此外,Windows Server 2008 R2 和 Windows 7 中還內(nèi)置了網(wǎng)絡(luò)訪問(wèn)保護(hù) (NAP) 功能。當(dāng)客戶端計(jì)算機(jī)嘗試連接網(wǎng)絡(luò)或與網(wǎng)絡(luò)通信時(shí),NAP 可監(jiān)視和評(píng)估該計(jì)算機(jī)的運(yùn)行狀態(tài)。
二者結(jié)合將獲得更強(qiáng)大的功能。使用 NAP 實(shí)現(xiàn) DirectAccess,讓您可以指定只有符合系統(tǒng)健康要求的 DirectAccess 客戶端才能通過(guò) Internet 訪問(wèn) Intranet 資源。
DirectAccess隧道
使用完全 Intranet 訪問(wèn)或選定服務(wù)器訪問(wèn)模式的 DirectAccess 客戶端將創(chuàng)建以下連接到 DirectAccess 服務(wù)器的 Internet 協(xié)議安全性 (IPsec) 隧道:
基礎(chǔ)結(jié)構(gòu)隧道:連接 Intranet 域名系統(tǒng) (DNS) 服務(wù)器和 Active Directory 域服務(wù) (AD DS) 域控制器。默認(rèn)情況下,此隧道要求使用計(jì)算機(jī)證書和計(jì)算機(jī)帳戶 NT LAN 管理器版本 2 (NTLMv2) 憑據(jù)進(jìn)行身份驗(yàn)證。DirectAccess 客戶端在用戶登錄之前創(chuàng)建此隧道。
管理隧道:在用戶登錄之前連接到其他 Intranet 位置。Intranet 管理服務(wù)器也可以創(chuàng)建此隧道,以便遠(yuǎn)程管理 DirectAccess 客戶端。與基礎(chǔ)結(jié)構(gòu)隧道相同,默認(rèn)情況下此隧道也要求使用計(jì)算機(jī)證書和計(jì)算機(jī)帳戶 NTLMv2 憑據(jù)進(jìn)行身份驗(yàn)證。
Intranet 隧道:在用戶登錄之后連接到不在基礎(chǔ)結(jié)構(gòu)和管理隧道規(guī)則的目標(biāo)地址列表中的 Intranet 位置。默認(rèn)情況下,此隧道要求計(jì)算機(jī)證書和用戶帳戶 Kerberos 憑據(jù)以進(jìn)行身份驗(yàn)證。
NAP和IPsec強(qiáng)制
您可以使用很多強(qiáng)制方法部署 NAP,以對(duì)連接或通信強(qiáng)制實(shí)施系統(tǒng)健康要求。IPsec 強(qiáng)制方法使用健康證書(在增強(qiáng)型密鑰用法 [EKU] 字段中包含系統(tǒng)健康身份驗(yàn)證對(duì)象標(biāo)識(shí)符 [OID] 的數(shù)字證書),要求對(duì) Intranet 流量進(jìn)行 IPsec 保護(hù)的 IPsec 連接安全性規(guī)則,以及使用健康證書的 IPsec 對(duì)等身份驗(yàn)證。
這種組合可強(qiáng)制使 Intranet 上計(jì)算機(jī)之間的通信符合系統(tǒng)健康要求。不符合系統(tǒng)健康要求和缺少健康證書的計(jì)算機(jī)無(wú)法在 Intranet 上發(fā)起通信。
IPsec 強(qiáng)制部署需要以下內(nèi)容:
健康注冊(cè)機(jī)構(gòu) (HRA):一臺(tái) Web 服務(wù)器,接收并響應(yīng) NAP 客戶端以及客戶端發(fā)出的驗(yàn)證系統(tǒng)健康并獲得健康證書的請(qǐng)求。
NAP 證書頒發(fā)機(jī)構(gòu) (CA):公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中的 CA(通常是專用的),負(fù)責(zé)為合規(guī)的 NAP 客戶端頒發(fā)健康證書。
NAP 健康策略服務(wù)器:負(fù)責(zé)驗(yàn)證系統(tǒng)健康請(qǐng)求的網(wǎng)絡(luò)策略服務(wù)器 (NPS)。
更新服務(wù)器:包含資源的服務(wù)器。NAP 客戶端需要這些資源來(lái)更正其不合規(guī)的系統(tǒng)健康狀態(tài)。
通過(guò) HRA 獲得的健康證書的生命期很短,通常為數(shù)個(gè)小時(shí)。您也可以向需要健康證書以進(jìn)行 IPsec 對(duì)等身份驗(yàn)證但不需要執(zhí)行系統(tǒng)健康驗(yàn)證的服務(wù)器頒發(fā)生命期更長(zhǎng)的豁免健康證書。
使用NAP實(shí)現(xiàn)DirectAccess
使用 NAP 實(shí)現(xiàn) DirectAccess 是將系統(tǒng)健康合規(guī)性與 DirectAccess 連接過(guò)程相集成。當(dāng)您結(jié)合使用 DirectAccess 和 NAP,以便在允許訪問(wèn) Intranet 資源之前強(qiáng)制實(shí)施系統(tǒng)健康要求時(shí),實(shí)際上是利用 NAP 基礎(chǔ)結(jié)構(gòu)來(lái)頒發(fā)健康證書(HRA、NAP C、NAP 健康策略服務(wù)器)并更正系統(tǒng)健康狀態(tài)(更新服務(wù)器)。您還針對(duì)基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道使用 DirectAccess 連接安全性規(guī)則。
默認(rèn)情況下,在 DirectAccess 客戶端和服務(wù)器上為基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道配置的連接安全性規(guī)則不需要在進(jìn)行身份驗(yàn)證時(shí)使用健康證書。是否需要修改規(guī)則集以便要求健康證書,取決于以下內(nèi)容:
NAP 部署模式(報(bào)告或完全強(qiáng)制)
報(bào)告模式不要求系統(tǒng)健康合規(guī)。不合規(guī)的 DirectAccess 客戶端可以訪問(wèn) Intranet。因此,不需要更改 DirectAccess 連接安全性規(guī)則。
完全強(qiáng)制模式要求系統(tǒng)健康合規(guī)。在此模式中,您必須配置連接安全性規(guī)則以要求健康證書,而不是要求普通的計(jì)算機(jī)證書。
HRA 和更新服務(wù)器的位置
您可以在 Intranet 或 Internet 上找到 HRA 和更新服務(wù)器。
下文將分別介紹 HRA 和更新服務(wù)器的這兩種位置,以及您因此需要做出的更改,以便連接安全性規(guī)則要求健康證書。
基于Intranet的HRA和更新服務(wù)器
當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時(shí),DirectAccess 客戶端必須能夠使用計(jì)算機(jī)證書(而不是健康證書)來(lái)訪問(wèn)它們。健康驗(yàn)證發(fā)生在創(chuàng)建基礎(chǔ)結(jié)構(gòu)和管理隧道之后。DirectAccess 客戶端需要基礎(chǔ)結(jié)構(gòu)隧道來(lái)訪問(wèn) Intranet DNS 服務(wù)器以解析 Intranet 名稱,并需要管理隧道來(lái)訪問(wèn) HRA 和更新服務(wù)器。
圖 1 當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時(shí),使用 NAP 實(shí)現(xiàn)的 DirectAccess。
但是,對(duì)于完全強(qiáng)制模式,DirectAccess 客戶端需要健康證書才能訪問(wèn)其他 Intranet 資源。因此,健康證書要求只適用于 Intranet 隧道的連接安全性規(guī)則。
配置步驟
當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時(shí),若要配置使用 NAP 的 DirectAccess,您需要:
向管理服務(wù)器列表中添加 HRA 和更新服務(wù)器的 IPv6 地址。您可以使用 DirectAccess 安裝向?qū)е械牡谌交蚴褂?Netsh.exe 命令來(lái)完成添加。
使用 Netsh.exe 命令在 DirectAccess 服務(wù)器組策略對(duì)象 (GPO) 中配置 Intranet 隧道規(guī)則以要求健康證書。
有關(guān)詳細(xì)步驟,請(qǐng)參見為 NAP 配置 DirectAccess 連接安全性規(guī)則。
您使用 Netsh.exe 自定義 DirectAccess 連接安全性規(guī)則時(shí),所做的更改將在您下次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時(shí)被覆蓋。若要確保保留這些自定義設(shè)置,您要么放棄使用 DirectAccess 安裝向?qū)?lái)更改配置,要么在腳本中編譯自定義更改列表,然后在每次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時(shí)運(yùn)行該腳本。
工作原理
以下過(guò)程描述了當(dāng) HRA 和更新服務(wù)器只位于 Intranet 上時(shí),使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:
當(dāng) DirectAccess 客戶端啟動(dòng)并嘗試使用其計(jì)算機(jī)帳戶登錄 AD DS 域時(shí),它使用其計(jì)算機(jī)證書創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。
