虚拟化 频道

Win2008 R2实战之NAP技术预览

  【IT168 专稿】一日,小赵正专心的在屏幕前看着资料,一个电话突然想起,吓了小赵一跳,接起电话,那头便响起了急促了声音:小赵,快帮我看看,我电脑中毒了,现在桌面乱七八糟的,文件夹都混乱了。小赵听罢,悻悻说:一定是你小子不干好事,中招了吧。电话那头也急了:没有呀,我正在做PPT呢,突然就程序关闭,乱七八糟了。小赵听了:知道了,一会过去给你看看。刚放下电话,突然IT部的电话铃声几乎同时想起,大家都在抱怨说中病毒了,敏感的小赵突然意识到情况不对,询问了几位有此情况的同事,发现大家几乎都一样,正常工作时病毒就爆发了。经过一上午的紧急响应,病毒风波算是平息了下来。事后,IT经理开会讨论,问及原因,小赵说:发生问题的电脑多数没有安装最新的系统补丁,杀毒软件也没有及时更新,防火墙处于关闭状态,导致了病毒广泛传播。但根源是一台几乎没有任何防护措施员工笔记本接入了公司网络,造成了这次事故。经过IT部门的集体讨论,大家一致决定通过部署NAP技术来解决内网安全隐患问题。

  一、 NAP(Network Access Protection)概述

  NAP是一种包含在Windows Server 2008 R2、Windows Server 2008 、Windows Vista、Windows 7和Windows XP SP3中的策略执行平台,旨在通过计算机健康状态检测技术,保护企业内部网络免受非安全客户端的网络威胁。通过NAP平台,系统管理员可以自定义健康安全策略,在客户端访问企业网络之前,使用策略检测客户端健康状态,确保接入企业网络的客户端安全状态良好,并且阻止不健康的客户端接入,将它们放入受限网络,进行健康修补,直到符合健康策略为止。

  同时,NAP也提供了应用程序接口集,使第三方厂商能够为健康策略验证,网络访问限制等功能提供诸如防病毒、补丁管理、VPN和网络设备的第三方解决方案。

  二、 网络访问保护组件

  网络访问保护包括3个主要的特性组件,它们都包含在Windows Server 2008的功能中。

  健康状况组件

  系统健康状态代理(System Health Agent):检查系统健康状态,如补丁、反病毒、反间谍软件的新旧程度等。

  系统健康验证器(System Health Validator):验证系统健康状态代理的所提供的信息,并给出声明。

  系统健康状态服务器:定义客户端的健康状态需求。在Windows Server 2008中,是指网络策略服务器(Network Policy Server)。

  修正服务器:为不符合健康状态要求的客户端提供修补,比如安装补丁,升级杀毒软件病毒库,使之成为健康状态。

  强制组件

  强制客户端(Enforcement Client):指使用NAP平台的客户端。Windows 7、Windows vista、Windows XP SP3都支持NAP,并且都内置系统健康代理组件。强制客户端请求访问网络、与提供网络访问的 NAP 服务器(如 NAP 服务器)交流客户端计算机的健康状态,并与 NAP 客户端体系结构的其他组件交流客户端计算机的受限状态。

  网络访问设备:提供NAP客户端的网络访问,比如交换机和无线AP。

  健康注册机构:给健康客户端颁发安全证书。

  隔离平台组件

  隔离代理(Quarantine Agent): 报告客户端健康状态,以及SHA和EC之间的协作。

  隔离服务器(Quarantine Server):根据系统健康代理提供的客户端健康状态信息,限制客户的网络访问。

网络访问保护组件

  三、 网络访问保护强制机制

  在Windows Server 2008 中,网络访问保护提供了一个灵活的平台,包含了多中强制机制:

  DHCP强制:这是一种非常简单有效的强制方式,通过SHA反馈的客户端健康状态来限制哪些客户端可以获得DHCP地址来访问网络。但此方式的缺点在于客户端可以自行更改IP地址来进行网络访问。不过在结合活动目录域管理后,此强制模式效果会非常好。

  VPN强制:对于经常漫游的客户端来说,网络访问保护机制同样有效。虽然采用加密隧道方式跨越了非安全网络,但网络访问保护依然可以检测并控制客户端计算机的健康状态。

  802.1X强制:此强制方式多用于使用无线网络的客户端访问场景。802.1X基于端口强制,NPS服务器可通过IP筛选器或VLAN标识符限制来自客户端的网络访问。

  IPsec强制:IPsec通过使用证书来加密所有通信,获得极高的安全性。通过检测客户端的系统健康状态来控制哪些客户端可以担当IPsec客户端,来保护NAP客户端之间的通信安全。

  远程桌面网关强制:这是为Windows Server 2008 R2中的远程桌面服务角色提供的一种全新强制方式,这种方式通过监视远程桌面客户端系统的健康状态,来保障内部网络的安全。

  四、 NAP在Windows Server 2008 R2中的新增功能

  1. 多配置的系统健康验证

  通过该功能可以指定系统健康验证器的多个配置,不同的网络策略可根据 SHV 的特定配置指定不同的健康要求集。可根据实际要求在NAP客户端上启用以下一个或多个选项:

  防火墙

  病毒防护

  防病毒软件的病毒库为最新

  间谍软件防护

  防间谍软件的病毒库为最新

  自动更新

  安全更新

  2. 客户端界面改进

  微软在收集了用户交互反馈后,在运行Windows 7的计算机中,将NAP客户端集成到了操作中心里,改善了用户体验。

  3. 与Direct Access的整合

  Direct Access在使用IPsec保护IPv6通信之前,会先进行健康状态评估,然后在允许通过Direct Access访问企业内部网络。不过需要注意的是,客户端在进入内网前需要能访问健康注册授权机构以获取使用IPsec加密的证书。

  通过以上描述,想必大家对网络访问保护技术已经有了一个初步的了解,接下来,我将对其中的各个强制保护机制进行详细的部署讲解,看看NAP技术是如何解决Contoso公司内网安全隐患的。

0
相关文章