本页内容
 | 技术案例研究 |
| 现状 |
| 解决方案 |
| 获得的经验 |
| 最佳做法 |
| 结论 |
| 有关详细信息 |
技术案例研究
作为其正在进行的可信计算策略的一部分,Microsoft? 的内部 IT 部门保护员工远程访问连接(每月大约有一百万次连接)的安全,使计算更加安全。
现状
Microsoft IT 正在进行的工作仅是全球可信计算工作的一部分。Microsoft IT 对运行公司的内部网络、电讯系统、企业服务器和所有行业应用程序负有主要责任。Microsoft IT 组的任务是提供一个包含服务、应用程序和基础结构在内的 IT 环境,帮助为 Microsoft 在全球 400 多个地点的全体员工提供可用性、隐私和安全性。除了运行“实用工具”(内部称法),Microsoft IT 也致力于在 Microsoft 企业产品推向市场前在实际环境中测试它们,这一过程在 Microsoft 内部称为“自己做的,自己先尝”。Microsoft IT 客户服务的任务是充分共享其通过各个案例研究(如本例)学习到的最佳做法和经验教训。
Microsoft IT 已经建立了“安全远程用户”(SRU) 最佳做法,以将由远程访问产生的网络安全风险降到最低。虽然本案例研究的目的并非作为企业安全的通用指南或规划,但它解释了 Microsoft IT 帮助保护 Microsoft 远程用户的安全所采用的方法。每个企业环境都有其独特的情况,所以各个组织都应修改本案例研究中所述的规划、规范和经验教训,以满足它们自己的需求。
今天,很多企业的员工都可以通过远程访问来访问他们的企业电子邮件帐户、数据和计算机网络资源。远程访问泛指允许认可的员工从远程位置(如他们家中或旅馆)连接到企业网络的服务和连接。很多组织中,用户仅通过一个有效的域用户名和关联的密码来验证他们的远程访问。但是,员工的用户名一般会散布在名片和杂志文章中,这使得它们易于被猜到。这种情况下,密码即成为保护企业网络的唯一安全机制。
另外,从远程位置连接到网络的未受管理的或不安全的计算机也会危及公司的整体网络安全。未受管理的计算机指组织的 IT 专业人员不能控制其操作系统安全设置或安全修补程序或特定安全软件安装的计算机。组织的组策略不能覆盖到这些计算机。结果,它们常常错过关键的安全修补程序或未按照 IT 安全策略和标准来配置。
Microsoft 企业网络由数千台相互连接的服务器组成,这些服务器保存着公司的知识产权、人力资源记录和其他敏感信息。并非所有的员工都需要不在公司时使用远程访问。作为远程访问的替代方式,Microsoft 员工通过 Internet 访问可以在任何 PC 上访问电子邮件、日历、联系人和公用文件夹,方法是通过 Microsoft Internet Explorer 4.01 版或更高版在 Web 之上使用 Microsoft Outlook Web Access (OWA),或通过 Microsoft Office Outlook? 2003 使用 RPC over HTTP 协议。编写本文时,每月有超过 45,000 位 Microsoft 员工采用这种方式访问他们的电子邮件。
为了访问其他公司网络资源,员工使用远程访问来连接至全世界超过 175 个接入点。Microsoft 支持的远程访问方法包括拨号上网、Internet 服务提供商 (ISP) 和直接的 Internet 连接,例如数字用户线路 (DSL) 或电缆调制解调器。Microsoft IT 也部署了使用点对点隧道协议 (PPTP) 的虚拟专用网络 (VPN) 技术。编写本文档时,Microsoft IT 每星期管理超过 250,000 次的远程访问连接。图 1 说明了这些连接和远程访问的整体体系结构。
过去,员工仅需要一个有效域用户名和与其相关的密码,通过远程访问来进行身份验证并进入 Microsoft 公司网络。即使 Microsoft IT 强制执行严格的密码策略,还是需要更强的“双因素身份验证”,尤其是从家庭计算机访问公司网络时。双因素验证包括已有(例如智能卡)和已知(例如智能卡的个人标识号或 PIN)的事物。
与公司网络内使用的计算机相比,Microsoft IT 在远程访问设备的强制执行配置标准上设定了更高的优先级。这是因为用于远程连接至 Microsoft 的设备常连接至家庭网络和个人 Internet 连接,这些连接的安全预防措施通常都比 Microsoft IT 实施的安全预防措施少。直接连接至 Internet 的计算机会定期受到病毒、特络伊木马应用程序和计算机蠕虫病毒的侵入。用于家庭计算机的“永远联机”式的宽带 Internet 访问的出现,使得这些计算机访问 Microsoft 公司网络时潜在的网络资产暴露加剧。
解决方案
为了解决这个日益突出的问题,Microsoft IT 研究了许多的技术以帮助保证公司网络远程访问的安全,并决定将数种新的和现有的技术结合在“安全远程用户”倡议中。SRU 包括:
| ? | 用于双因素身份验证的智能卡 |
| ? | 智能卡管理软件,包括 Microsoft 加密服务提供程序 (CSP) 软件 |
| ? | 反病毒软件 |
| ? | 连接管理器 |
| ? | 适用于使用 Microsoft Windows? XP Professional 的客户端计算机的 Internet 连接防火墙 |
| ? | 用于配置检查的自定义脚本 |
| ? | Microsoft Internet 验证服务 (IAS) 服务器,远程身份验证拨号接入用户服务 (RADIUS) 的 Microsoft 实现,适用于通过 Active Directory? 管理的远程访问策略 |
| ? | VPN 服务器,它利用了 Windows Server TM 2003 Resource Kit 工具 |
威胁可粗略分为两大类,来自于恶意用户(例如未经授权的用户)的危险和来自于恶意软件(例如病毒)的危险。
确定的三种方法:
| 1. | 要解决来自于恶意用户的威胁,可使用智能卡实施强(双因素)用户身份验证。 |
| 2. | 要解决来自于恶意软件的威胁,可实施计算机配置检查。 |
| 3. | 对于最常用到的员工个人业务数据提供其他访问方式(通过 OWA 和 RPC over HTTP 协议)。 |
图 2 说明了整个远程访问的安全策略。
图 2. 远程访问策略
部署智能卡
在为双因素身份验证选定使用智能卡之前,Microsoft IT 考虑过数种其他的技术解决方案。这些技术包括生物测定(例如拇指指纹和手印扫描仪)、硬件令牌(例如安全 ID、这是一台钥匙串大小的设备,可自动按照预先确定的间隔计算新的密码以在身份验证服务器上匹配相似的密码更改设备 )、USB 令牌读取器设备(与智能卡有些类似)。因为智能卡技术的可靠性、低成本、功能和灵活性,Microsoft IT 选择将其部署在其他技术上。与智能卡相比,其他大多数的解决方案可靠性低、按每位员工平摊的成本非常高。智能卡平台也可扩展至其他应用程序。
在 Microsoft,智能卡利用了现有 Windows 2000 Server 和 Windows Server 2003 基础结构中的技术,其中包括证书服务、公钥基础结构 (PKI) 安全、CSP 和可扩展身份验证协议—传输层安全 (EAP-TLS)。
为了避免员工携带额外的卡或设备(并且避免遗失设备),标准射频识别 (RFID) 卡钥中嵌入了一个 32 KB 加密处理器智能卡芯片,该卡钥发放给员工,使其可进入 Microsoft 建筑物内。因而,在 Microsoft 员工仅需要一张卡就可使用实际的资产和访问网络资产。
智能卡 PIN 是一组字母数字,长度为五到八个字符。用户使用客户卡管理软件来管理各自的 PIN,该软件公布在 Microsoft IT 创建的 Intranet 网站上。
对于智能卡部署,Microsoft 通过 Windows 2000 Server 和之后的 Windows Server 2003 证书服务使用了其现有的 PKI 基础结构(世界上最大的基础结构之一)。一些部署智能卡的企业客户也许认为它们必须使用外部的、第三方的 PKI 证书颁发机构 (CA) 服务,但是这对于那些使用 Windows 2000 Server 或 Windows Server 2003 的企业而言却没有必要。使用自主的 PKI 基础结构就可显著节省每个证书的费用,允许 Microsoft IT 在很多不同的实现间共享 PKI 服务,并使 Microsoft IT 可以维持其网络环境安全的控制。
Microsoft 使智能卡读取器硬件如同公司标准设备一样使用。读取器的成本取决于接口类型(PC 卡、通用串行总线 [USB] 或串口)和制造商而介于 US$12 到 $25 之间。该解决方案也要求在 VPN/RADIUS 基础结构服务器上部署远程访问策略 (RAP)。RAP 要求在 Windows 2000 Server 或 Windows Server 2003 中使用 Active Directory 的本地模式。
图 3 说明了用户身份验证的智能卡登录过程。
图 3. 智能卡登录过程
如图 3 所示,要启动远程访问登录过程,(1) 员工将一张智能卡插入连接至远程访问客户客户端 PC 的智能卡读取器设备。
通过 Windows XP Professional 连接管理器 (CM) 的自定义安装来管理连接序列,并通过激活智能卡读取器来启动。将显示要求输入卡 PIN 的对话框。成功输入 PIN (2) 可解除卡的锁定并可以继续进行远程访问登录过程的剩余部分。CM 启动至拨号上网或 VPN 服务器的连接。客户端上的卡管理软件从卡中检索登录证书,(3) 使用 EAP-TLS 安全协议发送证书信息至公司网络上的 IAS 服务器。
使用 RAP、IAS 服务器管理身份验证过程,发送用户的身份验证要求和登录证书信息至公司 Active Directory 数据库 (4),这些信息在数据库中与为该远程用户保留的登录证书进行比较。如果证书信息匹配 (5),用户则通过身份验证 (6)。此时,有户即可访问他(她)的所有网络数据和资源 (7)。
远程访问连接安全检查
一旦建立连接,CM 会立刻在客户端计算机上启动一系列连接后脚本来扫描以检查是否有附加的安全要求,例如最新服务数据包、紧急安全修补程序和反病毒签名文件的安装,如图 4 所示。
图 4. 安全远程用户客户端配置屏幕
SRU 进程设计为允许将某些脚本的配置指定为 PreKeyPass 脚本。在发送三分钟断开连接计时器密钥至路由和远程访问服务器之前执行并完成 PreKeyPass 脚本。设置计时器来提供慢速拨号上网连接时间,以在断开之前将密钥传递至路由和远程访问服务器。
一旦路由和远程访问服务器接收到超时密钥,则移除断开连接计时器。在计时器密钥发出之后,执行未被指定为 PreKeyPass 脚本的脚本。该脚本包括:
| ? | 扫描最新的反病毒文件 |
| ? | 确保激活 Windows XP 内的 Internet 连接防火墙 (ICF) |
| ? | 检查指定软件安全包的安装 |
| ? | 其他自定义脚本 |
Microsoft IT 在系统中设计的动态灵活性使得断开连接计时器密钥可在所需系列中任何脚本之后传递。这可确保在要求安装紧急修补程序以维护连接时,可在用于检查该安装的脚本运行后开始传递计时器密钥。
通过 RADIUS 策略可控制断开连接计时器的强制执行。一旦 Microsoft IT 使用了隔离网络,该前密钥和后密钥脚本功能则变得更为重要。在 Microsoft,超过 80% 的远程客户端采用宽带连接或 ISP 连接方式通过 Internet 使用 VPN 隧道访问网络资源。Microsoft CSP 和高质量智能卡读取器的使用将在远程访问连接进程上的 SRU 进程的偏差限制在四到十秒钟(全部)之间,该时间取决于使用的智能卡读取器和拨号上网或宽带连接的速度。
部署挑战
Microsoft IT 在规划和部署 SRU 倡议时面临数种挑战:
| ? | 移动设备问题。 编写本文时,使用诸如 Pocket PC 和智能电话(这些设备仍然不支持必需的 EAP-TLS 协议)之类的移动个人数字助理 (PDA) 设备的用户仍不能使用这些设备对公司网络进行远程访问。此外移动设备还需要支持智能卡读取器设备,因为远程访问要求使用智能卡。 |
| ? | 家庭计算机问题。 配备有些 Macintosh、UNIX 和 Linux 计算机的家庭用户,如果这些系统不支持必需版本的 EAP-TLS 协议,则也不能对 Microsoft 公司网络进行远程访问。 |
| ? | 综合业务数字网 (ISDN) 问题。 在该解决方案中使用 ISDN 多重链接(即,将两个 64 KB ISDN 信道结合到一个 128 KB 线路中)仍有问题。默认情况下,很多 ISDN 调制解调器在多重链接时不支持 EAP-TLS 会话的建立。不过,可以采用手动更改 CM 使用的 INI 文件的一个临时解决方法来部分地解决这个问题。适当采用这种临时解决方法,在对 Microsoft 远程访问直接拨号路由器传出呼叫时多重链接可以正常工作。对于依赖回拨功能来连接至 Microsoft 远程访问服务器以节省连接费用的用户而言,不支持多重链接。结果两条信道中的一条信道的丢失会导致 ISDN 用户性能潜在的显著降低。 |
| ? | 智能卡产品选择。 智能卡制造商经常为他们的产品增加新的功能,包括更大的内存空间(现在提供有 128 KB 卡)。在企业范围内将卡标准化为一种模式是这些技术快速发展所面临的挑战。 |
获得的经验
在 SRU 部署期间,Microsoft IT 碰到了大量客户应当在自己的规划中解决的操作和管理方面的挑战:
| ? | 不成熟的智能卡管理工具增加了管理负担。 |
| ? | 管理智能卡证书发放和续订的安全注册颁发机构比较困难。 |
| ? | 远程客户端故障排除要求多个团队的密切合作。 |
| ? | 为世界范围内的客户端更换破损或丢失的智能卡在操作上是一个挑战。 |
克服这些挑战获得了很多经验,包括:
| ? | 仔细检查自主或第三方 PKI 供应商的决策。在决定是自主还是购买 PKI 服务时,应当考虑的两个主要因素是:企业计划使用的证书数量和希望数字证书能够使用的应用程序类型。从远程访问至代码签名和安全电子邮件,Microsoft IT 为每个过程都使用证书。使用第三方的 PKI 可能成本很高。此外,Microsoft IT 的主要使命之一就是在正式发布之前在生产环境下测试 Microsoft 企业软件。自主开发允许 Microsoft IT 对照其 PKI 实现测试产品的兼容性,并将宝贵的反馈意见发至产品开发组。 |
| ? | 了解您的远程访问方案、安全威胁和二者之间基于组织需要的折衷办法。优先考虑最需要保护的资产并确定成本和风险之间适当的平衡点,这是高级管理所做的最佳战略决策。 |
| ? | 使用客户开发的工具和 Windows Server 2003,Microsoft IT 能够创建一个托管的委派过程,通过它地区办事处的信任代表可以他们客户的名义要求更换智能卡证书。 |
| ? | 为了最大限度地保证智能卡及其证书部署的安全。Microsoft IT 选择手动制作智能卡并亲自将智能卡发送至所有用户作为最安全的方法,使收件人的身份生效。 |
| ? | 预期的技术挑战,例如安装路线和 CD-ROM 的分发。还要全面考虑到企业管理工具的需要。 |
| ? | 监视和管理潜在性能问题并预先设置用户的期望配置。在最初的智能卡部署试验中,从读取存储在智能卡内存中的登录证书到将智能卡的登录证书与 Active Directory 中的登录证书相匹配的附加处理只是将最初的身份验证过程增加了大约 25-35 秒(该时间取决于客户端的连接速度)。可是,一旦身份验证完成,却没有附加的性能损失,因为此时无需再使用智能卡,可以从智能卡读取器中将其取出。 |
| ? | 在整个项目设计的早期,将解决方案中要用到的技术升级至最新、最好的版本,包括服务器和客户端计算机。这将对解决方案平台进行级别设定,因而排除了大量可能在解决方案部署期间碰到的不确定问题。凭借这个工作,服务的稳定性将提高,用户支持成本将降低。 |
| ? | 实施一个影响到企业所有人的非常复杂的、多方面的和多阶段的服务升级时,交错进行各个阶段之间主要的部署,这使得在子项目之间有足够时间给用户使用,和有足够时间用于系统和过程稳定及调整。重叠的子项目可反向影响服务的用户。在服务中识别和隔离问题也会愈加困难。 |
| ? | 员工的家庭计算机是其个人财产,不由 Microsoft IT 来管理。如果员工不希望安装或不能安装要求的软件和硬件解决方案以实现能够使用智能卡从该计算机进行远程访问,OWA 会提供另一种全球安全的方式,方法是允许员工采用超文本传输协议-安全 (HTTPS) 访问他们个人数据(电子邮件、联系人、任务和日历功能)。 |
最佳做法
Microsoft IT 推荐实施任何项目时使用以下最佳做法来使您公司的计算环境更可信赖:
| ? | 对于使用 Microsoft Windows NT? 4.0 域的公司,第一步是进行升级,以便充分利用最新、最好的技术,其中包括 RAP。 |
| ? | 对可用资源进行正确的评估。按照风险评估过程中的定义,首先集中于最高优先级项目。 |
| ? | 主要部署之前建立可靠的具有详细服务措施的管理框架。识别趋势数据中的变化可使操作支持和服务管理团队能够在部署期间快速识别并减轻影响。 |
| ? | 开始时在较小、可控制的区域内进行试验项目。第一个试验成功完成后,如果预计最后完成的项目规模非常大,可对稍大的用户组进行第二次试验,但仍然需要密切监视。一旦认识到规模问题并将其考虑在内,如果资源和时间允许,那么就可开始在组织的剩余部分开展项目。在试验中使用与要在较大组中部署时所使用的同样的技术最为有效。 |
| ? | 预料和管理技术方面不断发展的变化。 |
| ? | 积极管理员工教育和通信。 |
| ? | 修改远程访问这样的核心 IT 服务之前请仔细考虑网络带宽限制。网络很可能是以不同的设想来设计,这是小心控制业务中断风险所必要的。在 Microsoft IT 使用新的安全协议和身份验证证书部署智能卡技术的过程中,Microsoft 公司网络带宽并未受到显著影响。 |
| ? | 为了防止病毒、特络伊木马和蠕虫病毒的攻击,培训最终用户识别并对病毒现象做出正确反应。这些培训可以防止病毒检测软件的意外禁用,并及时增加病毒签名的更新。并且提倡仅使用企业信任的软件。 |
| ? | 通过订阅以下网站提供的安全公告可使管理员和安全人员及时获得有用的信息 http://www.microsoft.com/technet/security/default.mspx。 |
| ? | 可在以下网站查看 Microsoft 安全最佳做法 http://www.microsoft.com/china/technet/security/guidance。 |
结论
尽管允许员工进行远程访问意味着显著而不断增加的安全威胁,但是仍然可使用安全策略来主动管理这样的风险,该策略包括强身份验证和远程计算机安全配置管理。Microsoft 通过其安全远程用户倡议的部署(包括智能卡、自定义 CM 和 RAP)降低了在其内部环境中进行远程访问的安全风险。
随着公司网络周边安全的加强,Microsoft IT 已在 Microsoft 加强了安全并继续发展公司多年来可信计算的战略。各家公司可以使用这些示例来及早使自己的系统更安全。
Microsoft 内部 IT 团体将继续在 Microsoft 全球可信计算战略中扮演重要角色,并将继续和客户分享最佳做法和经验教训。尽管在 Microsoft IT 安全的第一条规则就是不要讨论 Microsoft 的 IT 安全的细节,但是在其限制范围内,Microsoft 将致力于与客户分享它的内部最佳做法和经验教训,以帮助客户成功保证其系统的安全。
有关 Microsoft 内部 IT 安全操作、倡议、最佳做法和经验教训的更进一步的信息,可访问 http://www.microsoft.com/china/technet/itsolutions/msit ,该信息随时更新。
有关详细信息
IT Showcase 白皮书: Smart Card Deployment at Microsoft:
http://www.microsoft.com/china/technet/itsolutions/msit/security/smtcrdcs.mspx
有关 Microsoft 产品或服务的详细信息,请致电 Microsoft 销售信息中心:(800) 426-9400。在加拿大,请致电 Microsoft 加拿大信息中心:(800) 563-9048。美国和加拿大以外的地区,请与您当地的 Microsoft 分公司联系。要通过万维网访问信息,请访问:
关于本文档的任何疑问、意见或建议,或获取有关 Microsoft IT Showcase 的其他信息,请发电子邮件至:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
