網絡訪問保護概述
目前,各種規模的組織都面臨的最大安全威脅之一就是網絡外圍背后的惡意設備。任何組織,不論其對來自 Internet 的外部威脅防御得多么嚴密,都會因善意的員工在不知情的情況下帶入 蠕蟲或木馬等惡意軟件而在安全性方面面臨風險。這種威脅在中小型組織的 IT 環境中尤其如此,因為其員工可能使用同一臺便攜式計算機處理個人事務和工作任務,并且對他們而言,網絡訪問控制技術也經常因過于昂貴和復雜而無法部署。不過通常由于停機而付出高昂代價的也正是這些組織。由此可見防御這些威脅是至關重要的。利用 Microsoft 的網絡訪問保護 (NAP) 技術,各種規模的組織都能在計算機連接到網絡時前瞻性地檢查其運行狀況,以確保計算機在整個連接期間始終運轉正常。NAP 為組織提供了一種基于策略的靈活的體系結構,可防止員工、供應商和訪問者有意或無意地將不符合安全策略的計算機連接到組織的網絡。NAP 主要圍繞四大基本核心構建而成:策略驗證、隔離、補救和持續的遵從性。
NAP 概述
NAP 提供的第一個核心服務是策略驗證。策略驗證是指 NAP 根據管理員定義的一組規則對系統進行評估并劃定系統運行狀況的過程。IT 管理員指定一組策略元素,NAP 在計算機嘗試連接到網絡時會使用這些元素進行對比。符合這些策略元素的計算機被視為狀態良好的計算機,而不符合其中一項或多項核查標準(由管理員指定)的計算機則被認為是狀態不良的計算機。這些策略可以檢查計算機是否安裝有防病毒軟件和防間諜軟件、主機防火墻是否處于活動狀態、是否缺少某個安全更新,等等。此外,由于 NAP 是可擴展的,因此獨立軟件供應商可針對 NAP 開發自己的插件,以針對應用程序進行檢查。NAP 提供的另一項核心服務是網絡連接限制。根據管理員定義的策略的不同,NAP 可以將計算機的網絡連接設置為各種狀態。例如,如果一臺計算機因缺少關鍵的安全更新而被視為狀態不良,則 NAP 可以將該計算機置于隔離網絡中,使其與網絡中其他計算機隔絕,直至恢復健康為止。如果沒有 NAP,狀態不良的客戶端也可以不受限制地訪問組織的網絡。一旦惡意軟件能夠通過那些本該由更新程序修補的漏洞危害該計算機,它就能夠不斷試圖將自身的感染傳播給網絡中的其他計算機。圖 1 所示使您對該體系結構有一個大致的了解。
圖 1 常見的 NAP 體系結構
不過,僅限制連接并非處理那些狀態不良的計算機的有效方法(畢竟,您的用戶還要工作)。為此,NAP 提供了補救服務,被隔離的計算機無需管理員干預即可糾正影響運行狀態的問題。在上述示例中,受限的網絡只允許狀態不良的計算機訪問安裝缺失更新程序必需的特定網絡資源,例如組織的 Windows Server® Update Services (WSUS) 計算機。也就是說,有了 NAP,狀態不良的計算機只能訪問那些可使其運行正常的網絡資源,在其恢復健康前,不能向網絡中的其他計算機發送任何通信。NAP 的最后一個核心服務是持續的遵從性,即強制計算機在與網絡保持連接期間,而不僅僅在初始連接時,始終符合這些可保持狀態良好的策略。通過我們的示例,設想一下計算機對自身進行更新并恢復良好狀態(因此可獲得不受限的網絡訪問)后會怎么樣。如果該計算機之后與策略不相符合,例如禁用了 Windows 防火墻,則 NAP 將自動將該計算機重新隔離。NAP 還允許管理員配置自動補救,無需用戶干預即可自動更正違規狀態,甚至在初始連接建立很久之后仍可執行這一操作。NAP 可以采取多種不同的方法控制網絡訪問。采用托管網絡交換機的組織可以利用 802.1X 在網絡硬件層提供基于端口的訪問控制。NAP 還能夠利用基于 Ipsec 的強制技術,通過 Ipsec 關聯建立安全網絡并將其覆在物理網絡之上。利用基于 Ipsec 的強制技術,NAP 可動態地創建和刪除 IPsec 引擎所使用的證書,以此來控制對安全區域的訪問。最后,NAP 可以提供基于 DHCP 的強制技術。在這種情況下,DHCP 服務器為運行狀態不良的客戶端提供來自受限池的 IP 租約。這些租約使用單獨的 DNS 后綴和 IP 路由來控制受限客戶端可以訪問哪些資源。
NAP 服務器組件基于下一版本的 Windows Server(代號“2008”)構建,更具體地說,是內置在新的網絡策略服務器 (NPS) 中,NPS 是 Internet 身份驗證服務 (ISA) 的替代品,功能得到了極大的增強。組織如果利用基于 802.1X 的強制技術,其網絡硬件必須支持 802.1X 身份驗證和動態 VLAN 功能(“NAP 資源”側欄中的 NAP 合作伙伴站點提供了有關特定硬件供應商的詳細信息)。要利用基于 DHCP 的強制技術,需要一個與 Windows Server“2008”提供的類似的支持 NAP 的 DHCP 服務。在客戶端上,Windows Vista™ 中內置了 NAP 支持。NAP 支持也可以作為加載項添加到 Windows® XP 中,隨之添加的還有一個新的 802.1X 申請者 (supplicant),它將在 Windows XP 上支持 802.1X 強制技術。此外,NAP 還集成在 Windows 安全中心和第三方的運行狀態代理內,用于報告運行狀態的信息。因此,NAP 能夠根據安全中心公布的數據作出策略驗證決策。NAP 是一個功能非常強大的企業級策略管理解決方案,因此,本文篇幅有限,不可能涵蓋其全部功能和部署策略。本文主要將重點放在中小型組織的部署上,因為在這些組織中,IT 員工的時間已經不夠分配了,因此可以對 NAP 部署進行精簡和優化,以便更快地實現部署所要求獲得的投資回報。但是文中很多講解性的內容和通用準則也同樣適用于任何規模的組織的 NAP 設計。但要注意的是,我所列舉的示例方法并非逐步設置指南,而是大體上概述了成功部署基于 DHCP 的 NAP 應關注的關鍵領域。
假設某公司的問題包袱
為了更清楚地了解 NAP 如何解決中小型組織的獨特需求,我們將以 某公司 公司為例加以說明。某公司 是一家假想的中型組織,有三個主要辦事處,共有 250 臺計算機。該公司的工作人員實現了很高的移動性,許多用戶都從遠程的客戶所在地遠距離地與主要辦事處進行通信或連接回主要辦事處。因此,該公司的計算機中有一半是便攜式計算機和 Tablet PC。與許多組織一樣,隨著工作人員移動性的增強,某公司 也面臨著更加嚴峻的安全性挑戰。某些使用移動數據終端的用戶從客戶那里或家庭辦公室染上了惡意軟件,然后將受感染的計算機又連接到 某公司 的內部網絡中。某公司 也曾努力采取過多種措施來確保這些遠程計算機保持最新狀態。但有的用戶經常要在客戶處工作很久才會回到 某公司 的辦事處。在這些情況下,他們計算機經常會數月不進行安全更新,這增加了 某公司 網絡中其他計算機面臨的整體風險。某公司 需要一個解決方案來確保所有連接到公司網絡的計算機(不論是遠程的還是本地的)都是安全的、狀態良好的。NAP 將如何幫助 某公司 實現這一目標呢?請回顧一下 NAP 的主要核心服務。借助策略驗證,NAP 可以對所有連接到 某公司 網絡的計算機的運行狀態進行檢查。策略驗證可以確定計算機是否具有最新的防病毒簽名,是否已完全安裝了所有安全更新修補程序。當 NAP 策略驗證例程確定一臺計算機狀態不良時,NAP 可以對該主機的網絡連接進行限制。這樣就確保了在異地使用并感染惡意軟件的計算機無法將惡意軟件傳播給網絡中的其他計算機。NAP 將限制狀態不良的計算機的連接,使其只能訪問由 某公司 的 IT 管理員定義的補救資源。例如,狀態不良的計算機可以訪問 某公司 WSUS 服務器和承載防病毒簽名的服務器。最后,NAP 可以確保計算機在恢復正常后始終保持良好狀態。在這個示例中,如果遠程辦公人員通過 VPN 使用狀態不良的主機,并且該用戶關閉了主機防火墻,則 NAP 會自動對這一問題進行補救。只要一禁用防火墻,NAP 體系結構就會立即將該計算機隔離,重新啟用防火墻,重新評估該計算機的運行狀態,在確定該計算機恢復良好狀態后,再將其放回不受限的網絡中。NAP 的四項核心服務直接滿足了 某公司 對動態移動的計算環境的安全方面的需求。
NAP 設計
對許多中小型組織而言,實施基于 DHCP 的 NAP 強制技術是最快、最簡單的可選方案。這是因為 DHCP 強制技術不需要對網絡進行其他更改,而且除 DHCP 和 NPS 之外,不需要其他服務。盡管 IPsec 和 802.1X 強制方案更為靈活,但它們都需要在網絡中進行額外更改并部署新的服務。對于較為簡單的環境,使用 DHCP 既可享受 NAP 提供的大多數好處,同時實現成本也低得多,持續運營費用也少一些。在 某公司 的環境中,圍繞一臺運行 Windows Server“2008”的計算機進行 NAP 部署。由于 NAP 需要 Windows Server“2008”NPS,因此不能在以前的 Windows Server 版本上部署 NAP。NAP 的基于 DHCP 的強制也需要 Windows Server“2008”DHCP 服務器。如果要整合這些服務,某公司 可以將 NPS 和 DHCP 部署在同一臺服務器上,二者可以相安無事,和諧共存。這樣,某公司 的基本 NAP 服務器體系結構就變得非常簡單:僅需一臺裝有 Windows Server“2008”的計算機,同時運行策略組件和強制組件。
在客戶端,某公司 運行 Windows Vista 的計算機已經具備支持 NAP 所需的能力。對運行 Windows Vista 的計算機而言,唯一要對客戶端做出的更改就是啟用 NAP 功能,這可通過組策略來實現。而對于運行 Windows XP 的計算機,則必須單獨安裝 NAP 客戶端軟件包。默認情況下,已加入域的 Windows XP 計算機的 Windows 安全中心功能是處于禁用狀態的。如果 NAP 策略需要使用來自安全中心的狀態信息來評估計算機的運行狀態,則必須運行安全中心,否則 NAP 無法正常運行。因此,對于 某公司 公司內運行 Windows XP 的計算機來說,管理員已通過組策略啟用了安全中心。除了這些更改外,客戶端無需再進行其他更改即可支持 NAP。
某公司 NAP 部署
在 某公司 完成前面所述的必要的組策略更改之后,下一個 NAP 部署步驟是安裝 Windows Server“2008”。所有 Windows Server“2008”版本都包括必需的 NAP 組件,因此,某公司 可以使用任何符合需求的版本。安裝完畢后,IT 管理員要使用服務器管理器工具向計算機添加新的角色。對于 某公司 使用的基于 DHCP 的強制,所需的角色為網絡訪問服務和 DHCP 服務器。添加角色向導將幫助管理員處理所有依賴關系并加入服務器可能需要的任何其他功能。添加完角色后,某公司 即可開始配置 NAP 了。某公司 的管理員將使用服務器管理器工具訪問 Microsoft 管理控制臺 (MMC) 的 DHCP 管理單元,并添加新的作用域。配置 Windows Server“2008”DHCP 服務器將導致它所服務的 IP 段上現有的 DHCP 服務全部被替換。根據 某公司 的網絡情況創建好該作用域并在其中填充了正確的選項后,就必須對其啟用 NAP。這一操作可在作用域屬性的“網絡訪問保護”選項卡上進行(參見圖 2)。
圖 2 啟用 NAP
NAP 通過新的 NAP 用戶類作用域選項使計算機在同一作用域內的受限和不受限網絡訪問之間切換。在向狀態不良的客戶端提供租約時,會使用這組特殊的作用域選項(包括 DNS 服務器、默認的 DNS 后綴,等等)。例如,提供給狀態良好的客戶端的默認 DNS 后綴為“某公司.com”,而提供給狀態不良的客戶端的后綴為“restricted.某公司.com”,如圖 3 中所示。配置好 DHCP 作用域選項后,即可設置網絡策略服務器并創建規則了。
圖 3 受限訪問
NPS 策略由四個主要組件構成。系統健康驗證器(System Health Validators,SHV)定義了評估計算機運行狀態需要執行哪些檢查。更新服務器組列出了狀態不良的計算機可以訪問的系統(例如 WSUS),通過訪問這些系統,狀態不良的計算機可以恢復正常狀態。系統健康驗證器模板組件用于定義實際的運行狀況。例如,某公司 可以認為通過了 Windows Security SHV 檢驗的計算機是“遵從策略”的,但客戶端仍有可能無法通過其防病毒供應商提供的另一項 SHV 檢查。最后,這些組件將組成一組網絡策略,其中包括了邏輯規則,借此根據計算機運行狀況確定如何對其進行處理。系統健康驗證器列出了各種項,NAP 代理會對這些項進行檢查并向 NPS 報告計算機運行狀況。默認的 NAP 部署包括 Windows SHV(加入到 Windows 安全中心),它可允許 NAP 檢查安全中心報告的所有安全組件的狀況。這其中包括防火墻、防病毒組件、自動更新組件和防間諜軟件組件。
我們之前說過,NAP 是可以擴展的,允許第三方創建屬于自己的 SHV,以便對單個組件進行更為詳細的檢查)。例如,Windows Security SHV 允許 NAP 檢查防病毒軟件是否已啟用并處于最新狀態。不過,Windows Security SHV 并不能執行有關防病毒應用程序的更詳細的檢查,例如計算機的掃描頻率或應用程序特定的其他選項。不過,防病毒軟件供應商可以創建自己的 SHV,與默認的 Windows SHV 相比,該 SHV 能夠更深入應用程序,提供更多應用程序特有的檢查。此 SHV 將與 Windows SHV 和其他可能存在的 SHV 密切協作;一個 NAP 部署有時會同時使用多個 SHV(參見圖 4)。
圖 4 Windows 安全 SHV
更新服務器組用于指定狀態不良的計算機能夠訪問哪些資源。這些組通常包括 WSUS 或 Systems Management Server (SMS) 服務器,以及防病毒更新服務器。至關重要的是,不僅要包括服務器本身,還要包括客戶端查找服務器所用的名稱解析服務器。由于 某公司 的客戶端經由組策略配置,使用稱為 wsus.某公司.com 的服務器進行自動更新,因此更新服務器組不僅必須包括該 WSUS 服務器的 IP 地址,還要包括 DNS 服務器的 IP 地址,因為客戶端要通過它將完全限定的域名 (FQDN) 轉換成數字 IP 地址。如果無權訪問這些名稱解析資源(可能為 DNS 和 WINS,具體取決于客戶端的配置方式),客戶端將無法解析補救資源的 IP 地址,也就無法訪問它們。圖 5 所示為示例的 DNS 和 IP 設置。
圖 5 DNS 名稱和 IP 地址
系統健康驗證器模板用于定義狀態良好的計算機需要滿足哪些條件。驗證模板會獲取 SHV 檢查的結果,并根據計算機是否通過其中的一項或多項檢查來確定其運行狀態是否良好(參見圖 6)。
圖 6 遵從性檢查
在 某公司 的環境中(象許多中小型組織的部署一樣),只定義了兩種狀態。通過所有 SHV 檢查的計算機稱為狀態良好的計算機。未能通過其中一項或多項檢查的計算機則稱為違規的計算機。如果需要,組織可以選擇實施更為復雜的邏輯(例如,根據角色、所在部門、地理位置等為用戶創建不同的遵從規則),但要注意,這樣做可能會增加識別和排查問題的難度,而且更為耗時。所有這些組件都通過網絡策略組合在一起。網絡策略由管理員定義,用于指導 NPS 如何根據計算機的運行狀態處理計算機。NPS 會從上到下評估這些策略(如 NPS UI 中所示),一旦計算機與策略規則相符,處理將立即停止。由于 某公司 網絡的目標是簡單,因此只需要少量策略。首先是 Compliant-FullAccess(合規 — 完全訪問)策略。此策略規定通過所有 SHV 檢查的計算機可以獲得不受限制的網絡訪問權限。具體地說,當計算機經過運行狀況評估并通過所有檢查時,NPS 會指示 DHCP 服務器為該計算機提供一個作用域選項為“正常”的 IP 租約。此 Compliant-FullAccess 策略通常應該列在處理順序的首位,因為大多數計算機在接受這項檢查時應該都是符合規則的。將此策略列在首位可減少 NPS 的處理工作量和時間。下一個要用到的策略是
Noncompliant-Restricted(違規 — 受限訪問)。在 某公司 環境中,此策略對應任何未通過一項或多項 SHV 檢查(因此符合違規系統健康驗證模板)的計算機。如果有計算機與此策略相符,則 NPS 會指示 DHCP 服務器為該客戶端提供一個具有特殊 NAP“受限”作用域選項的 IP 租約。該地址僅允許違規計算機訪問 某公司 的更新服務器組中定義的資源。
第三個要用到的策略針對后臺兼容性。我們說過,默認情況下,Windows XP 和更高版本的操作系統都提供 NAP 支持(不過,獨立軟件供應商也許會開發適用于更低的 Windows 版本和非 Windows 操作系統的 NAP 客戶端)。如果 某公司 的生產環境中仍存在 Windows 2000,則可以創建一條規則(在我們的示例中為 Downlevel-Full-Access),允許為不識別 NAP 的計算機授予正常的網絡訪問權限(DHCP 服務器默認的作用域選項)。此策略應該最后評估,并且只有當下層計算機需要網絡訪問時才需要創建和啟用(參見圖 7)。
圖 7 下層計算機的訪問權限設置
如果 某公司 的網絡中存在目前不支持、且以后也不會支持 NAP 的資源(如打印機或其他硬件),我們該怎么辦?而且,如果 某公司 的計算機雖然支持 NAP,但卻想永久或暫時免于策略檢查,我們又將如何解決?有一種簡單的方法可用于將這些計算機設為例外,即求助于 MAC 地址。為了讓這些計算機繞過 NAP 檢查,某公司 管理員可以創建一個新的策略(按 MAC 設為例外),這樣即可賦予它們完全的網絡訪問權限。此策略使用條件語句,Calling Station ID 的 RADIUS 客戶端屬性要與需要繞過 NAP 檢查的那些設備的 MAC 地址相匹配。當計算機符合此策略語句時,NPS 會指示 DHCP 提供一個具有“正常”作用域選項的租約。此策略應該列在評估順序的首位,以便減少 NPS 的總體處理時間和工作量。符合此策略的計算機不需要再進行任何 SHV 評估,因此 NPS 無需對其進行循環檢查(參見圖 8)。
圖 8 忽略某些計算機
這些策略結合在一起可確保 某公司 的 NPS 迅速準確地評估連接到網絡的計算機。在需要時,它們還能為下層計算機和設備提供免檢,或在支持 NAP 的設備需要暫時繞過檢查時,提供免檢。
總結
NAP 中囊括了廣泛的技術,需要進行全面的規劃和測試,尤其是在較復雜的應用方案中。盡管我重點介紹的應用方案并不復雜,但 NAP 網站可提供更為詳細的指導準則,所有規模的部署皆可參考。該網站還包括基于 802.1X 和 Ipsec 的強制技術的規劃幫助信息,與基于 DHCP 的強制相比,這些技術通常更適合企業的需求。NAP 為評估連接到網絡的計算機的運行狀況提供了一個強有力的可擴展平臺。對中小型組織而言,基于 DHCP 的強制具有諸多好處,而且實現和管理的成本較低。NAP 是使用 Windows Server“2008”所獲得的一個主要好處,它能幫助您的組織增強安全性,改善規則遵從狀況。
【編輯推薦】
