配置試驗(yàn)環(huán)境

這里為了便于說明，在Direct Access網(wǎng)絡(luò)環(huán)境中添加一臺(tái)名為HPYZ的成員服務(wù)器，為其配置合適的IPv4或IPv6地址，添加到域環(huán)境中。在其上配置和安裝HRA服務(wù)器和NAP服務(wù)器角色，即該機(jī)既可以接收Direct Access客戶端發(fā)來的RoH健康信息，也可以檢測(cè)客戶端是否滿足健康策略的要求。對(duì)于健康的客戶端，該機(jī)會(huì)向CA服務(wù)器申 請(qǐng) SHA（System Health Authenticaton，系統(tǒng)健康認(rèn)證）證書，之后將證書發(fā)送給客戶端。而只有持有該證書的Direct Access客戶端，才可以順利訪問內(nèi)網(wǎng)服務(wù)器。

為了便于管理Direct Access客戶端，在域控上打開Active Directory用戶和計(jì)算機(jī)窗口，在名為“xxx.com”的域名中選擇“Users”容器，在其中新建名為“DAyh”的組，在該組中容納所有的DirectAccess客戶端主機(jī)。當(dāng)然，Direct Access客戶端必須事先加入到域中。在Active Directory用戶和計(jì)算機(jī)窗口選擇“Dayh”組，在其右鍵菜單上點(diǎn)擊“添加到組”項(xiàng)，在彈出窗口點(diǎn)擊“對(duì)象類型”按鈕，只選擇“計(jì)算機(jī)”項(xiàng)，之后輸入Direct Access客戶端主機(jī)名，將其添加到該組中。

配置健康證書模版

在證書服務(wù)器上打開證書機(jī)構(gòu)控制臺(tái)，在左側(cè)的“證書模版”項(xiàng)的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在證書模版控制臺(tái)中選擇“工作站身份驗(yàn)證”模版，在其右鍵菜單上點(diǎn)擊“復(fù)制模版”項(xiàng)，在新模版的屬性窗口（如圖1）中的“常規(guī)”面板中的“模版顯示名稱”欄中可以更改其名稱（例如“DAZS證書”），在“使用者名稱”面板中選擇“在請(qǐng)求中提供”項(xiàng)，在彈出的“警告”窗口中點(diǎn)擊“確定”按鈕激活該項(xiàng)目。

圖1 新模版屬性窗口

在“擴(kuò)展”面板中選擇“應(yīng)用程序策略”項(xiàng)，點(diǎn)擊“編輯”按鈕，在“編輯應(yīng)用程序策略擴(kuò)展”窗口中點(diǎn)擊“添加”按鈕，在“添加應(yīng)用程序策略”窗口中選擇“系統(tǒng)健康身份驗(yàn)證”項(xiàng)，點(diǎn)擊“確定”按鈕存儲(chǔ)該模版。在“證書頒發(fā)機(jī)構(gòu)”窗口左側(cè)選擇“證書模版”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”、“要頒發(fā)的證書模版”項(xiàng)，在“啟用證書模版”窗口中選擇上述“DAZS證書”項(xiàng)，點(diǎn)擊“確定”按鈕完成健康證書模版創(chuàng)建操作。

為了讓上述HPYZ服務(wù)器擁有申請(qǐng)，頒發(fā)和管理證書的權(quán)限，需要在證書頒發(fā)機(jī)構(gòu)窗口左側(cè)選擇根證書服務(wù)器名稱，在右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性窗口中的“安全”面板中點(diǎn)擊“添加”按鈕，在“選擇用戶、計(jì)算機(jī)、服務(wù)賬戶或組”窗口中點(diǎn)擊“對(duì)象類型”按鈕，在其中只選擇“計(jì)算機(jī)”項(xiàng)，在“輸入對(duì)象名稱來選擇”欄中輸入HPYZ主機(jī)名，將其添加帶安全列表中。選擇該主機(jī)，在權(quán)限列表中的“允許”列中選擇“讀取”、“頒發(fā)和管理證書”、“管理CA”和“請(qǐng)求證書”項(xiàng)目，這樣該機(jī)就擁有了所需的證書管理權(quán)限。

因?yàn)樽C書是存在有效期的，為了讓該機(jī)靈活的調(diào)整發(fā)放的證書的有效期，可以在“PowerShell”窗口中執(zhí) 行“certutil -setreg policyEditFlags +EDITF_ATTRIBUYEENDATE”命令來實(shí)現(xiàn)上述要求。在證書頒發(fā)機(jī)構(gòu)控制臺(tái)左側(cè)選擇證書服務(wù)器名，在右鍵菜單上點(diǎn)擊“所有任務(wù)”項(xiàng)，在分支菜單中分別點(diǎn)擊“停止服務(wù)”和“啟動(dòng)服務(wù)”項(xiàng)來重啟證書服務(wù)，使上述配置生效。在HYZS服務(wù)器上執(zhí)行“mmc”程序，在控制臺(tái)中點(diǎn)擊菜單“文件”、“添加/刪除管理單元”項(xiàng)，在“打開”窗口左側(cè)選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，在控制臺(tái)左側(cè)依次選擇“證書”、“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”、“申請(qǐng)新證書”項(xiàng)。在向?qū)Ы缑嬷械淖C書注冊(cè)窗口中選擇“計(jì)算機(jī)”項(xiàng)，點(diǎn)擊“注冊(cè)”按鈕，之后在證書列表中就可以看到名為“HPYZ.xxx.cm”的計(jì)算機(jī)證書，其中的“xxx.com”為域名。

配置網(wǎng)絡(luò)策略服務(wù)器

圖2 網(wǎng)絡(luò)策略域訪問配置界面

在名為HPYZ的主機(jī)上打開服務(wù)器管理器，添加“網(wǎng)絡(luò)策略與訪問服務(wù)”角色，并選擇“健康注冊(cè)機(jī)構(gòu)”，點(diǎn)擊“下一步”按鈕，在“證書頒發(fā)機(jī)構(gòu)”窗口（如圖2）中選擇“使用現(xiàn)有遠(yuǎn)程CA”項(xiàng)，表示使用指定的CA服務(wù)器來頒發(fā)健康證書。點(diǎn)擊“選擇”按鈕，在“選擇證書頒發(fā)機(jī)構(gòu)”窗口中選擇CA根節(jié)點(diǎn)。在“身份驗(yàn)證要求”窗口中選擇“是，要求請(qǐng)求者通過域成員身份驗(yàn)證”項(xiàng)，點(diǎn)擊“下一步”按鈕，在“服務(wù)器身份驗(yàn)證證書”窗口中選擇“為SSL加密選擇現(xiàn)有證書”項(xiàng)，在列表中顯示上述申請(qǐng)到的證書，依次點(diǎn)擊“下一步”按鈕直到完成操作為止。

在健康注冊(cè)機(jī)構(gòu)控制臺(tái)左側(cè)選擇“證書頒發(fā)機(jī)構(gòu)”項(xiàng)，在右側(cè)顯示具體的證書頒發(fā)機(jī)構(gòu)名稱。如果沒有的話，可以點(diǎn)擊右側(cè)的“添加證書頒發(fā)機(jī)構(gòu)”鏈接，來添加證書服務(wù)器。在“證書頒發(fā)機(jī)構(gòu)”項(xiàng)的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性窗口中的“由此健康注冊(cè)機(jī)構(gòu)批準(zhǔn)的證書將有效”欄中顯示證書的有效期，默認(rèn)為4小時(shí)。當(dāng)然，管理員可以根據(jù)需要進(jìn)行更改。在“經(jīng)身份驗(yàn)證的兼容證書模版”和“匿名兼容證書模版”列表中選擇上述“DAZS證書”模版名稱。

圖3 網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)

為更快速地將HPYZ主機(jī)配置為健康策略服務(wù)器，可以在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)（如圖3）中選擇“網(wǎng)絡(luò)訪問保護(hù)（NAP）”項(xiàng)，點(diǎn)擊“配置”按鈕，在向?qū)Ы缑嬷械摹熬W(wǎng)絡(luò)連接方法”列表中選擇“帶有健康注冊(cè)機(jī)構(gòu)（HRA）的IPsec”項(xiàng)，點(diǎn)擊“下一步”按鈕，因?yàn)樵摍C(jī)集NAP強(qiáng)制執(zhí)行點(diǎn)以及NAP健康策略服務(wù)器于一身，所以其同時(shí)具有RADIUS客戶端和服務(wù)器的身份。指定NAP強(qiáng)制服務(wù)器窗口中無需進(jìn)行任何設(shè)置，點(diǎn)擊“下一步”按鈕，在“定義NAP健康策略”窗口中選擇“Windows安全健康驗(yàn)證程序”和“啟用對(duì)客戶端計(jì)算機(jī)的自動(dòng)恢復(fù)”項(xiàng)，之后點(diǎn)擊“完成”按鈕，就快速完成了有關(guān)健康策略設(shè)置、網(wǎng)絡(luò)策略設(shè)置、連接請(qǐng)求策略等復(fù)雜的配置操作。

管理和配置NAP健康策略服務(wù)器

為了讓符合健康條件的客戶端順利連接Direct Access服務(wù)器，需配置合適的健康檢查條件。在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)左側(cè)選擇“網(wǎng)絡(luò)訪問保護(hù)”、“系 統(tǒng) 健 康 驗(yàn) 證 程序”、“Windows安全健康驗(yàn)證程序”、“設(shè)置”項(xiàng)，在右側(cè)窗口雙擊“默認(rèn)配置”項(xiàng)，在“Windows安全健康驗(yàn)證程序”窗口（如圖4）中可以選擇所需的檢查項(xiàng)目，包括“已為所有網(wǎng)絡(luò)連接啟動(dòng)防火墻”、“防病毒應(yīng)用程序已啟用”、“防病毒程序?yàn)樽钚碌摹?、“反間諜軟件應(yīng)用程序已啟用”等。管理員可根據(jù)實(shí)際需要健康檢查條件。

圖4 設(shè)置健康檢查條件

在窗口左側(cè)選擇“策略”、“連接請(qǐng)求策略”項(xiàng)，在右側(cè)顯示名為“NAP具有HRA的IPsec”策略已經(jīng)處于啟動(dòng)狀態(tài)。在左側(cè)選擇“策略”、“網(wǎng)絡(luò)策略”項(xiàng)，在右側(cè)顯示“NAP具有的HRA的IPsec符 合”和“NAP具有HRA的IPsec不符合”等策略已經(jīng)處于啟用狀態(tài)。前者是針對(duì)符合健康檢查要求的Direct Access客戶端發(fā)揮作用，讓其擁有完全的網(wǎng)絡(luò)訪問權(quán)限。后者針對(duì)的是不符合預(yù)設(shè)健康檢查要求的Direct Access客戶端而言的，使其只能獲得受限制的網(wǎng)絡(luò)訪問權(quán)限。例如雙擊“NAP具有的HRA的IPsec符合”策略，在屬性窗口中可以看到“授予訪問權(quán)限”項(xiàng)即處于選擇狀態(tài)。雙擊“NAP具 有 HRA的 IPsec不符合”策略項(xiàng)，在屬性窗口中確?！熬芙^訪問”項(xiàng)處于選擇狀態(tài)。

在“設(shè)置”面板左側(cè)選擇“NAP強(qiáng)制”項(xiàng)，在右側(cè)如果選擇了“啟用對(duì)客戶端計(jì)算機(jī)的自動(dòng)修復(fù)”項(xiàng)，表示啟用了自動(dòng)修復(fù)功能，可以自動(dòng)修復(fù)客戶端的健康問題，使其具有符合條件的健康條件來順利訪問Direct Access服務(wù)器。在左側(cè)選擇“策略”、“健康策略”項(xiàng)，在右側(cè)顯示名為“NAP具有HRA的IPsec”和“NAP具有HRA的Ipsec不符合”策略。分別定義了符合健康策略的條件與不符合健康策略的條件。例如雙擊前者，在屬性窗口中的“客戶端SHA檢查”列表顯示“客戶端通過所有SRV檢查”項(xiàng)，在“此健康策略中使用的SHV”列表中顯示上述配置的健康策略。這表明客戶端只有符合預(yù)設(shè)的所有的健康檢查后，才屬于健康的Direct Access客戶端，從而才能獲得完全的網(wǎng)絡(luò)訪問權(quán)限。

在域控上設(shè)置和NAP相關(guān)的組策略

在域環(huán)境中，通過設(shè)置合適的組策略，可以有效管控域中所有主機(jī)的運(yùn)行狀態(tài)。對(duì)于Direct Access客戶端來說，當(dāng)加入域后，訪問域中的資源時(shí)，也必然需要應(yīng)用這些組策略。在域控上打開組策略管理器，在左側(cè)選擇“林”、“域”、“xxx.com”項(xiàng)，在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，在新建GPO窗口中輸入其名稱（例如“DirectAccess客戶端配置”），點(diǎn)擊“確定”按鈕創(chuàng)建該GPO。在名為“DirectAccess客戶端配置”的GPO的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略編輯器中依次選擇“計(jì)算機(jī)配置”、“策略”、“Windows 設(shè)置”、“安全設(shè)置”、“系統(tǒng)服務(wù)”分支，在右側(cè)雙擊“Network Access Protection Agent”項(xiàng)，將啟動(dòng)類型設(shè)置為自動(dòng)。

圖5 添加受信任的服務(wù)器組

依次選擇“計(jì)算機(jī)配置”、“策略”、“Windows 設(shè)置”、“安全設(shè)置”、“網(wǎng)絡(luò)訪問保護(hù)”、“NAP客戶端配置”、“強(qiáng)制客戶端”分支，在右側(cè)雙擊“IPsec信賴方”項(xiàng)，在彈出窗口中選擇“啟用此強(qiáng)制客戶端”先，點(diǎn)擊“確定”按鈕保存配置信息。選擇“NAP客戶端配置”、“健康注冊(cè)設(shè)置”、“受信任的服務(wù)器組”分支，在右鍵菜單上點(diǎn)擊“新建”項(xiàng)，在向?qū)Ы缑嬷休斎虢M名（例如“安全的服務(wù)器組”），點(diǎn)擊“下一步”按鈕，在“添加服務(wù)器”窗口（如圖5）中輸入合適的 URL，例如“https//NPYZ.xxx.com/domainhra/hcsrvext.dll”。Direct Access客戶端訪問該URL地址，就可以連接上述名為HPYZ的服務(wù)器。

依次選擇“計(jì)算機(jī)配置”、“策 略”、“管 理模 版”、“Windows組 件”、“安 全 中心”分支，在右側(cè)雙擊“啟用安全中心（僅限域PC）”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)。這樣，客戶端用戶可以通過Windows安全中心來檢查系統(tǒng)的安全狀態(tài)，獲取重要的風(fēng)險(xiǎn)提示信息。在組策略管理器左側(cè)選擇上述名為“DirectAccess客戶端配置”的GPO，在窗口右側(cè)的“安全篩選”列表中選擇“Authenticated Users”項(xiàng)，點(diǎn)擊“刪除”按鈕將其刪除。點(diǎn)擊“添加”按鈕，將上述名為“DAyh”的安全組添加進(jìn)來。

在DirectAccess服務(wù)器上啟用NAP

圖6 遠(yuǎn)程訪問管理控制臺(tái)

以域管理員身份登錄DirectAccess服務(wù)器，在遠(yuǎn)程訪問管理控制臺(tái)（如圖6）中的“步驟2 遠(yuǎn)程訪問服務(wù)器”欄中點(diǎn)擊“配置”按鈕。在彈出窗口底部選擇“為具有NAP的DirectAccess客戶強(qiáng)制執(zhí)行公司符合”項(xiàng)。在“步驟2 基礎(chǔ)結(jié)構(gòu)服務(wù)器”面板中點(diǎn)擊“配置”按鈕，在彈出窗口左側(cè)點(diǎn)擊“管理”項(xiàng)，在右側(cè)的“管理服務(wù)器”欄中雙擊第一行，在“添加管理服務(wù)器”窗口中選擇“計(jì)算機(jī)名（FQDN）”項(xiàng)，輸入“NPYZ.xxx.com”，即上述 HRA 服務(wù)器名稱。這樣，DirectAccess客戶端就可以和和該服務(wù)器進(jìn)行連接和通訊了。點(diǎn)擊“完成”按鈕，保存配置信息。當(dāng)在遠(yuǎn)程訪問管理控制臺(tái)右下角點(diǎn)擊“完成”按鈕后，在出現(xiàn)的遠(yuǎn)程訪問審閱窗口中可以查看上述配置信息，包括GPO設(shè)置和遠(yuǎn)程客戶端設(shè)置等內(nèi)容，點(diǎn)擊“應(yīng)用”按鈕，完成服務(wù)器端的相關(guān)設(shè)置操作。

在Direct Access客戶端測(cè)試NAP保護(hù)功能

將Direct Access客戶端連接到內(nèi)網(wǎng)中，執(zhí)行“gpupdate /force”命 令，來強(qiáng)制刷新組策略。在CMD窗口中執(zhí)行“netsh nap client show grouppolicy”命令，在返回信息中的“名稱=IPsec 信賴方”段找那個(gè)的“Admin”欄中顯示為“已啟用”字符串，說明其已經(jīng)對(duì)上述預(yù)設(shè)的服務(wù)器產(chǎn)生了信賴關(guān)系。當(dāng)客戶端主機(jī)移動(dòng)到了Internet上，如果該機(jī)的安全狀態(tài)是符合要求的?？梢詧?zhí)行“mmc”命令，在控制臺(tái)中點(diǎn)擊“文件”、“添加/刪除管理單元”項(xiàng)，在列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，返回控制臺(tái)界面。在左側(cè)依次選擇“證書”、“個(gè)人”項(xiàng)，在右側(cè)會(huì)顯示其從上述NPYZ服務(wù)器上自動(dòng)獲取的證書。有了證書之后，Direct Access客戶端就可以順利連接到Direct Access服務(wù)器上，進(jìn)而訪問內(nèi)網(wǎng)中的資源了，例如訪問文件服務(wù)器，Web服務(wù)器，郵件服務(wù)器等。對(duì)于不符合健康要求的Direct Access客戶端，是無法直接獲取完整的網(wǎng)絡(luò)訪問權(quán)限的。