使用 NAP 和 IPsec 來控制通過 DirectAccess 進行的客戶端訪問，可以改進您的審核和合規報告。

　　Dan Griffin 和 Lee Walker

　　建立安全的訪問機制是企業步入云計算時代的第一步。現在為合規、報告和遠程連接設置相應的策略，也就規定了您的團隊將如何安全、順利地在云計算環境中開展工作。使用帶 IPsec 的網絡訪問保護 (NAP) 連接技術(如 DirectAccess)可以幫助改進您的審核和合規報告工作。

　　為新的 DirectAccess 或 IPsec 部署方案創建審核和報告解決方案時，識別和收集必要的數據困難重重。在本文中，我們將用一家虛擬的公司作為例子，說明如何創建 DirectAccess 和 NAP 解決方案，并提供報告數據以確定誰進行了連接、何時進行的連接以及客戶端計算機是否合規。

　　合規問題

　　由于員工的工作場所越來越變化多端，因此很多企業都采用了靈活的遠程訪問技術，如 DirectAccess。使用 DirectAccess 后，只要獲得授權的計算機連接 Internet，用戶就將自動連接到遠程網絡。由于遠程客戶端有時并未安裝最新的安全修補程序，而且可能感染了惡意軟件，因此很多企業還部署了帶 IPsec 的 NAP 來幫助確保只有健康的客戶端可以訪問受保護的資源。

　　在金融服務、醫療衛生和政府等行業，確保只有健康且獲得批準的客戶端能夠連接到云計算或本地網絡資源，對于保護數據的完整性非常重要。這些行業經常要按照內部的合規策略以及國家/地區的法律規定，確認個人身份信息(PII，包括銀行賬號、姓名和健康記錄等)不會被任何未經授權的人(包括通過惡意軟件和未知的第三方應用程序)訪問。

　　用戶都希望能夠輕松地遠程訪問其工作資源，因此這些行業的 IT 經理們還必須確保只有健康的客戶端可以訪問公司網絡。遺憾的是，要從 NAP 和 DirectAccess 日志創建有意義的報告并非易事。

　　真正的解決方案就是：設置 DirectAccess 基礎設施以實現順暢的遠程客戶端訪問、使用 NAP 和 IPsec 保護 Intranet 資源并通過報告來監控策略的執行情況。TechNet 中有很多關于如何通過 DirectAccess 實現 NAP 的有用信息，但是對于如何有效記錄和報告客戶端的健康狀況，卻很少提及。我們將用一家虛擬公司 (Woodgrove National Bank) 為例，說明一位顧問如何用一些簡單的代碼和 SQL 查詢來創建可以直接閱讀的報告。報告中詳細列出了在指定時間段內連接的客戶端以及這些客戶端是否 NAP 合規。

　　在 DirectAccess 上設置 NAP

　　DirectAccess 要求連接的客戶端運行兼容版本的 Windows(Windows 7 旗艦版或 Windows 7 企業版)。這些客戶端連接到運行了 Windows Server 2008 R2 的 DirectAccess 服務器。 DirectAccess 部署方案中可以包含一臺或多臺 DirectAccess 服務器。(我們建議使用至少兩臺服務器，以便在網絡繁忙時幫助平衡負載。)部署中還必須包括一臺網絡位置服務器(用于確定客戶端是連接到 Internet 還是連接到 Intranet)以及一個或多個證書吊銷列表 (CRL) 分發點(用于追蹤不再允許訪問的客戶端)。要了解如何設計 DirectAccess 部署方案，請參見 TechNet 上的 DirectAccess 設計指南。

　　在 DirectAccess 上添加 NAP 時，您必須實施針對 NAP 的 IPsec 強制方法。使用 IPsec 時，NAP 合規的客戶端將獲得健康證書。如果計算機不合規，則不允許與其他合規的計算機進行通信。要了解如何設計和部署 NAP，請參見 TechNet 上的規劃具有網絡訪問保護的 DirectAccess。要了解如何將帶 IPsec 的 NAP 設計為強制方法，請參見 TechNet 上的 IPsec 強制設計。

　　考慮 NAP IPsec 強制方案如何在 DirectAccess 及其 IPsec 連接策略的背景下工作非常有意思。首先，由于 DirectAccess 使用 IPsec 進行身份驗證并處理保密性，因此 DirectAccess 部署中的 NAP 強制方案必須是 IPsec。其次，請記住 IPsec 的 AuthIP 組件讓您在策略中配置兩個獨立的身份驗證要求，因此連接必須同時滿足這兩個要求才能成功。一般來說，如果配置了兩個 AuthIP 身份驗證選項，則第一個是計算機憑據，第二個是用戶憑據。但是，也有可能要配置兩個計算機憑據。

　　NAP 與 AuthIP 策略是如何結合在一起的呢?NAP/IPsec 強制方案為健康的計算機頒發帶有健康對象標識符 (OID) 的證書。AuthIP 策略引擎包括一個選項，要求提供該健康 OID。因此，只有健康的計算機可以滿足第一個 AuthIP 身份驗證要求，并且與 DirectAccess 服務器建立 IPsec 連接。

　　最后，第二個 AuthIP 身份驗證選項要求提供用戶憑據。就技術而言，用戶憑據對 DirectAccess 來說是可選的。換句話說，客戶端可以只使用計算機憑據向 DirectAcces