一日,小趙正專心的在屏幕前看着資料,一個電話突然想起,嚇了小趙一跳,接起電話,那頭便響起了急促了聲音:小趙,快幫我看看,我電腦中毒了,現在桌面亂七八糟的,文件夾都混亂了。小趙聽罷,悻悻說:一定是你小子不幹好事,中招了吧。電話那頭也急了:沒有呀,我正在做PPT呢,突然就程序關閉,亂七八糟了。小趙聽了:知道了,一會過去給你看看。剛放下電話,突然IT部的電話鈴聲幾乎同時想起,大家都在抱怨說中病毒了,敏感的小趙突然意識到情況不對,詢問了幾位有此情況的同事,發現大家幾乎都一樣,正常工作時病毒就爆發了。經過一上午的緊急響應,病毒風波算是平息了下來。事後,IT經理開會討論,問及原因,小趙說:發生問題的電腦多數沒有安裝最新的系統補丁,殺毒軟件也沒有及時更新,防火牆處於關閉狀態,導致了病毒廣泛傳播。但根源是一臺幾乎沒有任何防護措施員工筆記本接入了公司網絡,造成了這次事故。經過IT部門的集體討論,大家一致決定通過部署NAP技術來解決內網安全隱患問題。
一、 NAP(Network Access Protection)概述
NAP是一種包含在Windows Server 2008 R2、Windows Server 2008 、Windows Vista、Windows 7和Windows XP SP3中的策略執行平臺,旨在通過計算機健康狀態檢測技術,保護企業內部網絡免受非安全客戶端的網絡威脅。通過NAP平臺,系統管理員可以自定義健康安全策略,在客戶端訪問企業網絡之前,使用策略檢測客戶端健康狀態,確保接入企業網絡的客戶端安全狀態良好,並且阻止不健康的客戶端接入,將它們放入受限網絡,進行健康修補,直到符合健康策略爲止。
同時,NAP也提供了應用程序接口集,使第三方廠商能夠爲健康策略驗證,網絡訪問限制等功能提供諸如防病毒、補丁管理、***和網絡設備的第三方解決方案。
二、 網絡訪問保護組件
網絡訪問保護包括3個主要的特性組件,它們都包含在Windows Server 2008的功能中。
健康狀況組件
系統健康狀態代理(System Health Agent):檢查系統健康狀態,如補丁、反病毒、反間諜軟件的新舊程度等。
系統健康驗證器(System Health Validator):驗證系統健康狀態代理的所提供的信息,並給出聲明。
系統健康狀態服務器:定義客戶端的健康狀態需求。在Windows Server 2008中,是指網絡策略服務器(Network Policy Server)。
修正服務器:爲不符合健康狀態要求的客戶端提供修補,比如安裝補丁,升級殺毒軟件病毒庫,使之成爲健康狀態。
強制組件
強制客戶端(Enforcement Client):指使用NAP平臺的客戶端。Windows 7、Windows vista、Windows XP SP3都支持NAP,並且都內置系統健康代理組件。強制客戶端請求訪問網絡、與提供網絡訪問的 NAP 服務器(如 NAP 服務器)交流客戶端計算機的健康狀態,並與 NAP 客戶端體系結構的其他組件交流客戶端計算機的受限狀態。
網絡訪問設備:提供NAP客戶端的網絡訪問,比如交換機和無線AP。
健康註冊機構:給健康客戶端頒發安全證書。
隔離平臺組件
隔離代理(Quarantine Agent): 報告客戶端健康狀態,以及SHA和EC之間的協作。
隔離服務器(Quarantine Server):根據系統健康代理提供的客戶端健康狀態信息,限制客戶的網絡訪問。
三、 網絡訪問保護強制機制
在Windows Server 2008 中,網絡訪問保護提供了一個靈活的平臺,包含了多中強制機制:
DHCP強制:這是一種非常簡單有效的強制方式,通過SHA反饋的客戶端健康狀態來限制哪些客戶端可以獲得DHCP地址來訪問網絡。但此方式的缺點在於客戶端可以自行更改IP地址來進行網絡訪問。不過在結合活動目錄域管理後,此強制模式效果會非常好。
***強制:對於經常漫遊的客戶端來說,網絡訪問保護機制同樣有效。雖然採用加密隧道方式跨越了非安全網絡,但網絡訪問保護依然可以檢測並控制客戶端計算機的健康狀態。
802.1X強制:此強制方式多用於使用無線網絡的客戶端訪問場景。802.1X基於端口強制,NPS服務器可通過IP篩選器或VLAN標識符限制來自客戶端的網絡訪問。
IPsec強制:IPsec通過使用證書來加密所有通信,獲得極高的安全性。通過檢測客戶端的系統健康狀態來控制哪些客戶端可以擔當IPsec客戶端,來保護NAP客戶端之間的通信安全。
遠程桌面網關強制:這是爲Windows Server 2008 R2中的遠程桌面服務角色提供的一種全新強制方式,這種方式通過監視遠程桌面客戶端系統的健康狀態,來保障內部網絡的安全。
四、 NAP在Windows Server 2008 R2中的新增功能
1. 多配置的系統健康驗證
通過該功能可以指定系統健康驗證器的多個配置,不同的網絡策略可根據 SHV 的特定配置指定不同的健康要求集。可根據實際要求在NAP客戶端上啓用以下一個或多個選項:
防火牆
病毒防護
防病毒軟件的病毒庫爲最新
間諜軟件防護
防間諜軟件的病毒庫爲最新
自動更新
安全更新
2. 客戶端界面改進
微軟在收集了用戶交互反饋後,在運行Windows 7的計算機中,將NAP客戶端集成到了操作中心裏,改善了用戶體驗。
3. 與Direct Access的整合
Direct Access在使用IPsec保護IPv6通信之前,會先進行健康狀態評估,然後在允許通過Direct Access訪問企業內部網絡。不過需要注意的是,客戶端在進入內網前需要能訪問健康註冊授權機構以獲取使用IPsec加密的證書。
通過以上描述,想必大家對網絡訪問保護技術已經有了一個初步的瞭解,接下來,我將對其中的各個強制保護機制進行詳細的部署講解,看看NAP技術是如何解決Contoso公司內網安全隱患的。