建立安全的訪問機制是企業步入云計算時代的第一步。現在為合規、報告和遠程連接設置相應的策略，也就規定了您的團隊將如何安全、順利地在云計算環境中開展工作。使用帶 IPsec 的網絡訪問保護 (NAP) 連接技術（如 DirectAccess）可以幫助改進您的審核和合規報告工作。

為新的 DirectAccess 或 IPsec 部署方案創建審核和報告解決方案時，識別和收集必要的數據困難重重。在本文中，我們將用一家虛擬的公司作為例子，說明如何創建 DirectAccess 和 NAP 解決方案，并提供報告數據以確定誰進行了連接、何時進行的連接以及客戶端計算機是否合規。

合規問題

由于員工的工作場所越來越變化多端，因此很多企業都采用了靈活的遠程訪問技術，如 DirectAccess。使用 DirectAccess 后，只要獲得授權的計算機連接 Internet，用戶就將自動連接到遠程網絡。由于遠程客戶端有時并未安裝最新的安全修補程序，而且可能感染了惡意軟件，因此很多企業還部署了帶 IPsec 的 NAP 來幫助確保只有健康的客戶端可以訪問受保護的資源。

在金融服務、醫療衛生和政府等行業，確保只有健康且獲得批準的客戶端能夠連接到云計算或本地網絡資源，對于保護數據的完整性非常重要。這些行業經常要按照內部的合規策略以及國家/地區的法律規定，確認個人身份信息（PII，包括銀行賬號、姓名和健康記錄等）不會被任何未經授權的人（包括通過惡意軟件和未知的第三方應用程序）訪問。

用戶都希望能夠輕松地遠程訪問其工作資源，因此這些行業的 IT 經理們還必須確保只有健康的客戶端可以訪問公司網絡。遺憾的是，要從 NAP 和 DirectAccess 日志創建有意義的報告并非易事。

真正的解決方案就是：設置 DirectAccess 基礎設施以實現順暢的遠程客戶端訪問、使用 NAP 和 IPsec 保護 Intranet 資源并通過報告來監控策略的執行情況。TechNet 中有很多關于如何通過 DirectAccess 實現 NAP 的有用信息，但是對于如何有效記錄和報告客戶端的健康狀況，卻很少提及。我們將用一家虛擬公司 (Woodgrove National Bank) 為例，說明一位顧問如何用一些簡單的代碼和 SQL 查詢來創建可以直接閱讀的報告。報告中詳細列出了在指定時間段內連接的客戶端以及這些客戶端是否 NAP 合規。

在DirectAccess上設置NAP

DirectAccess 要求連接的客戶端運行兼容版本的 Windows（Windows 7 旗艦版或 Windows 7 企業版）。這些客戶端連接到運行了 Windows Server 2008 R2 的 DirectAccess 服務器。 DirectAccess 部署方案中可以包含一臺或多臺 DirectAccess 服務器。（我們建議使用至少兩臺服務器，以便在網絡繁忙時幫助平衡負載。）部署中還必須包括一臺網絡位置服務器（用于確定客戶端是連接到 Internet 還是連接到 Intranet）以及一個或多個證書吊銷列表 (CRL) 分發點（用于追蹤不再允許訪問的客戶端）。要了解如何設計 DirectAccess 部署方案，請參見 TechNet 上的 DirectAccess 設計指南。

在 DirectAccess 上添加 NAP 時，您必須實施針對 NAP 的 IPsec 強制方法。使用 IPsec 時，NAP 合規的客戶端將獲得健康證書。如果計算機不合規，則不允許與其他合規的計算機進行通信。要了解如何設計和部署 NAP，請參見 TechNet 上的規劃具有網絡訪問保護的 DirectAccess。要了解如何將帶 IPsec 的 NAP 設計為強制方法，請參見 TechNet 上的 IPsec 強制設計。

考慮 NAP IPsec 強制方案如何在 DirectAccess 及其 IPsec 連接策略的背景下工作非常有意思。首先，由于 DirectAccess 使用 IPsec 進行身份驗證并處理保密性，因此 DirectAccess 部署中的 NAP 強制方案必須是 IPsec。其次，請記住 IPsec 的 AuthIP 組件讓您在策略中配置兩個獨立的身份驗證要求，因此連接必須同時滿足這兩個要求才能成功。一般來說，如果配置了兩個 AuthIP 身份驗證選項，則第一個是計算機憑據，第二個是用戶憑據。但是，也有可能要配置兩個計算機憑據。

NAP 與 AuthIP 策略是如何結合在一起的呢？NAP/IPsec 強制方案為健康的計算機頒發帶有健康對象標識符 (OID) 的證書。AuthIP 策略引擎包括一個選項，要求提供該健康 OID。因此，只有健康的計算機可以滿足第一個 AuthIP 身份驗證要求，并且與 DirectAccess 服務器建立 IPsec 連接。

最后，第二個 AuthIP 身份驗證選項要求提供用戶憑據。就技術而言，用戶憑據對 DirectAccess 來說是可選的。換句話說，客戶端可以只使用計算機憑據向 DirectAccess 端點驗證身份。對于不經過加強的身份驗證就授予完全的遠程網絡訪問權限，注重安全性的 IT 人員應該表示擔憂。因此，AuthIP 策略最少也要配置為要求第二個 Kerberos 身份驗證。要求用戶憑據的證書（在 Woodgrove National Bank 方案中就是如此）是最佳方案，因為這可以降低遠程靜態密碼攻擊的風險。

在此方案中，Woodgrove National Bank 的網絡安全和合規部門需要一個報告，顯示在指定時間段內有哪些用戶連接了公司網絡，以及這些客戶端是否 NAP 合規。他們相信這段時間內可能出現了用戶數據損壞的情況。作為該銀行的顧問，我們需要確定如何為 DirectAccess 和 NAP 啟用事后報告功能，然后將這些信息轉換為能夠直接閱讀的報告。

正確的策略配置

在這個虛擬的方案中，Woodgrove National Bank 已經配置了 DirectAccess，使 IPsec 策略要求提供包含 NAP 系統健康 OID 和客戶端身份驗證 OID 的客戶端證書。Woodgrove 以強制模式使用 NAP（而不只是報告模式），這意味著將禁止不健康的客戶端與健康的客戶端通信。

最后，Woodgrove 配置了 DirectAccess IPsec 策略，使用兩個基于證書的憑據：一個來自客戶端計算機，一個來自用戶。Woodgrove 按照上述建議選擇了雙證書配置，以便更好地利用其 PKI 投資，消除遠程訪問的靜態密碼并利用證書自動注冊功能。

本示例的其余部分假定您具備相應的實踐知識，了解 DirectAccess、NAP 和 IPsec 強制模式的工作原理。要深入了解這些技術，請參見以下資源：

• DirectAccess 執行概述
• 網絡訪問保護簡介
• 理解 NAP IPsec 強制

下面的報告解決方案利用了 DirectAccess 服務器上的 IPsec 的內置審核功能以及網絡策略服務器 (NPS) 的健康注冊機構 (HRA) 功能的審核功能。這些審核功能會在系統和安全事件日志中生成事件，我們將提取這些事件并進行報告。在制定此方法時，我們發現默認生成的是 HRA 事件，而 IPsec 事件可能需要明確啟用。您可以在命令提示符窗口中使用以下命令來啟用 IPsec 事件：

auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Main Mode" /success:enable /failure:enable

auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Quick Mode" /success:enable /failure:enable

auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Extended Mode" /success:enable /failure:enable

DirectAccess 健康報告

為了開始處理 Woodgrove National Bank 的 NAP 和 DirectAccess 事件，我們下載并安裝了 Microsoft 的 Log Parser 2.2。Log Parser 是這種項目中必不可少的工具，因為您必須瀏覽新的事件來源并制定相應的架構。簡而言之，Log Parser 可以導入和導出多種數據格式，包括 Windows 事件日志 (.evtx)、CSV 和 SQL。

下一步是捕獲所需的事件，包括：

• DirectAccess 服務器安全日志中與 IPsec 安全關聯相關的事件
• HRA 服務器（如果使用 NAP 則是多臺服務器）安全和系統日志中與健康注冊機構相關的事件

收集這些事件的最好方法是實現自動化與集中化。Windows 事件轉發功能就是這樣一種選擇。而在大型的生產部署中，Microsoft System Center 可能更加常用。在本示例中，我們不想為生產服務器加入新的關聯功能，因此使用了簡單的腳本來收集事件。

要使用這種方法，我們面對的挑戰來自兩個方面。首先，我們要關聯多個數據源，因此大致在同一時間收集來自所有數據源的數據就很重要。其次，我們只需獲取日志的快照，而高流量的事件日志滾動更新很快，因此一些關聯事件的丟失就無法避免，尤其是在快照時間段的邊緣時刻。這并不會導致實驗失敗，但會使微調查詢變得更困難一些。

對于每個 IPsec 主模式安全關聯（在一臺 DirectAccess 服務器上），我們預計會看到 NAP 健康流量（在一臺 HRA 服務器上）。在 NAP 報告模式中，客戶端計算機可能已經合規也可能并不合規。在 NAP 強制模式中，客戶端計算機應該已經合規。否則，客戶端如何獲得有效的證書以通過 DirectAccess 服務器的身份驗證并建立安全關聯 (SA)？假設我們在下午 3 點同時截取所有 DirectAccess 和 HRA 服務器上的日志，有可能我們只看到主模式安全關聯 (MM SA) 事件，而看不到健康事件。

更有可能的是，我們可以看到 IPsec 快速模式安全關聯 (QM SA) 和 IPsec 擴展模式安全關聯 (EM SA) 事件，而看不到 MM SA 或健康事件。前者的發生要比后者晚一個小時甚至更多。此外，因為各臺服務器上的日志幾乎肯定是按不同的頻率滾動更新的，所以我們可能在 DirectAccess 服務器上獲得自下午 2 點以來的事件，而在 HRA 上最早的事件也是從下午 2:30 開始的。正是由于上述這些原因，我們需要重申，在生產環境中使用集中的事件收集非常重要。

生成數據

為了生成數據，我們在 DirectAccess 服務器和 HRA 服務器上運行了腳本。我們還使用任務計劃程序將腳本配置為自動運行。我們將腳本配置為在 DirectAccess 服務器和所有 HRA 同時運行一次。

在 DirectAccess 服務器上收集數據

我們使用以下腳本在 DirectAccess 服務器上捕獲事件（請參見圖 1）：

set MPATH=c:\temp\Logs

%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\DA_Security_Events_%COMPUTERNAME%.csv FROM Security WHERE EventCategory=12549 OR EventCategory=12547 OR EventCategory=12550" -o:CSV

注意：此腳本使用了本地的 LogParser.exe（及其關聯文件 LogParser.dll）。這樣做是為了使用方便，我們可以輕松地在服務器之間復制腳本。

圖 1 借助任務計劃程序自動運行的腳本從 DirectAccess 服務器捕獲的事件詳細信息。

在HRA 服務器上收集數據

我們使用以下腳本在 HRA 服務器上捕獲事件：

set MPATH=c:\temp\Logs

%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\HRA_Security_Events_%COMPUTERNAME%.csv FROM Security WHERE EventCategory=12552" -o:CSV

%MPATH%\LogParser.exe "SELECT * INTO %MPATH%\HRA_System_Events_%COMPUTERNAME%.csv FROM System WHERE SourceName='HRA'" -o:CSV

注意：在 HRA 腳本中，事件類別 12552 對應了網絡策略服務器服務。

導入數據

腳本運行之后，我們將輸出的 CSV 文件收集到一臺運行 SQL Server 2008 的獨立計算機上。我們使用以下腳本將 CSV 數據導入 SQL：

LogParser.exe "SELECT * INTO DaSasTable FROM DA_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023
LogParser.exe "SELECT * INTO HraSecurityEventsTable  FROM HRA_Security_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023
LogParser.exe "SELECT * INTO HraSystemEventsTable  FROM HRA_System_*.csv" -i:CSV -o:SQL -server:dev1 -database:NapDa -createTable:ON -maxStrFieldLen:1023

注意：

• SQL 主機的名稱是 dev1。數據庫的名稱是 NapDa，在 SQL Management Studio 中使用默認值創建。
• DaSasTable、HraSecurityEventsTable 和 HraSystemEventsTable 三個表尚不存在。Log Parser 命令行選項 -createTable:ON 指定 Log Parser 根據輸入數據（在本例中是事件日志 CSV 文件）使用合適的架構自動創建這些表。
• -maxStrFieldLen:1023 設置在本例中非常重要。沒有這項設置，Log Parser 將為各種事件日志的字符串字段使用默認的 varchar 字段長度 255。但是，事件日志 CSV 格式中有些數據字符串的長度要更長一些（特別是在 Strings 字段中，請參見圖 2），因此保證這些字段不被截斷非常重要。作為實驗，默認長度 1023 看起來夠用了。

圖 2 顯示了 Log Parser CSV 事件日志導入所產生的架構。

圖 2 Log Parser CSV 事件日志導入的架構。

準備數據

創建 DirectAccess 健康報告時，提取所需數據時的主要困難是事件日志 CSV 格式是基于數據字符串的。在 GUI 中，這些數據需要隔行轉換為靜態字符串，以描述每個數據字段的含義。數據字符串包含所有對 DirectAccess 健康報告有意義的信息，包括用戶名、計算機名稱、策略組名稱和 IP 地址。

數據字符串連成單個 CSV 字段，最終形成單個 SQL 列（還是字符串）。各個字符串之間用“|”字符分隔。一種可行的方法是在數據導入 SQL 之前或之后立即對字符串進行標記化。但是，我們的選擇是在數據導入 SQL 后進行分析，然后提取所需的幾個特定數據條目，再用這些條目填充獨立的 SQL 表。

使用與 T-SQL 匹配的字符串模式完成此任務非常困難。作為備用方法，我們使用了以前的 MSDN 雜志文章正則表達式使模式匹配和數據提取變得更容易中介紹的方法：使用 C# 實現用戶定義的 SQL 函數，特別是針對基于正則表達式的模式匹配。

使用 Visual Studio 2008，我們幾乎完全遵照了該文中介紹的步驟，當然其他文檔中有關使用 Visual Studio 開始 SQL 和 CLR 集成的介紹也很有幫助。另外，由于正則表達式 (RegEx) 本身的復雜性，因此參考有關正則表達式的文檔也會有所幫助，特別是有關分組的內容，因為這是 MSDN 雜志文章中的示例代碼所采用的方法。

以下示例代碼就是 SQL 用戶定義函數的源代碼，該函數使我們的 SELECT 語句具備了正則表達式功能。此函數稱為 RegexGroup，與 MSDN 雜志文章中介紹的函數一樣。我們對函數主體的前兩行進行了一處修改，以便檢查 NULL 輸入值。在加入這兩行之前，我們遇到了無數的異常，因為有幾個 SQL 幫助程序表的列（此處介紹的）都是 NULL 值：

usingSystem;

usingSystem.Data;

usingSystem.Data.SqlClient;

usingSystem.Data.SqlTypes;

usingMicrosoft.SqlServer.Server;

usingSystem.Text.RegularExpressions;

publicpartialclassUserDefinedFunctions

{

    [Microsoft.SqlServer.Server.SqlFunction]

publicstaticSqlChars RegexGroup(

SqlChars input, SqlString pattern, SqlString name)

{

if (true == input.IsNull)

returnSqlChars.Null;

Regex regex = newRegex(pattern.Value, Options);

Match match = regex.Match(newstring(input.Value));

returnmatch.Success ?

newSqlChars(match.Groups[name.Value].Value) : SqlChars.Null;

}

};

以下 SQL 命令創建并填充兩個幫助程序表，表中包含使用正則表達式從初始數據集中提取的字符串：

/* Create the User-Computer-Address mapping helper table */
/* This step should only be performed once per data set */
CREATE TABLE UserComputerAndAddr
(
[RowN] int null,
[UserName] varchar(1023) null,
[ComputerName] varchar(1023) null,
[Address] varchar(1023) null
)

/* Populate the User-Computer-Address table */
/* This step should only be performed once per data set */
INSERT INTO UserComputerAndAddr(RowN, UserName, ComputerName, Address)
SELECT RowNumber,
	dbo.RegexGroup([Strings],N'(?<un>[0-9a-zA-Z]+)@redmond.corp.microsoft.com',N'un'),
	dbo.RegexGroup([Strings],N'(?<machine>[0-9a-zA-Z\-]+)(?<!CO1RED-TPM-01)\$@redmond.corp.microsoft.com',N'machine'),
	dbo.RegexGroup([Strings],N'(?<ipv6addr>[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4}:[0-9a-fA-F]{1,4})',N'ipv6addr')
FROM [NapDa].[dbo].[DaSasTable]

/* Create the Computer-Health mapping helper table */
/* This step should only be performed once per data set */
CREATE TABLE ComputerHealth
(
[RowN] int null,
[TimeGenerated] datetime null,
[EventType] int null,
[ComputerName] varchar(1023) null
)

/* Populate the Computer-Health mapping table */
/* This step should only be performed once per data set */
INSERT INTO ComputerHealth(RowN, TimeGenerated, EventType, ComputerName)
SELECT RowNumber,
	TimeGenerated,
	EventType,
	dbo.RegexGroup([Strings],N'REDMOND\\(?<machine>[0-9a-zA-Z\-]+)\$',N'machine')
FROM [NapDa].[dbo].[HraSystemEventsTable]

仔細研究第一個 SELECT 語句以及它對 RegexGroup 函數（該函數通過我們介紹的技術安裝）的使用，有助于了解字符串模式。圖 3 詳細介紹了我們定義的三個正則表達式模式。

/* The following steps build the report, based on the three imported tables

* plus the two helpers above. These steps can be run any number of times as

* you refine your query.

*/

/* Create a temporary table to populate as the final report */

CREATE TABLE #SaHealthReport
(

[UserName] varchar(1023) null,

[ComputerName] varchar(1023) null,

[HealthEventType] int null

)

/* Run a query to find all IPsec Quick Mode Security Associations established

* within a given period. Populate a temporary table with the client IPv6

* addresses. */

SELECT DISTINCT[Address] INTO #TempAddresses

FROM [NapDa].[dbo].[DaSasTable] JOIN [NapDa].[dbo].[UserComputerAndAddr]

      ON RowN = RowNumber

WHERE [EventType]=8 AND

      [EventCategory]=12549 AND

      ([TimeGenerated] BETWEEN'2010-05-10 15:00:00.000' AND '2010-05-10 16:00:00.000')

/* Map the QM SA addresses to user and computer names and insert those into

* the final report. */

INSERT INTO #SaHealthReport(UserName,ComputerName)

SELECT UserComputerAndAddr.UserName,UserComputerAndAddr.ComputerName

FROM [NapDa].[dbo].[UserComputerAndAddr] JOIN #TempAddresses

      ON #TempAddresses.Address = UserComputerAndAddr.Address

WHERE (UserComputerAndAddr.UserName IS NOT NULL) AND (UserComputerAndAddr.ComputerName IS NOT NULL)

/* Populate the health column of the report. */

UPDATE #SaHealthReport

SET HealthEventType = ComputerHealth.EventType

FROM #SaHealthReport JOIN [NapDa].[dbo].[ComputerHealth]

      ON #SaHealthReport.ComputerName = ComputerHealth.ComputerName

/* Display all rows and columns of the report. */

SELECT DISTINCT *

FROM #SaHealthReport

填充 SaHealthReport 報告表的最后一步是關聯 HRA 健康信息與計算機及用戶身份信息，這樣就與 DirectAccess 服務器有了顯著區別。在這種混合模式中加入 HRA 服務器信息是一種有力的工具，使您可以確定遠程連接到網絡的計算機是否會（由于不合規而）帶來風險。請參見上述 SQL 查詢中的 UPDATE 語句：DirectAccess 和 HRA 數據的關聯是使用計算機名稱完成的。

圖 5 顯示了完成后的健康報告可能會返回的數據示例。

圖 5 完成后的健康報告示例

使用一些自定義的腳本和 LogParser 工具，您可以相對輕松地在 IPsec（包括 DirectAccess）和 NAP 部署上建立起報告機制。此方法可幫助企業開始為業務線服務創建安全框架，而無論這些服務是位于本地還是位于云計算環境中。

本文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. IPS是使網絡健康的關鍵防護措施
2. 如何為Windows Server 2008配置NAP服務
3. LanGate UTM 和 NetGear IPsec VPN 連接詳解
4. SafeNet推出針全新IPsec安全工具包