像可放大)
NPS 原則是由四大元件構成。System Health Validators (SHV) 定義要執行哪些檢查來評估電腦的健康狀態。Remediation Servers Groups 則包含允許不健康機器存取的系統清單 (比如 WSUS),以恢復健康。而 System Health Validator Template 元件是用來定義實際的健康狀態。比方說,Contoso 可以把通過 Windows Security SHV 的機器視為「合格」機器,但該用戶端不一定要通過防毒廠商另外提供的 SHV 檢查。最後,這些元件都會整合至網路原則組合中,此組合包含了根據其健康狀態來判斷要怎麼處置機器的邏輯。
System Health Validators 是 NAP 代理程式檢查並將狀態報告給 NPS 的項目清單。預設的 NAP 部署中含有 Windows SHV,這會連到 Windows 資訊安全中心,並允許 NAP 檢查所有透過資源安全中心報告的安全性元件的狀態。安全性元件包括有防火牆、防毒、自動更新和反間諜元件。
前文提到 NAP 的可擴充設計,並允許協力廠商建立自己的 SHV,以提供個別元件更詳盡的檢查 (詳細資訊請參閱 microsoft.com/windowsserver2003/partners/nappartners.mspx)。例如,Windows Security SHV 允許 NAP 檢查防毒程式是否已啟用並處於最新狀態。不過,關於 Windows Security SHV 並無法更詳盡地執行有關防毒程式的檢查,諸如掃描機器的頻率,或其他應用程式特定選項等。但防毒軟體廠商可建立與自家應用程式連結更深的 SHV,並開放比預設 Windows SHV 更多的應用程式特定檢查。此 SHV 可與 Windows SHV 和任何其他可能存在的 SHV 共同搭配使用,單一 NAP 部署可同時使用許多 SHV (見 [圖 4])。
![[圖 4] Windows Security SHV](images/cc162368.fig04.gif)
[圖 4]** Windows Security SHV **
Remediation Server Groups 是用來指定不健康機器能夠存取哪些資源。這些群組通常包括一些像是 WSUS 或 Systems Management Server (SMS) 伺服器,還有防毒更新伺服器等資源。重要的是,除了包括伺服器本身之外,還得包括用戶端尋找它們所用的名稱解析伺服器。因為 Contoso 的用戶端都是經由群組原則設定成使用稱為 wsus.contoso.com 的伺服器進行自動更新,所以 Remediation Servers Group 不僅必須包括 WSUS 伺服器的 IP 位址,也必須將用戶端用來將完整網域名稱 (FQDN) 轉換成數字式 IP 位址的 DNS 伺服器涵蓋進來。若不允許存取這些名稱解析資源 (視用戶端的設定,可能是 DNS 和 WINS 兩者),用戶端將無法解析矯正資源的 IP 位址,也就無法存取它們。[圖 5] 顯示此範例的 DNS 和 IP 設定。
![[圖 5] DNS 名稱和 IP 位址](images/cc162368.fig05.gif)
[圖 5]** DNS 名稱和 IP 位址 **(按影像可放大)
System Health Validator Templates 是用來定義健康電腦的構成要素。Validator Templates 會取得 SHV 檢查結果,並根據機器是否通過一或多項檢查,來指出它的健康與否 (見 [圖 6])。
![[圖 6] 合格性檢查](images/cc162368.fig06.gif)
[圖 6]** 合格性檢查 **(按影像可放大)
在 Contoso 環境中 (就跟許多中小型部署一樣),只定義了兩種狀態。健康的電腦是通過所有 SHV 檢查的電腦,而不合格機器則是未通過一或多項檢查的機器。組織在必要時可選擇實作更複雜的邏輯 (例如,根據角色、部門、地理位置等為使用者建立不同的合格標準),但須注意,此舉可能會使辨別問題和疑難排解更加困難而且費時。
所有這些元件都是透過網路原則結合在一起。網路原則是由系統管理員定義,並且會指示 NPS 如何根據其健康狀態來對待電腦。系統會從上而下評估這些原則 (如 NPS UI 所示),並在比對到原則規則時立即停止作業。
再次強調,簡單是 Contoso 網路的目標,所有只需要幾個原則。第一個是 Compliant-FullAccess 原則。此原則會指出通過所有 SHV 檢查的機器將獲得無限制的網路存取權。換句話說,當機器的健康狀態經過評估,通過所有檢查後,NPS 即會指示 DHCP 伺服器以「標準」領域選項提供該機器 IP 租約。這個 Compliant-FullAccess 原則一般應該列在處理順序的最前面,因為大部分的機器都應該通過合格性檢查。先列出此原則可減少 NPS 上的處理負載和時間。
下一個使用的原則是 Noncompliant-Restricted。在 Contoso 環境中,未通過一或多項 SHV 檢查 (因此符合「不合格系統健康狀態檢查範本 (Noncompliant System Health Validation Template)」) 的任何機器都會對應到此原則。當符合此原則時,NPS 便會指示 DHCP 伺服器以特殊的 NAP「限制」領域選項提供用戶端 IP 租約。這使得不合格電腦只能存取在 Contoso 的 Remediation Servers Group 中定義的資源。
使用的第三個原則是回溯相容性。還記得 Windows XP 及之後版本的作業系統預設都提供 NAP 支援 (不過獨立軟體廠商也可針對舊版 Windows 及非 Windows 作業系統開發 NAP 用戶端)?假如 Contoso 仍在生產環境中使用 Windows 2000,那麼可建立一項規則 (在我們的例子中即 Downlevel-Full-Access),授與非 NAP 感知的機器一般網路存取權 (假設是 DHCP 伺服器的預設領域選項)。此原則應該最後再評估,而且只有在下層機器需要網路存取時才需要建立和啟用 (見 [圖 7])。
![[圖 7] 下層機器的存取設定](images/cc162368.fig07.gif)
[圖 7]** 下層機器的存取設定 **(按影像可放大)
若是 Contoso 的某些資源位在不具備或永遠無法提供 NAP 功能的網路上 (如印表機或其他硬體) 怎麼辦?此外,要是 Contoso 的機器具備 NAP 功能,但暫時或永遠不希望接受原則檢查的話呢?豁免這些機器一個簡單的方法就是藉由 MAC 位址來完成。若要提供管道讓這些機器略過 NAP 檢查,Contoso 系統管理員可建立一條新原則 (Exempt by MAC),來授與完整網路存取權。此原則使用一項條件陳述式:撥號站台 ID 的 RADIUS 用戶端屬性會比對需要略過 NAP 的裝置的 MAC 位址。當有機器符合此原則陳述式時,NPS 就會指示 DHCP 以「標準」領域選項提供租約。此原則應列在評估順序的最前面,以縮短整體的處理時間,並減輕 NPS 上的負載。符合此原則的機器並不需要任何 SHV 評估,因此就沒有必要在 NPS 上挪出檢查它們的週期 (見 [圖 8])。
![[圖 8] 忽略特定機器](images/cc162368.fig08.gif)
[圖 8]** 忽略特定機器 **(按影像可放大)
結合使用這些原則將有助於確保 Contoso 的 NPS 迅速且準確地評估連線至網路的機器。這些原則還能在必要時為下層電腦和裝置提供豁免,或在具備 NAP 功能的裝置暫時需要略過評估時提供豁免。
結論
NAP 包含了一組廣泛的技術,尤其是在比較複雜的案例下,需要有通盤的計劃和測試。本文重點是放在比較單純的案例,NAP 網站上有各種規模部署的詳盡指南。該網站還包括 802.1X 和 IPsec 強制技術的規劃協助,這對企業來說往往比 DHCP 強制更適合。
NAP 提供了一個有效且可擴充的平台,可用來評估連線到網路的電腦的健康狀態。對於中小型組織來說,實作與管理成本均低的 DHCP 強制可以提供許多優點。NAP 是 Windows Server "Longhorn" 的主要優點,並且可幫助您的組織改進安全性和合格性。
NAP 資源
John Morello 已在 Microsoft 服務六年,擔任過各種職責。身為資深的顧問的他曾為美國財星前百大 (Fortune 100) 企業、民間企業和國防部門設計安全解決方案。他目前擔任 Windows Server 小組的資深專案經理,負責開發隨處存取技術。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.