單位員工大部分是移動辦公一族,由於病毒庫更新不及時、系統補丁沒有安裝,使移動辦公設備處於危險狀態,訪問內部網絡時很可能威脅整個網絡。該如何防守網絡訪問這扇門呢?
筆者所在的單位是一家傳媒公司,有數百人的記者隊伍,每位記者都配備了筆記本電腦以及上網設備。記者經常攜帶筆記本電腦出差,很長時間不登錄內部網絡。網絡中統一部署了防病毒軟件以及系統補丁更新,記者通過VPN或者其他方式連接公司網絡時,連接時間非常短,不能夠立即下載系統補丁和病毒庫。由於病毒庫更新不及時,以及系統補丁沒有安裝,使其筆記本電腦處於“危險”狀態,一旦感染病毒並將病毒或者木馬等其他惡意軟件帶到內部網絡中,將對網絡造成極大影響。
有什麼樣的方法,可以在剛登錄網絡時,自動檢測客戶端計算機的安全性,符合安全標准後,才允許登錄到網絡中呢?那就是NAP,網絡保護策略。
NAP嚴把關
Windows Server 2008提供了NAP(Network Access Protection)功能,網絡保護策略是任何客戶端計算機(客戶端以及VPN客戶)必須通過網絡健康檢查,如是否安裝最新的安全補丁、防病毒軟件的特征庫是否更新、是否啟用防火牆等,符合安全條件後才允許進入內部網絡。未通過系統健康檢查的計算機會被隔離到一個受限制訪問網絡。在受限制訪問網絡中,修復計算機的狀態(如從補丁服務器下載專門的系統補丁,強制開啟防火牆策略等),在達到網絡健康標准後,才允許接入公司內部網絡。
Windows Server 2008提供了多種網絡訪問保護的方法,最簡捷的方法就是使用NPS(Network Policy Server)策略配合DHCP服務,完成網絡訪問保護。部署該策略,需要對客戶端計算機進行配置:在組策略中啟用“啟用安全中心(僅限域PC)”策略;啟用“DHCP隔離強制客戶端”策略。啟用NAP代理服務,建議設置為“自動”啟動模式。
安裝NPS服務
默認安裝完成Windows Server 2008後,沒有安裝NPS(網絡訪問策略)服務,需要網絡管理員手動安裝該服務。
啟動“服務器管理器”,運行“角色添加”向導,在選擇服務器角色對話框的“角色”列表中,選擇需要安裝的“網絡策略和訪問服務”選項,其他按默認安裝即可。
安裝完成NPS服務後,成員服務器中的DHCP服務將被新的包含NPS功能的組件所取代,網絡管理員需要對NPS涉及的DHCP選項進行配置。在默認狀態下,NPS關聯的組件“網絡訪問保護”沒有被啟用,該策略在DHCP作用域屬性中,啟用該策略。
NAP通過添加的“用戶類作用域”類別,使計算機在同一作用域內的受限網絡和不受限網絡訪問之間切換。在向狀態不良的客戶端計算機提供租約時,會使用這組特殊的作用域選項(DNS服務器、DNS域名、路由器等)。例如,提供給狀態良好的客戶端的默認 DNS 後綴為“book.com”,而提供給狀態不良的客戶端的DNS後綴為“Testbook.com”。
配置NPS策略
NPS策略包含四部分的內容,分別為:網絡健康驗證器、更新服務器組、健康策略和網絡策略,將對加入到公司網絡的計算機進行驗證、隔離、補救以及健康策略審核。
網絡健康驗證器:評估計算機運行狀態,需要執行哪些檢查以及設置檢查列表,根據設置的策略檢測連接到網絡中的計算機哪些是安全的,哪些是不安全的,例如防火牆關閉就認為不安全、沒安裝殺毒軟件就是不安全的計算機等。啟動“網絡策略服務器”組件,打開“NPS(本地)”→“網絡訪問保護”→“系統健康驗證器”,在屬性列表中配置需要檢測的狀態,如圖1所示。
更新服務器組:允許網絡管理員設置狀態不良的計算機可以訪問的系統,通過訪問定義的系統,狀態不良的計算機將恢復到正常狀態。在設置的過程中,注意目標服務器的IP地址和DNS域名解析要一致。啟動“網絡策略服務器”組件,打開“NPS”→“網絡訪問保護”→“系統健康驗證器”,新建一個“更新服務器組”,設置病毒庫更新服務器或者補丁更新服務器的IP地址以及名稱。
健康策略用於創建客戶端計算機是否健康的標准。建議創建兩個策略,一個是安全計算機策略,另一個是不安全計算機的策略。網絡健康驗證器驗證出來的計算機如果是安全的就歸類到安全計算機策略中,如果網絡健康驗證器驗證計算機是不安全的,將歸類到不安全計算機的策略。啟動“網絡策略服務器”組件,打開“NPS”→“策略”→“健康策略”,新建兩個“健康策略”,一個是“通過所有安全驗證”策略,如圖2所示;另一個是“沒有通過安全健康檢查”策略。
網絡策略:定義處理邏輯規則,根據計算機運行狀況確定如何對其進行處理。網絡健康驗證器、更新服務器組以及健康處理通過網絡策略組合在一起。網絡策略由管理員定義,用於指導NPS如何根據計算機的運行狀態處理計算機。NPS會從上到下評估這些策略,一旦計算機與策略規則相符,處理將立即停止。
已經創建的兩條策略,分別為“通過所有安全驗證”策略和“沒有通過網絡安全檢查”策略。
“通過所有安全驗證”策略,規定通過所有“安全中心”檢查的計算機可以獲得不受限制的網絡訪問權限。“沒有通過網絡安全檢查”策略,對應任何未通過一項或多項 SHV(System Health Validators)檢查的計算機。如果有計算機與此策略相符,則NPS會指示DHCP 服務器為該客戶端提供一個具有特殊NAP受限作用域選項的IP租約。該地址僅允許違規計算機訪問更新服務器組中定義的資源。啟動“網絡策略服務器”組件,打開“NPS(本地)”→“策略”→“網絡策略”,為“通過所有安全健康檢查”新建策略,同時設置訪問權限。
NAP部署後,當外出記者回到公司登錄到公司的網絡時,首先進行客戶端檢測,沒有安裝最新病毒庫的計算機,自動連接到病毒庫更新服務器升級病毒庫;沒有安裝系統補丁的計算機,自動連接到WSUS服務器升級補丁;沒有啟用防火牆的計算機,提示客戶端啟用防火牆。當以上條件滿足後,允許客戶端連接到內部網絡中,最大限度地保證網絡安全。
網絡訪問保護四步曲
網絡訪問保護主要分為四部分:策略驗證、隔離、補救和持續監控。
策略驗證
策略驗證是指NAP根據網絡管理員定義的一組規則,對客戶端計算機系統狀態進行評估。NAP在計算機嘗試連接到網絡時會使用安全健康程序和定義的策略相比較,符合這些策略的計算機被視為狀態良好的計算機,而不符合其中一項或多項檢查標准的計算機則被認為是狀態不良的計算機。
隔離
隔離可以理解為網絡連接限制。根據網絡管理員定義的策略,NAP可以將計算機的網絡連接設置為各種狀態。例如,如果一台計算機因缺少關鍵的安全更新而被視為狀態不良,則NAP可以將該計算機置於隔離網絡中,使其與網絡中其他計算機隔絕,直至恢復健康(安裝補丁)為止。
補救
對於已經限制連接的那些狀態不良的計算機,NAP 提供了補救策略,被隔離的計算機無需網絡管理員干預即可糾正運行狀態。受限的網絡允許狀態不良的計算機訪問安裝必要的更新程序。
持續監控
持續監控,即強制計算機在與網絡保持連接期間,而不僅僅在初始連接時,始終監控這些可保持狀態良好的策略。該計算機狀態如果與策略不相符合,例如禁用了Windows防火牆,則NAP將自動開啟防火牆,直至恢復正常狀態後,才可訪問網絡。
