實現(xiàn)Direct Access安全接入

配置試驗環(huán)境

這里為了便于說明，在Direct Access網(wǎng)絡(luò)環(huán)境中添加一臺名為HPYZ的成員服務(wù)器，為其配置合適的IPv4或IPv6地址，添加到域環(huán)境中。在其上配置和安裝HRA服務(wù)器和NAP服務(wù)器角色，即該機既可以接收Direct Access客戶端發(fā)來的RoH健康信息，也可以檢測客戶端是否滿足健康策略的要求。對于健康的客戶端，該機會向CA服務(wù)器申 請 SHA（System Health Authenticaton，系統(tǒng)健康認證）證書，之后將證書發(fā)送給客戶端。而只有持有該證書的Direct Access客戶端，才可以順利訪問內(nèi)網(wǎng)服務(wù)器。

為了便于管理Direct Access客戶端，在域控上打開Active Directory用戶和計算機窗口，在名為“xxx.com”的域名中選擇“Users”容器，在其中新建名為“DAyh”的組，在該組中容納所有的DirectAccess客戶端主機。當然，Direct Access客戶端必須事先加入到域中。在Active Directory用戶和計算機窗口選擇“Dayh”組，在其右鍵菜單上點擊“添加到組”項，在彈出窗口點擊“對象類型”按鈕，只選擇“計算機”項，之后輸入Direct Access客戶端主機名，將其添加到該組中。

配置健康證書模版

在證書服務(wù)器上打開證書機構(gòu)控制臺，在左側(cè)的“證書模版”項的右鍵菜單上點擊“管理”項，在證書模版控制臺中選擇“工作站身份驗證”模版，在其右鍵菜單上點擊“復(fù)制模版”項，在新模版的屬性窗口（如圖1）中的“常規(guī)”面板中的“模版顯示名稱”欄中可以更改其名稱（例如“DAZS證書”），在“使用者名稱”面板中選擇“在請求中提供”項，在彈出的“警告”窗口中點擊“確定”按鈕激活該項目。

圖1 新模版屬性窗口

在“擴展”面板中選擇“應(yīng)用程序策略”項，點擊“編輯”按鈕，在“編輯應(yīng)用程序策略擴展”窗口中點擊“添加”按鈕，在“添加應(yīng)用程序策略”窗口中選擇“系統(tǒng)健康身份驗證”項，點擊“確定”按鈕存儲該模版。在“證書頒發(fā)機構(gòu)”窗口左側(cè)選擇“證書模版”項，在其右鍵菜單上點擊“新建”、“要頒發(fā)的證書模版”項，在“啟用證書模版”窗口中選擇上述“DAZS證書”項，點擊“確定”按鈕完成健康證書模版創(chuàng)建操作。

為了讓上述HPYZ服務(wù)器擁有申請，頒發(fā)和管理證書的權(quán)限，需要在證書頒發(fā)機構(gòu)窗口左側(cè)選擇根證書服務(wù)器名稱，在右鍵菜單上點擊“屬性”項，在其屬性窗口中的“安全”面板中點擊“添加”按鈕，在“選擇用戶、計算機、服務(wù)賬戶或組”窗口中點擊“對象類型”按鈕，在其中只選擇“計算機”項，在“輸入對象名稱來選擇”欄中輸入HPYZ主機名，將其添加帶安全列表中。選擇該主機，在權(quán)限列表中的“允許”列中選擇“讀取”、“頒發(fā)和管理證書”、“管理CA”和“請求證書”項目，這樣該機就擁有了所需的證書管理權(quán)限。

因為證書是存在有效期的，為了讓該機靈活的調(diào)整發(fā)放的證書的有效期，可以在“PowerShell”窗口中執(zhí) 行“certutil -setreg policyEditFlags +EDITF_ATTRIBUYEENDATE”命令來實現(xiàn)上述要求。在證書頒發(fā)機構(gòu)控制臺左側(cè)選擇證書服務(wù)器名，在右鍵菜單上點擊“所有任務(wù)”項，在分支菜單中分別點擊“停止服務(wù)”和“啟動服務(wù)”項來重啟證書服務(wù)，使上述配置生效。在HYZS服務(wù)器上執(zhí)行“mmc”程序，在控制臺中點擊菜單“文件”、“添加/刪除管理單元”項，在“打開”窗口左側(cè)選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，在控制臺左側(cè)依次選擇“證書”、“個人”項，在其右鍵菜單上點擊“所有任務(wù)”、“申請新證書”項。在向?qū)Ы缑嬷械淖C書注冊窗口中選擇“計算機”項，點擊“注冊”按鈕，之后在證書列表中就可以看到名為“HPYZ.xxx.cm”的計算機證書，其中的“xxx.com”為域名。

配置網(wǎng)絡(luò)策略服務(wù)器

圖2 網(wǎng)絡(luò)策略域訪問配置界面

在名為HPYZ的主機上打開服務(wù)器管理器，添加“網(wǎng)絡(luò)策略與訪問服務(wù)”角色，并選擇“健康注冊機構(gòu)”，點擊“下一步”按鈕，在“證書頒發(fā)機構(gòu)”窗口（如圖2）中選擇“使用現(xiàn)有遠程CA”項，表示使用指定的CA服務(wù)器來頒發(fā)健康證書。點擊“選擇”按鈕，在“選擇證書頒發(fā)機構(gòu)”窗口中選擇CA根節(jié)點。在“身份驗證要求”窗口中選擇“是，要求請求者通過域成員身份驗證”項，點擊“下一步”按鈕，在“服務(wù)器身份驗證證書”窗口中選擇“為SSL加密選擇現(xiàn)有證書”項，在列表中顯示上述申請到的證書，依次點擊“下一步”按鈕直到完成操作為止。

在健康注冊機構(gòu)控制臺左側(cè)選擇“證書頒發(fā)機構(gòu)”項，在右側(cè)顯示具體的證書頒發(fā)機構(gòu)名稱。如果沒有的話，可以點擊右側(cè)的“添加證書頒發(fā)機構(gòu)”鏈接，來添加證書服務(wù)器。在“證書頒發(fā)機構(gòu)”項的右鍵菜單上點擊“屬性”項，在其屬性窗口中的“由此健康注冊機構(gòu)批準的證書將有效”欄中顯示證書的有效期，默認為4小時。當然，管理員可以根據(jù)需要進行更改。在“經(jīng)身份驗證的兼容證書模版”和“匿名兼容證書模版”列表中選擇上述“DAZS證書”模版名稱。

圖3 網(wǎng)絡(luò)策略服務(wù)器控制臺

為更快速地將HPYZ主機配置為健康策略服務(wù)器，可以在網(wǎng)絡(luò)策略服務(wù)器控制臺（如圖3）中選擇“網(wǎng)絡(luò)訪問保護（NAP）”項，點擊“配置”按鈕，在向?qū)Ы缑嬷械摹熬W(wǎng)絡(luò)連接方法”列表中選擇“帶有健康注冊機構(gòu)（HRA）的IPsec”項，點擊“下一步”按鈕，因為該機集NAP強制執(zhí)行點以及NAP健康策略服務(wù)器于一身，所以其同時具有RADIUS客戶端和服務(wù)器的身份。指定NAP強制服務(wù)器窗口中無需進行任何設(shè)置，點擊“下一步”按鈕，在“定義NAP健康策略”窗口中選擇“Windows安全健康驗證程序”和“啟用對客戶端計算機的自動恢復(fù)”項，之后點擊“完成”按鈕，就快速完成了有關(guān)健康策略設(shè)置、網(wǎng)絡(luò)策略設(shè)置、連接請求策略等復(fù)雜的配置操作。

管理和配置NAP健康策略服務(wù)器

為了讓符合健康條件的客戶端順利連接Direct Access服務(wù)器，需配置合適的健康檢查條件。在網(wǎng)絡(luò)策略服務(wù)器控制臺左側(cè)選擇“網(wǎng)絡(luò)訪問保護”、“系 統(tǒng) 健 康 驗 證 程序”、“Windows安全健康驗證程序”、“設(shè)置”項，在右側(cè)窗口雙擊“默認配置”項，在“Windows安全健康驗證程序”窗口（如圖4）中可以選擇所需的檢查項目，包括“已為所有網(wǎng)絡(luò)連接啟動防火墻”、“防病毒應(yīng)用程序已啟用”、“防病毒程序為最新的”、“反間諜軟件應(yīng)用程序已啟用”等。管理員可根據(jù)實際需要健康檢查條件。

圖4 設(shè)置健康檢查條件

在窗口左側(cè)選擇“策略”、“連接請求策略”項，在右側(cè)顯示名為“NAP具有HRA的IPsec”策略已經(jīng)處于啟動狀態(tài)。在左側(cè)選擇“策略”、“網(wǎng)絡(luò)策略”項，在右側(cè)顯示“NAP具有的HRA的IPsec符 合”和“NAP具有HRA的IPsec不符合”等策略已經(jīng)處于啟用狀態(tài)。前者是針對符合健康檢查要求的Direct Access客戶端發(fā)揮作用，讓其擁有完全的網(wǎng)絡(luò)訪問權(quán)限。后者針對的是不符合預(yù)設(shè)健康檢查要求的Direct Access客戶端而言的，使其只能獲得受限制的網(wǎng)絡(luò)訪問權(quán)限。例如雙擊“NAP具有的HRA的IPsec符合”策略，在屬性窗口中可以看到“授予訪問權(quán)限”項即處于選擇狀態(tài)。雙擊“NAP具 有 HRA的 IPsec不符合”策略項，在屬性窗口中確?！熬芙^訪問”項處于選擇狀態(tài)。

在“設(shè)置”面板左側(cè)選擇“NAP強制”項，在右側(cè)如果選擇了“啟用對客戶端計算機的自動修復(fù)”項，表示啟用了自動修復(fù)功能，可以自動修復(fù)客戶端的健康問題，使其具有符合條件的健康條件來順利訪問Direct Access服務(wù)器。在左側(cè)選擇“策略”、“健康策略”項，在右側(cè)顯示名為“NAP具有HRA的IPsec”和“NAP具有HRA的Ipsec不符合”策略。分別定義了符合健康策略的條件與不符合健康策略的條件。例如雙擊前者，在屬性窗口中的“客戶端SHA檢查”列表顯示“客戶端通過所有SRV檢查”項，在“此健康策略中使用的SHV”列表中顯示上述配置的健康策略。這表明客戶端只有符合預(yù)設(shè)的所有的健康檢查后，才屬于健康的Direct Access客戶端，從而才能獲得完全的網(wǎng)絡(luò)訪問權(quán)限。

在域控上設(shè)置和NAP相關(guān)的組策略

在域環(huán)境中，通過設(shè)置合適的組策略，可以有效管控域中所有主機的運行狀態(tài)。對于Direct Access客戶端來說，當加入域后，訪問域中的資源時，也必然需要應(yīng)用這些組策略。在域控上打開組策略管理器，在左側(cè)選擇“林”、“域”、“xxx.com”項，在其右鍵菜單上點擊“在這個域中創(chuàng)建GPO并在此處鏈接”項，在新建GPO窗口中輸入其名稱（例如“DirectAccess客戶端配置”），點擊“確定”按鈕創(chuàng)建該GPO。在名為“DirectAccess客戶端配置”的GPO的右鍵菜單上點擊“編輯”項，在組策略編輯器中依次選擇“計算機配置”、“策略”、“Windows 設(shè)置”、“安全設(shè)置”、“系統(tǒng)服務(wù)”分支，在右側(cè)雙擊“Network Access Protection Agent”項，將啟動類型設(shè)置為自動。

圖5 添加受信任的服務(wù)器組

依次選擇“計算機配置”、“策略”、“Windows 設(shè)置”、“安全設(shè)置”、“網(wǎng)絡(luò)訪問保護”、“NAP客戶端配置”、“強制客戶端”分支，在右側(cè)雙擊“IPsec信賴方”項，在彈出窗口中選擇“啟用此強制客戶端”先，點擊“確定”按鈕保存配置信息。選擇“NAP客戶端配置”、“健康注冊設(shè)置”、“受信任的服務(wù)器組”分支，在右鍵菜單上點擊“新建”項，在向?qū)Ы缑嬷休斎虢M名（例如“安全的服務(wù)器組”），點擊“下一步”按鈕，在“添加服務(wù)器”窗口（如圖5）中輸入合適的 URL，例如“https//NPYZ.xxx.com/domainhra/hcsrvext.dll”。Direct Access客戶端訪問該URL地址，就可以連接上述名為HPYZ的服務(wù)器。

依次選擇“計算機配置”、“策 略”、“管 理模 版”、“Windows組 件”、“安 全 中心”分支，在右側(cè)雙擊“啟用安全中心（僅限域PC）”項，在彈出窗口中選擇“已啟用”項。這樣，客戶端用戶可以通過Windows安全中心來檢查系統(tǒng)的安全狀態(tài)，獲取重要的風(fēng)險提示信息。在組策略管理器左側(cè)選擇上述名為“DirectAccess客戶端配置”的GPO，在窗口右側(cè)的“安全篩選”列表中選擇“Authenticated Users”項，點擊“刪除”按鈕將其刪除。點擊“添加”按鈕，將上述名為“DAyh”的安全組添加進來。

在DirectAccess服務(wù)器上啟用NAP

圖6 遠程訪問管理控制臺

以域管理員身份登錄DirectAccess服務(wù)器，在遠程訪問管理控制臺（如圖6）中的“步驟2 遠程訪問服務(wù)器”欄中點擊“配置”按鈕。在彈出窗口底部選擇“為具有NAP的DirectAccess客戶強制執(zhí)行公司符合”項。在“步驟2 基礎(chǔ)結(jié)構(gòu)服務(wù)器”面板中點擊“配置”按鈕，在彈出窗口左側(cè)點擊“管理”項，在右側(cè)的“管理服務(wù)器”欄中雙擊第一行，在“添加管理服務(wù)器”窗口中選擇“計算機名（FQDN）”項，輸入“NPYZ.xxx.com”，即上述 HRA 服務(wù)器名稱。這樣，DirectAccess客戶端就可以和和該服務(wù)器進行連接和通訊了。點擊“完成”按鈕，保存配置信息。當在遠程訪問管理控制臺右下角點擊“完成”按鈕后，在出現(xiàn)的遠程訪問審閱窗口中可以查看上述配置信息，包括GPO設(shè)置和遠程客戶端設(shè)置等內(nèi)容，點擊“應(yīng)用”按鈕，完成服務(wù)器端的相關(guān)設(shè)置操作。

在Direct Access客戶端測試NAP保護功能

將Direct Access客戶端連接到內(nèi)網(wǎng)中，執(zhí)行“gpupdate /force”命 令，來強制刷新組策略。在CMD窗口中執(zhí)行“netsh nap client show grouppolicy”命令，在返回信息中的“名稱=IPsec 信賴方”段找那個的“Admin”欄中顯示為“已啟用”字符串，說明其已經(jīng)對上述預(yù)設(shè)的服務(wù)器產(chǎn)生了信賴關(guān)系。當客戶端主機移動到了Internet上，如果該機的安全狀態(tài)是符合要求的?？梢詧?zhí)行“mmc”命令，在控制臺中點擊“文件”、“添加/刪除管理單元”項，在列表中選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，返回控制臺界面。在左側(cè)依次選擇“證書”、“個人”項，在右側(cè)會顯示其從上述NPYZ服務(wù)器上自動獲取的證書。有了證書之后，Direct Access客戶端就可以順利連接到Direct Access服務(wù)器上，進而訪問內(nèi)網(wǎng)中的資源了，例如訪問文件服務(wù)器，Web服務(wù)器，郵件服務(wù)器等。對于不符合健康要求的Direct Access客戶端，是無法直接獲取完整的網(wǎng)絡(luò)訪問權(quán)限的。