特別報導:Windows Server 2008
使用 Windows Server 2008 的原則導向網路存取
Ian Hameroff and Amith Krishnan
摘要:
- 權衡網路存取和安全性
- 以原則導向的方法存取網路
- Windows Server 2008 中全新的安全性技術
隨著行動工作人力漸增,以及需要存取公司 IT 資源的使用者和裝置越來越多樣化,
傳統週邊網路的式微也就不足為奇。為了促進產能,使用者和企業營運擁有者全都渴望擁有順暢且程序簡潔的連線體驗。這樣的情況本身就很複雜,而法規遵循方面的負荷、不斷演變的威脅環境,以及有關資料分散的風險更是雪上加霜。
這使得 Windows® 系統管理員恰好困在艱鉅的安全性權衡行動中,動彈不得:要如何讓資源方便存取,又同時滿足與日俱增的資訊和網路安全性需求。
雖然沒有一套解決方案可以克服所有這些挑戰,但身為 Windows 系統管理員,倒是有許多工具任您運用,幫助提高您已有的安全性控制 — 像是邊緣防火牆。在存取和安全性之間取得適當平衡點的絕佳辦法,就是轉移傳統的連線模型,尋求以更具邏輯和以原則為中心的方式定義網路存取。
原則導向的網路存取方法
網路資源
- IPsec (英文)
- 具有進階安全性的 Windows 防火牆 (英文)
- 伺服器和網域隔離 (英文)
- Windows Server 2008 的網路存取保護 (NAP) (英文)
原則導向的網路存取目的在於,消除當您嘗試將信任主要放在網路拓樸邊緣時遇到的現有限制。舉例來說,只因為裝置插入您公司防火牆背後其中一個 Ethernet 切換連接埠,您就真的該信任和授權該裝置連線到執行客戶關係管理 (CRM) 應用程式的伺服器嗎?
全新的模型會同時驗證裝置的安全性狀態和要求存取之使用者的身分識別 (無論從何處連線),來作出存取的決策。一通過驗證,便可採用相同的架構來授權可存取的資訊和資源。
從防禦式立場轉換成比較著重存取的觀點,牽涉著許多要素,包括設立機制來驗證連線主機的身分識別,以及是否遵守原則;發行信任的使用者識別;以及根據這些特性動態地控制網路存取。為了方便管理這些各不相同的變動部分,中央原則存放區也是很重要的元件。
採取原則導向的方法有助於將許多可能完全不同的網路存取組織在一起,並將安全性控制裝載到比較完善的解決方案中。結果可讓您在連線組織上的邏輯層設定網路存取的基本規則,從而發展出傳統深度防禦的最佳作法。
例如,當使用者將膝上型電腦連線到公司的無線網路時,可以最新的安全性設定需求來檢查該裝置是否符合規定。一旦確定該膝上型電腦裝有所有最新的防毒更新和重大安全性更新程式,並且也啟用了所有的端點安全性控制之後 — 例如主機防火牆 — 便可授權存取公司網路。接下來,當使用者嘗試存取商務應用程式時,可搭配使用膝上型電腦的健康狀態和使用者的網路識別來判定他是否有權利連接到裝載應用程式的資源。透過在實體網路基礎結構上操作此一邏輯層,便可持續強制施行原則,即使使用者從無線網路移到有線甚或遠端存取連線也一樣。
實作時,原則導向的網路存取可向使用者傳達更為通暢無阻的連線體驗,而不會危及程序當中的安全性。對於系統管理員來說,切換連接埠或遠端存取閘道設定所達成的上層網路存取控制,能提供更簡單的管理經驗。在這兩種情況下,都能達到提升產能,以及改進公司網路健康整體的成果,甚至是在網路可能對於像是來賓 (無論有沒有邀請)、廠商、合作夥伴和員工等具有不同存取權限的實體來說,扮演著主機的角色的情況也一樣。
就跟任何安全性專案一樣,實作原則導向網路存取的第一步,是開發一組可操作的整體原則。這通常包括下列的指導方針:
- 裝置安全性循規 — 何謂保持裝置的健康狀態?
- 邏輯網路分區 — 您如何區隔不健康的裝置與已授權的裝置?
- 資訊風險管理 — 機密資料如何分類,以及免受侵害?
所幸,Microsoft® TechNet 資訊安全中心 (microsoft.com/technet/security) 提供了各種原則開發資源。
發展出存取原則後,必須選擇既容易散佈又能有效強制施行的技術。對此,找 Windows Server® 2008 準沒錯。這是因為 Windows Server 2008 不僅是當今最安全的 Windows Server,更提供系統管理員強固的安全性平台,可構成原則導向網路存取解決方案的基石。除了一長串的全新和增強功能外,Windows Server 2008 還提供許多必要的元素,讓您對網路實作安全、以原則為主的存取,協助確保機密資訊已受到保護而免於侵害。
下一代網路
在 Windows Server 2008 中,網路安全性進階功能的核心是下一代 TCP/IP 堆疊,這是針對平台的網路功能及相關服務的一項重大更新。除了提升網路效能並提高延展性之外,Windows Server 2008 更透過一系列整合式網路功能促進安全性,這些整合式網路功能為建造原則導向網路存取解決方案提供了堅實的基礎。
網際網路通訊協定安全性 (IPsec) 在 Windows Server 2008 中已經過大幅升級,使得它在原則導向網路存取方法裡面扮演著關鍵的角色。現在不是使用 IPsec 作為通道和加密通訊協定,而是運用它的主機對主機網路驗證功能。此外,因為 IPsec 是在第 3 層運作,所以您可以利用它在各種類型的網路間強制實施網路存取原則。
為了讓實作以 IPsec 為主的網路存取控制更加容易,Windows Server 2008 引入了一長串改進和全新功能,旨在簡化原則的建立、強制和維護工作。比方說,可用的 IPsec 驗證方法在數量和類型方面都有擴增。這是透過「已驗證網際網路通訊協定」(AuthIP) 的引進而達成,它是網際網路金鑰交換 (IKE) 通訊協定的延伸。AuthIP 可讓您製作連線安全性規則 (Windows Server 2008 中對於 IPsec 原則的別名),要求通訊對等不僅使用電腦認證,也可選擇使用使用者或健康情況認證,彼此進行成功的驗證。如此產生的彈性使您不需要升級切換和路由基礎結構,便能設計出非常精緻的邏輯網路。
具有進階安全性的 Windows 防火牆
全新的「具有進階安全性的 Windows 防火牆」是以剛剛提到的 IPsec 功能為基礎建置而成。透過將 IPsec 連線安全性規則與防火牆篩選器合併成單一原則,全新的 Windows 防火牆為原則導向網路存取增添了新次元:更具智慧的驗證防火牆動作。
如 [圖 1] 所示,您現在為輸入或輸出防火牆篩選器定義應該採取的特定動作時,有三個選項可以選擇:允許、封鎖或僅在安全時允許。當選取 [僅允許安全連線] 作為行動時,Windows 防火牆會利用 IPsec 的主機對主機網路驗證功能,根據您所定義的原則來判斷是否應該許可要求連線的主機或使用者。防火牆規則可讓您規定哪些使用者、電腦和群組有權進行連線。值得一提的是,這可多添一層保護,補充現有作業系統和應用程式層級存取控制的不足。
![[圖 1] 定義驗證防火牆規則](images/cc194389.fig01.gif)
[圖 1]** 定義驗證防火牆規則 **(按影像可放大)
說到現在,您應該逐漸了解為什麼透過中央原則將這些不同的網路安全性控制全部組織在一起,就能夠以更有效率且可調整的方法來管理網路存取。
回到 CRM 的例子:系統管理員可選取 [僅允許安全連線] 選項,為執行公司的 CRM 應用程式的伺服器,建立輸入規則 (透過程式的可執行檔或是服務連接埠)。透過相同的防火牆原則,系統管理員還可以指定只有「CRM 應用程式使用者」群組的成員,才能連線到這個網路應用程式,如 [圖 2] 所示。如果您把相同的概念擴大到網路上所有受管理電腦之間的所有網路通訊,等於是在原則導向網路存取策略上多加了一個「伺服器和網域隔離」層。
![[圖 2] 系統管理員可以根據此原則指定能夠連線的對象](images/cc194389.fig02.gif)
[圖 2]** 系統管理員可以根據此原則指定能夠連線的對象 **(按影像可放大)
伺服器和網域隔離
隨著連線到各公司網路的來賓和其他未管理裝置的數量與日俱增,找出對策來隔離和保護您受信任的主機也變得日益重要。幸好,將受信任和受管理的電腦與網路上其他電腦相隔離的方法不可勝數。不過,您應該曉得當中許多選項隨著網路增長,成本會變高 (例如,安裝不同的實體纜線系統),而且也難以維護 (例如,切換式架構的 VLAN)。
伺服器和網域隔離能夠提供比較符合成本效益又方便管理的方法,將您的環境分隔成邏輯隔離和安全的網路。如 [圖 3] 所示,基本上您使用的是之前提到的連線安全性規則 (也就是 IPsec 原則),但是透過 Active Directory® 群組原則將它們對應到所有受管理電腦。如此產生的網路存取原則,會要求所有對等在進行任何通訊之前,先順利地通過彼此驗證。由於這項隔離是發生在第 3 層,因此強制這些存取控制會橫跨集線器、交換機和路由器,跨越實體和地理的界限。
![[圖 3] 定義驗證需求以符合您的網路存取需要](images/cc194389.fig03.gif)
[圖 3]** 定義驗證需求以符合您的網路存取需要 **(按影像可放大)
要建立隔離的網路,應當根據所需的存取類型來隔離網路上的各部電腦。您可以定義原則,讓隔離網路上的電腦能夠起始與網路上所有電腦的通訊,包括那些不在隔離網路上的電腦。相反地,不在隔離網路上的電腦並無法起始與位在隔離網路上的電腦的通訊。事實上,位在隔離網路上的電腦將忽略隔離網路以外的電腦所發出的所有通訊要求。
您可使用 Active Directory 網域和網域成員資格來強制這種網路原則。網域成員電腦只會接受來自其他網域成員電腦通過驗證的安全通訊。您也可以選擇強制規定加密隔離網域內的所有通訊。
因為現有網路結構或應用程式的變更不大,所以伺服器和網域隔離提供了明顯的成本效益。這項解決方案利用原則所建立的保護層,不僅有助於防禦代價高昂的網路攻擊,以及預防未經授權存取信任的網域資源,同時也不需要根據網路拓樸中的變更而不斷進行維護。
網路存取保護
如前所述,伺服器和網域隔離解決方案可確保邏輯分隔網路上的各種電腦和伺服器。雖然這項解決方案有助於防止未經授權存取網路,但不能保證已授權電腦肯定不會造成安全性威脅。
網路存取保護 (NAP) 是 Windows Server 2008 的內建平台,它有助於確保連線到網路或在網路上通訊的電腦符合您所定義的系統健康情況的需求 (也就是,遵守安全性和原則規定)。
即使是經過授權的使用者也常成為網路上傳播病毒和間諜軟體的罪魁禍首。例如,當使用者外出渡假時,他的電腦可能無法符合系統管理員所設定的安全性需求。如果在他缺席期間發行的強制補充程式或簽章沒有安裝到電腦上,就可能造成嚴重的後果。
系統管理員的可用頻寬不足以追蹤每名連線到網路的使用者。這時候真正需要的是一項自動化工具,完全根據中央原則,驗證連線到網路的每部電腦是否符合健康情況,補救任何不符合規定的電腦。這也正是 NAP 的功效所在,為您的原則導向網路存取解決方案更添一層。
NAP 代理程式 — 不論是內建於用戶端電腦的 OS (例如在 Windows Vista® 中) 或是個別安裝的 (用於舊版 Windows 以及非 Windows 作業系統) — 會向網路原則伺服器 (NPS) 報告任何不合規定的問題,NPS 是內建至 Windows Server 2008 的原則引擎。您正是在 NPS 中定義每部裝置必須遵循的規範遵守原則。
雖然限制沒有通過循規檢查的裝置有其必要性,但確定它們可以選擇進行隔離和補救也很重要。NAP 可讓您選擇是要在開啟防火牆或防毒解決方案的情況下自動補救裝置,或是手動補救裝置,將它強制放入隔離區域。裝置在隔離區域可存取補救伺服器,取得最新的修補程式、更新和簽章。一旦使用者手動更新裝置之後,它便可在通過合格性驗證之後獲權存取網路。
隨著網路越來越普及,網路存取也變得簡便許多。然而,無論存取機制為何,確保裝置健康且符合規定也增加了額外的負荷。電腦可透過標準 802.1X 相容的交換機或無線存取點來存取網路,或是使用以 VPN 或終端機服務為主的遠端存取連線從家裡進行遠端連線。NAP 不僅可確保透過這些不同機制連線的電腦符合規定,也讓 DHCP 伺服器、802.1X 交換機、VPN 閘道、終端機服務閘道,或 802.1X 相容的無線存取點強制遵循規範。
[圖 4] 中的網路已經使用伺服器和網域隔離解決方案加以隔離。使用 NAP 搭配這類的隔離網路,可提供額外的好處來確保連線到網路的電腦符合健康要求。用戶端在啟動時會傳送它的健康狀態 (SoH) 給健康情況登錄授權 (HRA),這是一部認證伺服器。HRA 會將 SoH 傳遞給 NPS 進行原則驗證。如果 SoH 有效,HRA 便會發給 NAP 用戶端一份健康認證,而該用戶端現在就可以起始 IPsec 式的安全通訊,存取安全資源。如果 SoH 無效,HRA 會告訴 NAP 用戶端如何修正它的健康狀態,並且不會發出健康情況憑證。NAP 用戶端無法起始與其他要求有健康情況憑證進行 IPsec 驗證的電腦的通訊。不過,NAP 用戶端可與補救伺服器通訊,讓它重回合格狀態。
![[圖 4] 使用 IPSec 強制的網路存取保護](images/cc194389.fig04.gif)
[圖 4]** 使用 IPSec 強制的網路存取保護 **(按影像可放大)
總結
掌握了 Windows Server 2008 中這些新功能和特色的基本知識後,更重要的是深入了解每個元件是如何以舊版元件為基礎建置而成的。舉例來說,從傳統深度防禦策略轉換的催化劑,正是 Windows Server 2008 透過 Active Directory 群組原則所提供的基礎原則架構。
您將具備更堅固的工作基石來定義和部署原則導向網路存取解決方案,而不用捨棄現有的投資,這都要歸功於這項整合體驗。憑藉著將存取決策提升到更具邏輯、以原則為中心的層級,您便能夠視需要在「方便存取」和「提高安全性」之間取得平衡。
Microsoft 發行了相當豐富的指導方針,深入探討本文所討論的技術。我們建議您先查閱這些文章和逐步指南,實際體驗一下各種功能 (「網路資源」資訊看板中的連結可幫助您開始著手)。接下來,部署各個階段時,考慮先為下個階段打好堅固的基礎。
例如,根據<具有進階安全性的 Windows 防火牆>一節所述,為您的任務關鍵應用程式建立一組這類的驗證火牆規則。熟悉這個步驟之後,便可擴充連線安全性規則來隔離您的網路網域,然後在上面建立 NAP 層。實作原則導向網路存取策略的優點可能相當顯著,包括幫助您順應公司網路的善變世界。
Ian Hameroff 在 Microsoft 的安全性和存取產品行銷 (Security and Access Product Marketing) 小組擔任資深產品經理,他負責 Windows Server 平台網路技術的產品管理和行銷工作。Ian 積極推動 Windows Server 網路和解決方案的上市策略,把焦點放在重要的安全性和網路行動,例如伺服器和網域隔離、可調整的網路,以及採納 IPv6。
Amith Krishnan 在 Microsoft 的安全性和存取產品行銷 (Security and Access Product Marketing) 小組擔任資深產品經理,他負責 Windows Server 網路和安全性行動的產品管理和行銷工作,例如網路存取保護和安全無線。他也發展了上市策略,並推廣大眾對這些解決方案的認知。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.