實現Direct Access安全接入

配置試驗環境

這里為了便于說明，在Direct Access網絡環境中添加一臺名為HPYZ的成員服務器，為其配置合適的IPv4或IPv6地址，添加到域環境中。在其上配置和安裝HRA服務器和NAP服務器角色，即該機既可以接收Direct Access客戶端發來的RoH健康信息，也可以檢測客戶端是否滿足健康策略的要求。對于健康的客戶端，該機會向CA服務器申 請 SHA（System Health Authenticaton，系統健康認證）證書，之后將證書發送給客戶端。而只有持有該證書的Direct Access客戶端，才可以順利訪問內網服務器。

為了便于管理Direct Access客戶端，在域控上打開Active Directory用戶和計算機窗口，在名為“xxx.com”的域名中選擇“Users”容器，在其中新建名為“DAyh”的組，在該組中容納所有的DirectAccess客戶端主機。當然，Direct Access客戶端必須事先加入到域中。在Active Directory用戶和計算機窗口選擇“Dayh”組，在其右鍵菜單上點擊“添加到組”項，在彈出窗口點擊“對象類型”按鈕，只選擇“計算機”項，之后輸入Direct Access客戶端主機名，將其添加到該組中。

配置健康證書模版

在證書服務器上打開證書機構控制臺，在左側的“證書模版”項的右鍵菜單上點擊“管理”項，在證書模版控制臺中選擇“工作站身份驗證”模版，在其右鍵菜單上點擊“復制模版”項，在新模版的屬性窗口（如圖1）中的“常規”面板中的“模版顯示名稱”欄中可以更改其名稱（例如“DAZS證書”），在“使用者名稱”面板中選擇“在請求中提供”項，在彈出的“警告”窗口中點擊“確定”按鈕激活該項目。

圖1 新模版屬性窗口

在“擴展”面板中選擇“應用程序策略”項，點擊“編輯”按鈕，在“編輯應用程序策略擴展”窗口中點擊“添加”按鈕，在“添加應用程序策略”窗口中選擇“系統健康身份驗證”項，點擊“確定”按鈕存儲該模版。在“證書頒發機構”窗口左側選擇“證書模版”項，在其右鍵菜單上點擊“新建”、“要頒發的證書模版”項，在“啟用證書模版”窗口中選擇上述“DAZS證書”項，點擊“確定”按鈕完成健康證書模版創建操作。

為了讓上述HPYZ服務器擁有申請，頒發和管理證書的權限，需要在證書頒發機構窗口左側選擇根證書服務器名稱，在右鍵菜單上點擊“屬性”項，在其屬性窗口中的“安全”面板中點擊“添加”按鈕，在“選擇用戶、計算機、服務賬戶或組”窗口中點擊“對象類型”按鈕，在其中只選擇“計算機”項，在“輸入對象名稱來選擇”欄中輸入HPYZ主機名，將其添加帶安全列表中。選擇該主機，在權限列表中的“允許”列中選擇“讀取”、“頒發和管理證書”、“管理CA”和“請求證書”項目，這樣該機就擁有了所需的證書管理權限。

因為證書是存在有效期的，為了讓該機靈活的調整發放的證書的有效期，可以在“PowerShell”窗口中執 行“certutil -setreg policyEditFlags +EDITF_ATTRIBUYEENDATE”命令來實現上述要求。在證書頒發機構控制臺左側選擇證書服務器名，在右鍵菜單上點擊“所有任務”項，在分支菜單中分別點擊“停止服務”和“啟動服務”項來重啟證書服務，使上述配置生效。在HYZS服務器上執行“mmc”程序，在控制臺中點擊菜單“文件”、“添加/刪除管理單元”項，在“打開”窗口左側選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，在控制臺左側依次選擇“證書”、“個人”項，在其右鍵菜單上點擊“所有任務”、“申請新證書”項。在向導界面中的證書注冊窗口中選擇“計算機”項，點擊“注冊”按鈕，之后在證書列表中就可以看到名為“HPYZ.xxx.cm”的計算機證書，其中的“xxx.com”為域名。

配置網絡策略服務器

圖2 網絡策略域訪問配置界面

在名為HPYZ的主機上打開服務器管理器，添加“網絡策略與訪問服務”角色，并選擇“健康注冊機構”，點擊“下一步”按鈕，在“證書頒發機構”窗口（如圖2）中選擇“使用現有遠程CA”項，表示使用指定的CA服務器來頒發健康證書。點擊“選擇”按鈕，在“選擇證書頒發機構”窗口中選擇CA根節點。在“身份驗證要求”窗口中選擇“是，要求請求者通過域成員身份驗證”項，點擊“下一步”按鈕，在“服務器身份驗證證書”窗口中選擇“為SSL加密選擇現有證書”項，在列表中顯示上述申請到的證書，依次點擊“下一步”按鈕直到完成操作為止。

在健康注冊機構控制臺左側選擇“證書頒發機構”項，在右側顯示具體的證書頒發機構名稱。如果沒有的話，可以點擊右側的“添加證書頒發機構”鏈接，來添加證書服務器。在“證書頒發機構”項的右鍵菜單上點擊“屬性”項，在其屬性窗口中的“由此健康注冊機構批準的證書將有效”欄中顯示證書的有效期，默認為4小時。當然，管理員可以根據需要進行更改。在“經身份驗證的兼容證書模版”和“匿名兼容證書模版”列表中選擇上述“DAZS證書”模版名稱。

圖3 網絡策略服務器控制臺

為更快速地將HPYZ主機配置為健康策略服務器，可以在網絡策略服務器控制臺（如圖3）中選擇“網絡訪問保護（NAP）”項，點擊“配置”按鈕，在向導界面中的“網絡連接方法”列表中選擇“帶有健康注冊機構（HRA）的IPsec”項，點擊“下一步”按鈕，因為該機集NAP強制執行點以及NAP健康策略服務器于一身，所以其同時具有RADIUS客戶端和服務器的身份。指定NAP強制服務器窗口中無需進行任何設置，點擊“下一步”按鈕，在“定義NAP健康策略”窗口中選擇“Windows安全健康驗證程序”和“啟用對客戶端計算機的自動恢復”項，之后點擊“完成”按鈕，就快速完成了有關健康策略設置、網絡策略設置、連接請求策略等復雜的配置操作。

管理和配置NAP健康策略服務器

為了讓符合健康條件的客戶端順利連接Direct Access服務器，需配置合適的健康檢查條件。在網絡策略服務器控制臺左側選擇“網絡訪問保護”、“系 統 健 康 驗 證 程序”、“Windows安全健康驗證程序”、“設置”項，在右側窗口雙擊“默認配置”項，在“Windows安全健康驗證程序”窗口（如圖4）中可以選擇所需的檢查項目，包括“已為所有網絡連接啟動防火墻”、“防病毒應用程序已啟用”、“防病毒程序為最新的”、“反間諜軟件應用程序已啟用”等。管理員可根據實際需要健康檢查條件。

圖4 設置健康檢查條件

在窗口左側選擇“策略”、“連接請求策略”項，在右側顯示名為“NAP具有HRA的IPsec”策略已經處于啟動狀態。在左側選擇“策略”、“網絡策略”項，在右側顯示“NAP具有的HRA的IPsec符 合”和“NAP具有HRA的IPsec不符合”等策略已經處于啟用狀態。前者是針對符合健康檢查要求的Direct Access客戶端發揮作用，讓其擁有完全的網絡訪問權限。后者針對的是不符合預設健康檢查要求的Direct Access客戶端而言的，使其只能獲得受限制的網絡訪問權限。例如雙擊“NAP具有的HRA的IPsec符合”策略，在屬性窗口中可以看到“授予訪問權限”項即處于選擇狀態。雙擊“NAP具 有 HRA的 IPsec不符合”策略項，在屬性窗口中確保“拒絕訪問”項處于選擇狀態。

在“設置”面板左側選擇“NAP強制”項，在右側如果選擇了“啟用對客戶端計算機的自動修復”項，表示啟用了自動修復功能，可以自動修復客戶端的健康問題，使其具有符合條件的健康條件來順利訪問Direct Access服務器。在左側選擇“策略”、“健康策略”項，在右側顯示名為“NAP具有HRA的IPsec”和“NAP具有HRA的Ipsec不符合”策略。分別定義了符合健康策略的條件與不符合健康策略的條件。例如雙擊前者，在屬性窗口中的“客戶端SHA檢查”列表顯示“客戶端通過所有SRV檢查”項，在“此健康策略中使用的SHV”列表中顯示上述配置的健康策略。這表明客戶端只有符合預設的所有的健康檢查后，才屬于健康的Direct Access客戶端，從而才能獲得完全的網絡訪問權限。

在域控上設置和NAP相關的組策略

在域環境中，通過設置合適的組策略，可以有效管控域中所有主機的運行狀態。對于Direct Access客戶端來說，當加入域后，訪問域中的資源時，也必然需要應用這些組策略。在域控上打開組策略管理器，在左側選擇“林”、“域”、“xxx.com”項，在其右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”項，在新建GPO窗口中輸入其名稱（例如“DirectAccess客戶端配置”），點擊“確定”按鈕創建該GPO。在名為“DirectAccess客戶端配置”的GPO的右鍵菜單上點擊“編輯”項，在組策略編輯器中依次選擇“計算機配置”、“策略”、“Windows 設置”、“安全設置”、“系統服務”分支，在右側雙擊“Network Access Protection Agent”項，將啟動類型設置為自動。

圖5 添加受信任的服務器組

依次選擇“計算機配置”、“策略”、“Windows 設置”、“安全設置”、“網絡訪問保護”、“NAP客戶端配置”、“強制客戶端”分支，在右側雙擊“IPsec信賴方”項，在彈出窗口中選擇“啟用此強制客戶端”先，點擊“確定”按鈕保存配置信息。選擇“NAP客戶端配置”、“健康注冊設置”、“受信任的服務器組”分支，在右鍵菜單上點擊“新建”項，在向導界面中輸入組名（例如“安全的服務器組”），點擊“下一步”按鈕，在“添加服務器”窗口（如圖5）中輸入合適的 URL，例如“https//NPYZ.xxx.com/domainhra/hcsrvext.dll”。Direct Access客戶端訪問該URL地址，就可以連接上述名為HPYZ的服務器。

依次選擇“計算機配置”、“策 略”、“管 理模 版”、“Windows組 件”、“安 全 中心”分支，在右側雙擊“啟用安全中心（僅限域PC）”項，在彈出窗口中選擇“已啟用”項。這樣，客戶端用戶可以通過Windows安全中心來檢查系統的安全狀態，獲取重要的風險提示信息。在組策略管理器左側選擇上述名為“DirectAccess客戶端配置”的GPO，在窗口右側的“安全篩選”列表中選擇“Authenticated Users”項，點擊“刪除”按鈕將其刪除。點擊“添加”按鈕，將上述名為“DAyh”的安全組添加進來。

在DirectAccess服務器上啟用NAP

圖6 遠程訪問管理控制臺

以域管理員身份登錄DirectAccess服務器，在遠程訪問管理控制臺（如圖6）中的“步驟2 遠程訪問服務器”欄中點擊“配置”按鈕。在彈出窗口底部選擇“為具有NAP的DirectAccess客戶強制執行公司符合”項。在“步驟2 基礎結構服務器”面板中點擊“配置”按鈕，在彈出窗口左側點擊“管理”項，在右側的“管理服務器”欄中雙擊第一行，在“添加管理服務器”窗口中選擇“計算機名（FQDN）”項，輸入“NPYZ.xxx.com”，即上述 HRA 服務器名稱。這樣，DirectAccess客戶端就可以和和該服務器進行連接和通訊了。點擊“完成”按鈕，保存配置信息。當在遠程訪問管理控制臺右下角點擊“完成”按鈕后，在出現的遠程訪問審閱窗口中可以查看上述配置信息，包括GPO設置和遠程客戶端設置等內容，點擊“應用”按鈕，完成服務器端的相關設置操作。

在Direct Access客戶端測試NAP保護功能

將Direct Access客戶端連接到內網中，執行“gpupdate /force”命 令，來強制刷新組策略。在CMD窗口中執行“netsh nap client show grouppolicy”命令，在返回信息中的“名稱=IPsec 信賴方”段找那個的“Admin”欄中顯示為“已啟用”字符串，說明其已經對上述預設的服務器產生了信賴關系。當客戶端主機移動到了Internet上，如果該機的安全狀態是符合要求的。可以執行“mmc”命令，在控制臺中點擊“文件”、“添加/刪除管理單元”項，在列表中選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，返回控制臺界面。在左側依次選擇“證書”、“個人”項，在右側會顯示其從上述NPYZ服務器上自動獲取的證書。有了證書之后，Direct Access客戶端就可以順利連接到Direct Access服務器上，進而訪問內網中的資源了，例如訪問文件服務器，Web服務器，郵件服務器等。對于不符合健康要求的Direct Access客戶端，是無法直接獲取完整的網絡訪問權限的。