为新的 DirectAccess 或 IPsec 部署方案创建审核和报告解决方案时,识别和收集必要的数据困难重重。在本文中,我们将用一家虚拟的公司作为例子,说明如何创建 DirectAccess 和 NAP 解决方案,并提供报告数据以确定谁进行了连接、何时进行的连接以及客户端计算机是否合规。
合规问题
由于员工的工作场所越来越变化多端,因此很多企业都采用了灵活的远程访问技术,如 DirectAccess。使用 DirectAccess 后,只要获得授权的计算机连接 Internet,用户就将自动连接到远程网络。由于远程客户端有时并未安装最新的安全修补程序,而且可能感染了恶意软件,因此很多企业还部署了带 IPsec 的 NAP 来帮助确保只有健康的客户端可以访问受保护的资源。
在金融服务、医疗卫生和政府等行业,确保只有健康且获得批准的客户端能够连接到云计算或本地网络资源,对于保护数据的完整性非常重要。这些行业经常要按照内部的合规策略以及国家/地区的法律规定,确认个人身份信息(PII,包括银行账号、姓名和健康记录等)不会被任何未经授权的人(包括通过恶意软件和未知的第三方应用程序)访问。
用户都希望能够轻松地远程访问其工作资源,因此这些行业的 IT 经理们还必须确保只有健康的客户端可以访问公司网络。遗憾的是,要从 NAP 和 DirectAccess 日志创建有意义的报告并非易事。
真正的解决方案就是:设置 DirectAccess 基础设施以实现顺畅的远程客户端访问、使用 NAP 和 IPsec 保护 Intranet 资源并通过报告来监控策略的执行情况。TechNet 中有很多关于如何通过 DirectAccess 实现 NAP 的有用信息,但是对于如何有效记录和报告客户端的健康状况,却很少提及。我们将用一家虚拟公司 (Woodgrove National Bank) 为例,说明一位顾问如何用一些简单的代码和 SQL 查询来创建可以直接阅读的报告。报告中详细列出了在指定时间段内连接的客户端以及这些客户端是否 NAP 合规。