microsoft远程访问安全环境(编辑修改稿)

microsoft远程访问安全环境(编辑修改稿)内容摘要：

APTLS 身份验证协议。 Microsoft 远程访问基础结构中部署的 VPN 服务器配备了两个 Intel Xeon 处理器 GHz、 2 GB RAM（随机存取存储器）、 GB 总硬盘容量、冗余电源和冗余风扇。 IAS 和 RADIUS 服务器 对于用户身份验证， Microsoft IT 部门部署的、面向 Windows Server 2020 中的 “路由和远程访问 ”服务的解决方案使用 IAS（可选网络组件）作为其 RADIUS 实施。 RADIUS 是一种轻量级的、基于用户数据报协议 (User Datagram Protocol， UDP) 的协议。 它提供了通 过密码 (CHAP、 MSCHAP、 MSCHAP v2)、证书 (EAPTLS)、智能卡 (EAPTLS) 或其它基于 EAP 的身份验证方法的集中身份验证，以及面向拨号网络访问服务器 (NAS) 设备、 无线访问点和 VPN 服务器的授权。 Microsoft IT 部门使用 IAS，从而使 VPN 服务器可以充当 RADIUS 客户端，并将用户的凭证和其它连接设置发送到地区的 IAS 服务器。 IAS 服务器确认远程访问客户端的凭证，授权或拒绝连接尝试，存储远程访问连接的帐户信息。 RADIUS 服务器还可以提供代理服务，以便将身份验证请求转发到远程的 RADIUS 代理服务器。 例如，许多 ISP 同意允许漫游用户使用距离最近的 ISP 提供的本地服务，从而以拨号方式访问 Inter。 这些漫游联盟利用了 RADIUS 代理服务的优势。 如果 ISP 确定某个用户名属于远程网络的用户，它将使用 RADIUS 代理将访问请求转发到合适的网络代理服务器。 通过全球托管的 ISP， Microsoft IT 远程访问解决方案中大量使用了该组件。 每个 IAS 服务器接受来自特定 VPN 服务器（连接到 Microsoft 网络）或来自 ISP RADIUS 服务器的身份验证请求，然后基于 IAS 中预先配置的远程访问策略 (RAP) 接受或拒绝请求。 此时， IAS 服务器还会启动对 VPN 会话的计时器，以启动预先配置的网络访问隔离控制 (Network Access Quarantine Control) 计时器。 Microsoft IT 远程访问解决方案使用多个 VPN 服务器来支持在各地区部署的每个单一 IAS 服务器。 根据设计，每个 IAS 服务器为地区内的指定 VPN 服务器 提供主要和辅助支持。 在远程访问方案中，使用 IAS 进行 RADIUS 身份验证有许多利益。 使用 IAS： • 支持集中的用户授权和身份验证。 • 为用户创造无缝体验。 • 使用 Active Directory 进行工作。 • 提供广泛的授权和身份验证选项。 Microsoft 远程访问基础结构中部署的 IAS 服务器配备了两个 Intel Xeon 处理器 源和冗余风扇。 基于 SQL Server 的服务器 每个 IAS RADIUS 服务器也可以充当用户会话数据的集合点，运行轻量级的 本地 Microsoft SQL Server 2020 应用程序。 SQL Server 用于收集基础结构服务器性能数据和特定于客户端的数据。 Microsoft SQL Server 2020 Desktop Engine (MSDE 2020)（可随 Windows Server 2020 的每个拷贝免费下载）运行在每个正在收集用户会话数据的 IAS 服务器上。 IAS 服务器将数据记录到本地 MSDE 数据库中。 数据近乎实时地从 MSDE 传输到中心 SQL Server 数据库存储。 还有一些 基于 SQL Server 的数据收集服务器分地区部署在 Microsoft 远程访问基础结构中，以收集特定客户端会话数据。 这些服务器配备了两个 Intel Xeon 处理器 GHz、 2 GB RAM、 GB 总硬盘容量、冗余电源和冗余风扇。 一个基于 SQL Server 的高端服务器（部署用于集中来自 Microsoft 远程访问基础结构中的所有收集服务器的数据存储）配备了四个 Intel Xeon MP 处理器 GHz、 2 GB RAM、 430 GB 总硬盘容量、冗余电源 和冗余风扇。 随后从该中心存储生成自动报告，公布这些报告并将其用于分析。 数据通过一个进程来编译和公布。 该进程使用了 SQL Server 2020 Analysis Services，后者是 Microsoft 版的在线分析处理 (Online Analytical Processing， OLAP)。 网络要求 增强远程访问安全性的 Microsoft IT 解决方案使用了以下技术，以确保考虑到所有远程访问方案。 Cisco 路由器 Cisco 边缘设备应答来自 PSTN 和从远程访问客户端位置产生的直 接拨号呼叫。 这些路由器接受模拟或 ISDN 呼叫。 路由器协商远程客户端调制解调器，协商 PPP 连接，对 IAS 服务器进行身份验证，分配客户端 IP 地址，处理 DNS 默认网关任务（识别和移交 (handing off) 到适当的 VPN 服务器地址）。 当创建了物理或虚拟电路之后，可以协商其它连接参数。 在直接拨号角色中使用 Cisco 路由器是因为它们广泛部署在 Microsoft 全球网络中。 Cisco 路由器可以非常方便地为 Inter 尚不可用或不可靠的许多地区性 Microsoft 机构提供支持。 回拨 使用回拨，远程访问服务器可在已经验证过用户凭证之后呼叫远程访问客户端。 可以在服务器上配置回拨，以回拨在呼叫期间远程访问客户端用户指定号码的远程访问客户端。 这样，正在旅行的用户可以拨入，并使远程访问服务器回拨其当前位置，从而节省电话费。 此外，还可以将回拨配置为始终回拨特定位置的远程访问客户端，这是最安全的回拨方式。 注意： 在 Microsoft IT 远程访问解决方案中使用回拨只适合于属于远程访问服务的直接拨号 Cisco 解决方案，并作为北美 以外地区的一项成本控制策略。 回 拨不能与 ISP 或 VPN 拨号方案一起使用，因为这些号码不是 Microsoft IT 部门管理的本地号码，就是本地客户端 ISP 号码，均无需回拨。 CHAP CHAP 是一种加密身份验证机制，无需在连接上传输实际密码。 NAS 向远程客户端发送一个质询（包括一个会话标识符 (ID) 和一个任意的质询字符串）。 远程客户端必须使用 Message Digest 5 (MD5) 单向散列算法来返回用户名和质询的 Hash 值、会话 ID 和客户端的密码。 用户名以明文形式发送。 MSCHAP Microsoft 创建了 MSCHAP 来验证远程 Windows 工作站的身份，提供了基于 LAN 的用户通常使用的功能，同时集成了在基于 Windows 的网络上使用的散列算法。 MSCHAP 是一种比 CHAP 简单得多的加密身份验证机制。 像在 CHAP 中一样， NAS 向远程客户端发送一个质询（包括一个会话 ID 和一个任意的质询字符串）。 远程客户端必须返回用户名和加密形式的质询字符串、会话 ID 和 经过 Message Digest 4 (MD4) 散列的密码。 这种设计提供了额外的安全性 ，因为它使服务器能够存储经过散列的密码，而不是明文密码。 MSCHAP 还提供了额外的错误代码（包括密码过期代码）和额外的加密客户端 /服务器消息（使用户能够在身份验证进程中变更其密码）。 在 MSCHAP 中，访问客户端和 NAS 都生成最初的加密密钥，用于以后的 MPPE 数据加密。 因此，需要 MSCHAP 身份验证来启用基于 MPPE 的数据加密。 MSCHAP v2 MSCHAP v2 是一个更新的加密身份验证机制，它为用户名和密码凭证的交换以及加密密钥的确定提供了更强的安全性。 使用 MSCHAP v2， NAS 向访问客户端发送一个质询，其中包括会话标识符和任意的质询字符串。 远程访问客户端发送一个响应，其中包含用户名、任意对等质询字符串 (peer challenge string)、已接受的质询字符串的加密形式、会话标识符和用户密码。 NAS 检查来自客户端的响应，并发回一个响应，其中包括表示连接尝试成功或失败的标志、基于被发送质询字符串的经过身份验证的响应、对等质询字符串、客户端的加密响应和用户的密码。 远程访问客户端验证身份响应，如果正确，则使用该连接。 如果身份验证响应不正确， 则远程访问客户端将结束连接。 MSCHAP v2 还使用了 MD4 散列算法。 使用这一过程， MSCHAP v2 提供了相互身份验证 ――NAS 验证访问客户端是否知道用户的密码；访问客户端验证 NAS 是否知道用户的密码。 MSCHAP v2 还决定了两个加密密钥：一个用于发送的数据，另一个用于接收的数据。 MPPE MPPE 只加密在远程访问客户端和 VPN 服务器之间发送的数据。 远程访问连接上的数据加密是基于远程访问服务器和远程访问客户端已知的加密密钥。 该密钥在连接身份验证进程期间产生。 可以 将 VPN 服务器配置成要求数据加密。 如果远程访问客户端不能执行所要求的加密，连接尝试将被拒绝。 MPPE 使用具有 40 位、 56 位或 128 位加密密钥的 RivestShamirAdleman (RSA) RC4 流密码 (stream cipher)。 Windows Server 20 Windows XP、 Microsoft Windows 20 Windows NT 和基于 PPTP 的 VPN 客户端和服务器都支持 MPPE。 MPPE 密钥从 MSCHAP、 MSCHAP v2 或 EAPTLS 用户身份验证进程中产生。 EAP EAP 是一个 PPP 身份验证协议，支持任意身份验证方法。 EAP 不同于其它身份验证协议，因为它在身份验证阶段并不实际执行身份验证。 EAP 的第二阶段只协商通用 EAP 身份验证方法（一种 EAP 类型）的使用。 所协商的 EAP 类型的实际身份验证是在第二阶段之后进行。 EAP 是支持 Microsoft IT 远程访问解决方案中的双因素身份验证所必需的一个协议。 网络访问隔离控制 网络访问隔离控制是 Windows Server 2020 的一个功能，能够延迟对专用网络的正常远程访问，直到管理员提供的脚本已经检查和验证了远程访问计算机的配置。 当远程访问计算机发起到 VPN 服务器的连接时，服务器对用户进行身份验证并为远程访问计算机分配一个 IP 地址。 然而，连接被置于隔离模式，在此模式下网络访问只能访问特定资源。 管理员提供的脚本运行在远程访问计算机上。 当脚本成功完成时，它运行通知程序 (notifier) 组件以通知远程访问服务器：远程访问计算机符合当前网络策略的要求。 远程访问服务器取消隔离模式，并授予远程访问计算机正常的远 程访问权限。 网络访问隔离控制由以下组件结合而成： • 运行 Windows Server 2020 的远程访问服务器和隔离通知侦听程序服务。 • 运行 Windows Server 2020 和 IAS 的 RADIUS 服务器，配置有指定隔离设置的隔离远程访问策略。 • CM 配置文件。 该文件利用 Windows Server 2020 资源工具包中提供的连接管理器管理工具包 (CMAK) 创建。 该配置文件包含一个符合网络策略的脚本和一个通知组件。 • 运行 Windows XP 或 Windows Server 2020 的远程访问客户端。 通知： Microsoft IT 解决方案现在没有使用完全隔离的孤立方案来支持远程用户，因为 IT 环境非常复杂且不断变化，而且远程访问流量极大。 Microsoft IT 部门正在开发完全隔离的解决方案（将扩展到全球企业级别）。 Microsoft IT 远程访问解决方案使用计时器，该计时器被配置为如果用户在指定时刻过去之前没有成功完成所要求的安全检查和配置，则切断用户的连接。 有关更多信息，请参阅 TechNet 上的 Network Access Quarantine Control in Windows Server 2020，网址是： Active Directory 在分布式计算环境中，连网的计算机和其它设备在 远程连接上进行通信，以便通过客户端 /服务器应用程序完成任务。 分布式环境需要一个信息和集成服务的中央存储仓库，从而为管理网络用户、服务、设备以及管理员希望存储的其它信息提供方法。 Microsoft IT 部门（正在运行着一个分布式环境）需要一个管理所有网络资源和服务的有效方法。 随着公司的发展，对更安全和集中管理系统的需求变得越来越重要。 Active Directory 满足了这一需要。 客户端可以像在公司 LAN 上一样通过远程访问连接使用 Active Directory 来访问 Microsoft 的网络资源。