建立安全的訪問機制是企業(yè)步入云計算時代的第一步?，F(xiàn)在為合規(guī)、報告和遠程連接設(shè)置相應(yīng)的策略，也就規(guī)定了您的團隊將如何安全、順利地在云計算環(huán)境中開展工作。使用帶 IPsec 的網(wǎng)絡(luò)訪問保護 (NAP) 連接技術(shù)（如 DirectAccess）可以幫助改進您的審核和合規(guī)報告工作。

為新的 DirectAccess 或 IPsec 部署方案創(chuàng)建審核和報告解決方案時，識別和收集必要的數(shù)據(jù)困難重重。在本文中，我們將用一家虛擬的公司作為例子，說明如何創(chuàng)建 DirectAccess 和 NAP 解決方案，并提供報告數(shù)據(jù)以確定誰進行了連接、何時進行的連接以及客戶端計算機是否合規(guī)。

合規(guī)問題

由于員工的工作場所越來越變化多端，因此很多企業(yè)都采用了靈活的遠程訪問技術(shù)，如 DirectAccess。使用 DirectAccess 后，只要獲得授權(quán)的計算機連接 Internet，用戶就將自動連接到遠程網(wǎng)絡(luò)。由于遠程客戶端有時并未安裝最新的安全修補程序，而且可能感染了惡意軟件，因此很多企業(yè)還部署了帶 IPsec 的 NAP 來幫助確保只有健康的客戶端可以訪問受保護的資源。

在金融服務(wù)、醫(yī)療衛(wèi)生和政府等行業(yè)，確保只有健康且獲得批準的客戶端能夠連接到云計算或本地網(wǎng)絡(luò)資源，對于保護數(shù)據(jù)的完整性非常重要。這些行業(yè)經(jīng)常要按照內(nèi)部的合規(guī)策略以及國家/地區(qū)的法律規(guī)定，確認個人身份信息（PII，包括銀行賬號、姓名和健康記錄等）不會被任何未經(jīng)授權(quán)的人（包括通過惡意軟件和未知的第三方應(yīng)用程序）訪問。

用戶都希望能夠輕松地遠程訪問其工作資源，因此這些行業(yè)的 IT 經(jīng)理們還必須確保只有健康的客戶端可以訪問公司網(wǎng)絡(luò)。遺憾的是，要從 NAP 和 DirectAccess 日志創(chuàng)建有意義的報告并非易事。

真正的解決方案就是：設(shè)置 DirectAccess 基礎(chǔ)設(shè)施以實現(xiàn)順暢的遠程客戶端訪問、使用 NAP 和 IPsec 保護 Intranet 資源并通過報告來監(jiān)控策略的執(zhí)行情況。TechNet 中有很多關(guān)于如何通過 DirectAccess 實現(xiàn) NAP 的有用信息，但是對于如何有效記錄和報告客戶端的健康狀況，卻很少提及。我們將用一家虛擬公司 (Woodgrove National Bank) 為例，說明一位顧問如何用一些簡單的代碼和 SQL 查詢來創(chuàng)建可以直接閱讀的報告。報告中詳細列出了在指定時間段內(nèi)連接的客戶端以及這些客戶端是否 NAP 合規(guī)。

在DirectAccess上設(shè)置NAP

DirectAccess 要求連接的客戶端運行兼容版本的 Windows（Windows 7 旗艦版或 Windows 7 企業(yè)版）。這些客戶端連接到運行了 Windows Server 2008 R2 的 DirectAccess 服務(wù)器。 DirectAccess 部署方案中可以包含一臺或多臺 DirectAccess 服務(wù)器。（我們建議使用至少兩臺服務(wù)器，以便在網(wǎng)絡(luò)繁忙時幫助平衡負載。）部署中還必須包括一臺網(wǎng)絡(luò)位置服務(wù)器（用于確定客戶端是連接到 Internet 還是連接到 Intranet）以及一個或多個證書吊銷列表 (CRL) 分發(fā)點（用于追蹤不再允許訪問的客戶端）。要了解如何設(shè)計 DirectAccess 部署方案，請參見 TechNet 上的 DirectAccess 設(shè)計指南。

在 DirectAccess 上添加 NAP 時，您必須實施針對 NAP 的 IPsec 強制方法。使用 IPsec 時，NAP 合規(guī)的客戶端將獲得健康證書。如果計算機不合規(guī)，則不允許與其他合規(guī)的計算機進行通信。要了解如何設(shè)計和部署 NAP，請參見 TechNet 上的規(guī)劃具有網(wǎng)絡(luò)訪問保護的 DirectAccess。要了解如何將帶 IPsec 的 NAP 設(shè)計為強制方法，請參見 TechNet 上的 IPsec 強制設(shè)計。

考慮 NAP IPsec 強制方案如何在 DirectAccess 及其 IPsec 連接策略的背景下工作非常有意思。首先，由于 DirectAccess 使用 IPsec 進行身份驗證并處理保密性，因此 DirectAccess 部署中的 NAP 強制方案必須是 IPsec。其次，請記住 IPsec 的 AuthIP 組件讓您在策略中配置兩個獨立的身份驗證要求，因此連接必須同時滿足這兩個要求才能成功。一般來說，如果配置了兩個 AuthIP 身份驗證選項，則第一個是計算機憑據(jù)，第二個是用戶憑據(jù)。但是，也有可能要配置兩個計算機憑據(jù)。

NAP 與 AuthIP 策略是如何結(jié)合在一起的呢？NAP/IPsec 強制方案為健康的計算機頒發(fā)帶有健康對象標識符 (OID) 的證書。AuthIP 策略引擎包括一個選項，要求提供該健康 OID。因此，只有健康的計算機可以滿足第一個 AuthIP 身份驗證要求，并且與 DirectAccess 服務(wù)器建立 IPsec 連接。

最后，第二個 AuthIP 身份驗證選項要求提供用戶憑據(jù)。就技術(shù)而言，用戶憑據(jù)對 DirectAccess 來說是可選的。換句話說，客戶端可以只使用計算機憑據(jù)向 DirectAccess 端點驗證身份。對于不經(jīng)過加強的身份驗證就授予完全的遠程網(wǎng)絡(luò)訪問權(quán)限，注重安全性的 IT 人員應(yīng)該表示擔憂。因此，AuthIP 策略最少也要配置為要求第二個 Kerberos 身份驗證。要求用戶憑據(jù)的證書（在 Woodgrove National Bank 方案中就是如此）是最佳方案，因為這可以降低遠程靜態(tài)密碼攻擊的風險。

在此方案中，Woodgrove National Bank 的網(wǎng)絡(luò)安全和合規(guī)部門需要一個報告，顯示在指定時間段內(nèi)有哪些用戶連接了公司網(wǎng)絡(luò)，以及這些客戶端是否 NAP 合規(guī)。他們相信這段時間內(nèi)可能出現(xiàn)了用戶數(shù)據(jù)損壞的情況。作為該銀行的顧問，我們需要確定如何為 DirectAccess 和 NAP 啟用事后報告功能，然后將這些信息轉(zhuǎn)換為能夠直接閱讀的報告。

正確的策略配置

在這個虛擬的方案中，Woodgrove National Bank 已經(jīng)配置了 DirectAccess，使 IPsec 策略要求提供包含 NAP 系統(tǒng)健康 OID 和客戶端身份驗證 OID 的客戶端證書。Woodgrove 以強制模式使用 NAP（而不只是報告模式），這意味著將禁止不健康的客戶端與健康的客戶端通信。

最后，Woodgrove 配置了 DirectAccess IPsec 策略，使用兩個基于證書的憑據(jù)：一個來自客戶端計算機，一個來自用戶。Woodgrove 按照上述建議選擇了雙證書配置，以便更好地利用其 PKI 投資，消除遠程訪問的靜態(tài)密碼并利用證書自動注冊功能。

本示例的其余部分假定您具備相應(yīng)的實踐知識，了解 DirectAccess、NAP 和 IPsec 強制模式的工作原理。要深入了解這些技術(shù)，請參見以下資源：

• DirectAccess 執(zhí)行概述
• 網(wǎng)絡(luò)訪問保護簡介
• 理解 NAP IPsec 強制

下面的報告解決方案利用了 DirectAccess 服務(wù)器上的 IPsec 的內(nèi)置審核功能以及網(wǎng)絡(luò)策略服務(wù)器 (NPS) 的健康注冊機構(gòu) (HRA) 功能的審核功能。這些審核功能會在系統(tǒng)和安全事件日志中生成事件，我們將提取這些事件并進行報告。在制定此方法時，我們發(fā)現(xiàn)默認生成的是 HRA 事件，而 IPsec 事件可能需要明確啟用。您可以在命令提示符窗口中使用以下命令來啟用 IPsec 事件：

auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Main Mode" /success:enable /failure:enable

auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Quick Mode" /success:enable /failure:enable

auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Extended Mode" /success:enable /failure:enable

DirectAccess 健康報告

為了開始處理 Woodgrove National Bank 的 NAP 和 DirectAccess 事件，我們下載并安裝了 Microsoft 的 Log Parser 2.2。Log Parser 是這種項目中必不可少的工具，因為您必須瀏覽新的事件來源并制定相應(yīng)的架構(gòu)。簡而言之，Log Parser 可以導(dǎo)入和導(dǎo)出多種數(shù)據(jù)格式，包括 Windows 事件日志 (.evtx)、CSV 和 SQL。

下一步是捕獲所需的事件，包括：

• DirectAccess 服務(wù)器安全日志中與 IPsec 安全關(guān)聯(lián)相關(guān)的事件
• HRA 服務(wù)器（如果使用 NAP 則是多臺服務(wù)器）安全和系統(tǒng)日志中與健康注冊機構(gòu)相關(guān)的事件

收集這些事件的最好方法是實現(xiàn)自動化與集中化。Windows 事件轉(zhuǎn)發(fā)功能就是這樣一種選擇。而在大型的生產(chǎn)部署中，Microsoft System Center 可能更加常用。在本示例中，我們不想為生產(chǎn)服務(wù)器加入新的關(guān)聯(lián)功能，因此使用了簡單的腳本來收集事件。

要使用這種方法，我們面對的挑戰(zhàn)來自兩個方面。首先，我們要關(guān)聯(lián)多個數(shù)據(jù)源，因此大致在同一時間收集來自所有數(shù)據(jù)源的數(shù)據(jù)就很重要。其次，我們只需獲取日志的快照，而高流量的事件日志滾動更新很快，因此一些關(guān)聯(lián)事件的丟失就無法避免，尤其是在快照時間段的邊緣時刻。這并不會導(dǎo)致實驗失敗，但會使微調(diào)查詢變得更困難一些。

對于每個 IPsec 主模式安全關(guān)聯(lián)（在一臺 DirectAccess 服務(wù)器上），我們預(yù)計會看到 NAP 健康流量（在一臺 HRA 服務(wù)器上）。在 NAP 報告模式中，客戶端計算機可能已經(jīng)合規(guī)也可能并不合規(guī)。在 NAP 強制模式中，客戶端計算機應(yīng)該已經(jīng)合規(guī)。否則，客戶端如何獲得有效的證書以通過 DirectAccess 服務(wù)器的身份驗證并建立安全關(guān)聯(lián) (SA)？假設(shè)我們在下午 3 點同時截取所有 DirectAccess 和 HRA 服務(wù)器上的日志，有可能我們只看到主模式安全關(guān)聯(lián) (MM SA) 事件，而看不到健康事件。

更有可能的是，我們可以看到 IPsec 快速模式安全關(guān)聯(lián) (QM SA) 和 IPsec 擴展模式安全關(guān)聯(lián) (EM SA) 事件，而看不到 MM SA 或健康事件。前者的發(fā)生要比后者晚一個小時甚至更多。此外，因為各臺服務(wù)器上的日志幾乎肯定是按不同的頻率滾動更新的，所以我們可能在 DirectAccess 服務(wù)器上獲得自下午 2 點以來的事件，而在 HRA 上最早的事件也是從下午 2:30 開始的。正是由于上述這些原因，我們需要重申，在生產(chǎn)環(huán)境中使用集中的事件收集非常重要。

生成數(shù)據(jù)

為了生成數(shù)據(jù)，我們在 DirectAccess 服務(wù)器和 HRA 服務(wù)器上運行了腳本。我們還使用任務(wù)計劃程序?qū)⒛_本配置為自動運行。我們將腳本配置為在 DirectAccess 服務(wù)器和所有 HRA 同時運行一次。

在 DirectAccess 服務(wù)器上收集數(shù)據(jù)

我們使用以下腳本在 DirectAccess 服務(wù)器上捕獲事件（請參見圖 1）：

set MPATH=c:\temp\Logs

%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\DA_Security_Events_%COMPUTERNAME%.csv FROM Security WHERE EventCategory=12549 OR EventCategory=12547 OR EventCategory=12550" -o:CSV

注意：此腳本使用了本地的 LogParser.exe（及其關(guān)聯(lián)文件 LogParser.dll）。這樣做是為了使用方便，我們可以輕松地在服務(wù)器之間復(fù)制腳本。

圖 1 借助任務(wù)計劃程序自動運行的腳本從 DirectAccess 服務(wù)器捕獲的事件詳細信息。

在HRA 服務(wù)器上收集數(shù)據(jù)

我們使用以下腳本在 HRA 服務(wù)器上捕獲事件：

set MPATH=c:\temp\Logs

%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\HRA_Security_Events_%COMPUTERNAME%.csv FROM Security WHERE EventCategory=12552" -o:CSV

%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\HRA_System_Events_%COMPUTERNAME%.csv FROM System WHERE SourceName='HRA'" -o:CSV

注意：在 HRA 腳本中，事件類別 12552 對應(yīng)了網(wǎng)絡(luò)策略服務(wù)器服務(wù)。

導(dǎo)入數(shù)據(jù)

腳本運行之后，我們將輸出的 CSV 文件收集到一臺運行 SQL Server 2008 的獨立計算機上。我們使用以下腳本將 CSV 數(shù)據(jù)導(dǎo)入 SQL：

LogParser.exe "SELECT * INTO DaSasTable FROM DA_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023
LogParser.exe "SELECT * INTO HraSecurityEventsTable  FROM HRA_Security_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023
LogParser.exe "SELECT * INTO HraSystemEventsTable  FROM HRA_System_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023

注意：

• SQL 主機的名稱是 dev1。數(shù)據(jù)庫的名稱是 NapDa，在 SQL Management Studio 中使用默認值創(chuàng)建。
• DaSasTable、HraSecurityEventsTable 和 HraSystemEventsTable 三個表尚不存在。Log Parser 命令行選項 -createTable:ON 指定 Log Parser 根據(jù)輸入數(shù)據(jù)（在本例中是事件日志 CSV 文件）使用合適的架構(gòu)自動創(chuàng)建這些表。
• -maxStrFieldLen:1023 設(shè)置在本例中非常重要。沒有這項設(shè)置，Log Parser 將為各種事件日志的字符串字段使用默認的 varchar 字段長度 255。但是，事件日志 CSV 格式中有些數(shù)據(jù)字符串的長度要更長一些（特別是在 Strings 字段中，請參見圖 2），因此保證這些字段不被截斷非常重要。作為實驗，默認長度 1023 看起來夠用了。

圖 2 顯示了 Log Parser CSV 事件日志導(dǎo)入所產(chǎn)生的架構(gòu)。

圖 2 Log Parser CSV 事件日志導(dǎo)入的架構(gòu)。

準備數(shù)據(jù)

創(chuàng)建 DirectAccess 健康報告時，提取所需數(shù)據(jù)時的主要困難是事件日志 CSV 格式是基于數(shù)據(jù)字符串的。在 GUI 中，這些數(shù)據(jù)需要隔行轉(zhuǎn)換為靜態(tài)字符串，以描述每個數(shù)據(jù)字段的含義。數(shù)據(jù)字符串包含所有對 DirectAccess 健康報告有意義的信息，包括用戶名、計算機名稱、策略組名稱和 IP 地址。

數(shù)據(jù)字符串連成單個 CSV 字段，最終形成單個 SQL 列（還是字符串）。各個字符串之間用“|”字符分隔。一種可行的方法是在數(shù)據(jù)導(dǎo)入 SQL 之前或之后立即對字符串進行標記化。但是，我們的選擇是在數(shù)據(jù)導(dǎo)入 SQL 后進行分析，然后提取所需的幾個特定數(shù)據(jù)條目，再用這些條目填充獨立的 SQL 表。

使用與 T-SQL 匹配的字符串模式完成此任務(wù)非常困難。作為備用方法，我們使用了以前的 MSDN 雜志文章正則表達式使模式匹配和數(shù)據(jù)提取變得更容易中介紹的方法：使用 C# 實現(xiàn)用戶定義的 SQL 函數(shù)，特別是針對基于正則表達式的模式匹配。

使用 Visual Studio 2008，我們幾乎完全遵照了該文中介紹的步驟，當然其他文檔中有關(guān)使用 Visual Studio 開始 SQL 和 CLR 集成的介紹也很有幫助。另外，由于正則表達式 (RegEx) 本身的復(fù)雜性，因此參考有關(guān)正則表達式的文檔也會有所幫助，特別是有關(guān)分組的內(nèi)容，因為這是 MSDN 雜志文章中的示例代碼所采用的方法。

以下示例代碼就是 SQL 用戶定義函數(shù)的源代碼，該函數(shù)使我們的 SELECT 語句具備了正則表達式功能。此函數(shù)稱為 RegexGroup，與 MSDN 雜志文章中介紹的函數(shù)一樣。我們對函數(shù)主體的前兩行進行了一處修改，以便檢查 NULL 輸入值。在加入這兩行之前，我們遇到了無數(shù)的異常，因為有幾個 SQL 幫助程序表的列（此處介紹的）都是 NULL 值：

usingSystem;

usingSystem.Data;

usingSystem.Data.SqlClient;

usingSystem.Data.SqlTypes;

usingMicrosoft.SqlServer.Server;

usingSystem.Text.RegularExpressions;

publicpartialclassUserDefinedFunctions

{

    [Microsoft.SqlServer.Server.SqlFunction]

publicstaticSqlChars RegexGroup(

SqlChars input, SqlString pattern, SqlString name)

{

if (true == input.IsNull)

returnSqlChars.Null;

Regex regex = newRegex(pattern.Value, Options);

Match match = regex.Match(newstring(input.Value));

returnmatch.Success ?

newSqlChars(match.Groups[name.Value].Value) : SqlChars.Null;

}

};

以下 SQL 命令創(chuàng)建并填充兩個幫助程序表，表中包含使用正則表達式從初始數(shù)據(jù)集中提取的字符串：

/* Create the User-Computer-Address mapping helper table */
/* This step should only be performed once per data set */
CREATE TABLE UserComputerAndAddr
(
[RowN] int null,
[UserName] varchar(1023) null,
[ComputerName] varchar(1023) null,
[Address] varchar(1023) null
)

/* Populate the User-Computer-Address table */
/* This step should only be performed once per data set */
INSERT INTO UserComputerAndAddr(RowN, UserName, ComputerName, Address)
SELECT RowNumber,
	dbo.RegexGroup([Strings],N'(?<un>[0-9a-zA-Z]+)@redmond.corp.microsoft.com',N'un'),
	dbo.RegexGroup([Strings],N'(?<machine>[0-9a-zA-Z\-]+)(?<!CO1RED-TPM-01)\$@redmond.corp.microsoft.com',N'machine'),
	dbo.RegexGroup([Strings],N'(?<ipv6addr>[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4})',N'ipv6addr')
FROM [NapDa].[dbo].[DaSasTable]

/* Create the Computer-Health mapping helper table */
/* This step should only be performed once per data set */
CREATE TABLE ComputerHealth
(
[RowN] int null,
[TimeGenerated] datetime null,
[EventType] int null,
[ComputerName] varchar(1023) null
)

/* Populate the Computer-Health mapping table */
/* This step should only be performed once per data set */
INSERT INTO ComputerHealth(RowN, TimeGenerated, EventType, ComputerName)
SELECT RowNumber,
	TimeGenerated,
	EventType,
	dbo.RegexGroup([Strings],N'REDMOND\\(?<machine>[0-9a-zA-Z\-]+)\$',N'machine')
FROM [NapDa].[dbo].[HraSystemEventsTable]

仔細研究第一個 SELECT 語句以及它對 RegexGroup 函數(shù)（該函數(shù)通過我們介紹的技術(shù)安裝）的使用，有助于了解字符串模式。圖 3 詳細介紹了我們定義的三個正則表達式模式。

/* The following steps build the report, based on the three imported tables

* plus the two helpers above. These steps can be run any number of times as

* you refine your query.

*/

/* Create a temporary table to populate as the final report */

CREATE TABLE #SaHealthReport
(

[UserName] varchar(1023) null,

[ComputerName] varchar(1023) null,

[HealthEventType] int null

)

/* Run a query to find all IPsec Quick Mode Security Associations established

* within a given period. Populate a temporary table with the client IPv6

* addresses. */

SELECT DISTINCT[Address] INTO #TempAddresses

FROM [NapDa].[dbo].[DaSasTable] JOIN [NapDa].[dbo].[UserComputerAndAddr]

      ON RowN = RowNumber

WHERE [EventType]=8 AND

      [EventCategory]=12549 AND

      ([TimeGenerated] BETWEEN'2010-05-10 15:00:00.000' AND '2010-05-10 16:00:00.000')

/* Map the QM SA addresses to user and computer names and insert those into

* the final report. */

INSERT INTO #SaHealthReport(UserName,ComputerName)

SELECT UserComputerAndAddr.UserName,UserComputerAndAddr.ComputerName

FROM [NapDa].[dbo].[UserComputerAndAddr] JOIN #TempAddresses

      ON #TempAddresses.Address = UserComputerAndAddr.Address

WHERE (UserComputerAndAddr.UserName IS NOT NULL) AND (UserComputerAndAddr.ComputerName IS NOT NULL)

/* Populate the health column of the report. */

UPDATE #SaHealthReport

SET HealthEventType = ComputerHealth.EventType

FROM #SaHealthReport JOIN [NapDa].[dbo].[ComputerHealth]

      ON #SaHealthReport.ComputerName = ComputerHealth.ComputerName

/* Display all rows and columns of the report. */

SELECT DISTINCT *

FROM #SaHealthReport

填充 SaHealthReport 報告表的最后一步是關(guān)聯(lián) HRA 健康信息與計算機及用戶身份信息，這樣就與 DirectAccess 服務(wù)器有了顯著區(qū)別。在這種混合模式中加入 HRA 服務(wù)器信息是一種有力的工具，使您可以確定遠程連接到網(wǎng)絡(luò)的計算機是否會（由于不合規(guī)而）帶來風險。請參見上述 SQL 查詢中的 UPDATE 語句：DirectAccess 和 HRA 數(shù)據(jù)的關(guān)聯(lián)是使用計算機名稱完成的。

圖 5 顯示了完成后的健康報告可能會返回的數(shù)據(jù)示例。

圖 5 完成后的健康報告示例

使用一些自定義的腳本和 LogParser 工具，您可以相對輕松地在 IPsec（包括 DirectAccess）和 NAP 部署上建立起報告機制。此方法可幫助企業(yè)開始為業(yè)務(wù)線服務(wù)創(chuàng)建安全框架，而無論這些服務(wù)是位于本地還是位于云計算環(huán)境中。

本文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. IPS是使網(wǎng)絡(luò)健康的關(guān)鍵防護措施
2. 如何為Windows Server 2008配置NAP服務(wù)
3. LanGate UTM 和 NetGear IPsec VPN 連接詳解
4. SafeNet推出針全新IPsec安全工具包