注:这些技术涉及到最新win操作系统vista中的现用技术以及将来的服务器版本longhor中用到的技术。
长期以来,微软公司都鼓励自己的员工从自己的家中,甚至是公路上,通过“RAS”进入企业的内部网络系统,查看自己的电子邮件,分享文件或程序。
RAS 是“Remote Access Services”这个古老的微软术语的简写,中文含意是“远程访问服务”,现在绝大多数人都将其叫作“VPN客户端”。
微软公司每天接收1000万封电子邮件
显而易见的,微软公司在自己的企业内部网络当中,储存了无数价值连城的
知识产权和技术财富,其中包括其全部的操作系统和应用程序的源代码。很自然的,有无数的黑客都对这些财富垂涎三尺,不断地持续攻击着微软公司的企业内部网路。而微软公司也在竭尽全力地通过深度的防御技术来保护自己最具有价值的财产:他们构筑起了坚固的网络防火墙,并通过 IPsec 将内部网络分割开来。此外,在整个企业网络当中,任何可疑行为都处于严密的监视之下,并且有经常性的扫描检测以预防恶意软件之类的危险的侵袭。
你知道我所说的“持续攻击”意味着什么吗?去年,微软公司的IT部门的人士告诉我,他们每个月会承受超过10万起针对性的网络攻击。而现在,微软公司会在每天所接收到的1000万封电子邮件当中,过滤掉900万封带有垃圾信息和病毒的电子邮件。是的,这意味着在全部的电子邮件当中,有大约90%都是垃圾邮件。
在这样一个环境当中,你可能已经认识到,本文开头所提到的 VPN 网络连接很可能会将微软公司暴露在严重的安全危机之中。那么,微软公司是怎样在一方面为自己的在远方员工和合作伙伴提供 VPN 访问通道的同时,另外一方面又减轻这种危险的呢?这个问题的答案是多方面的。
一、双因素验证
由密码和Smart Card组成的双因素验证措施是微软的第一道防线
微软公司 VPN 所具有的第一层保护措施是“双因素验证措施(two-factor authentication)”。在2000年秋天发生了那起声名狼藉的入侵事件过后,微软公司安装了一套基于数字证书的公共密匙系统,并且为每一位需要进行远程访问企业网络的员工和合作伙伴,以及那些需要临时提高访问权限的外部人士,都颁发了智能识别卡(smart card)。
双因素验证措施要求你在数字密码之外,还具有某种实物形式的授权证明。在上述情况中,它所指的就是智能识别卡片(smart card)和你的密码。
(上面我所提到的那起著名的入侵事件,被《华尔街日报》和诸多媒体都报道过,包括 Computer World。相关的新闻报道说,那名黑客通过使用一个偷来的用户名和密码,获得了访问微软内部企业网络的权限,并且还浏览到一部分微软源代码,但并不能对这些代码进行修改。不过微软公司官方却否认了相关报道中的内容。)
“今天,我们会要求相关用户具有一个有效的智能识别卡片以及相应的个人识别号码,并且该名用户还必须具有从远程使用网络的相关网络证明和授权许可。”微软公司内部安全主管 Mark Estberg 表示。“我们正在通过使用新的 Longhorn Server 系统,在企业内部测试部署新的双因素验证系统。这套新的验证系统将具有来自 ISA/Whale (其在2006年被微软所收购)的SSL VPN 功能,以及用于终端扫描的网络访问保护功能(Network Access Protection)。而我们也通过整合 Active Directory 和 网络策略服务 Windows 服务器来执行后端验证和授权功能。
你可能会希望微软公司采用仿生性安全系统(biometric security)。微软公司表示他们正在评估这套系统。不过在现在这个阶段,微软还是在坚持使用智能识别卡(smart cards)。
而以指纹、虹膜、语音和面容识别的“仿生性安全系统”是未来的发展方向
二、“沙盒”连接('Sandbox' connections)
微软公司对自己企业 VPN 网络的第二个层面的保护措施是“沙盒连接('Sandbox' connections)”。该项措施是由 Windows Server 2003 系统的“网络访问免疫控制功能(Network Access Quarantine Control)”所实现的。当一台连网的计算机可以访问任何企业内部网络资源之前,一个特定的程序会首先扫描这台电脑,以检验其安全性
。
首先,这台电脑上所运行的
操作系统必须是经过了核准的,并且还要安装好了所有的关键安全更新;同时,这个扫描程序也是和微软的产品补丁部署系统联合在一起的,诸如微软更新站点(Microsoft Update site)等等。此外,这台电脑上的 Windows 防火墙必须是开启的。最后,这台远程电脑还不能同时连接到任何其它 VPN 网络,或是正在使用任何其它形式的远程访问软件。
如果扫描程序发现这台电脑存在任何缺陷和不足,它会尝试去进行修正。比如说,它会升级电脑的反病毒数据库,或是强制安装关键的系统安全补丁。如果用户拒绝进行这些更新,扫描程序就会自动终止其网络连接。一旦扫描程序确定了这台电脑是干净的,并且已经安装好了所有的安全补丁,这次网络连接就会被移除“沙盒”,真正地进入到企业的内部网络之中。
所有的这些预先检测都可能会非常地耗费时间,并有可能会让用户们感到不快。根据微软公司的 IT 部门的说法,扫描一次 VPN 登录行为有时可能会耗费长达五分钟的时间,并且在极少数情况下,所花费时间甚至会长达15分钟,比如在这台电脑不符合某些标准,并且最近都没有登录过企业内部网络的情况下。
通常情况下,如果一个网络连结花费了15分钟还无法登录的话,正常人的反应可能是早就将其给挂断了。并且,VPN 网络连结是一种非常有限的珍贵资源,不应该被白白浪费。因此,微软的 VPN 登录系统会为那些经常使用 VPN 网络的用户们加快登录进程。
在每一次登陆的时候,网络服务器会记得有哪些是已经被扫描过的,从而在一段时间之内就不需要再次扫描了。因此,那些经常使用 VPN 网络的用户们,可以在一分钟之内登陆进微软的企业内部网络。
微软公司遵守着它自己所推崇的 VPN 加密、授权、密码强度和密码更新规范。微软表示,它自己的绝大多数的安全 VPN 验证都是由使用智能识别卡的“扩展验证协议-传输层安全协议(EAP-TLS)”所提供的。而带有 EAP-TLS 的“点对点隧道协议(PPTP)”则为主要的 VPN 服务提供了封装和加密功能。
在 Windows Server 2003 操作系统当中,其系统默认的策略要求用
户使用一个字符类型混合(大写字母、小写字母、数字和特殊符号)的中度长密码,并且在一定的天数后还要强迫用户对密码进行修改。而微软公司在自己的企业内部网络中所使用的密码策略,可以说就是Windows Server 2003 系统的默认密码策略的一个“轻度加强版”。
RAS 之外的电子邮件和及时消息
每当当地的气候恶劣,或是大雪成灾的时候,微软公司的 VPN 网络就会不堪重负,因为它绝大多数的员工们都会呆在家里工作,因而会花费更多时间通过 VPN 网络从自己的 Exchange 服务器上接收和发送电子邮件。
通常来讲,微软的员工都会接收和发送大量的电子邮件,并将其作为自己与他人进行协作或管理的主要手段之一。最终,Exchange 的研发团队开发出了的一种新的方法,能够在不需要客户端位于网络之上的情况下,使用户连接到邮件服务器,并使用上全部的相关功能。
这种方法是建立起一个 Exchange
代理服务器,以允许 Outlook 通过受到 SSL 加密保护的 RPC 访问 Exchange 服务,而不是 HTTP。在几年前,微软公司开始部属这种 Exchange 代理服务器,以及用于简化 Outlook 客户端代理服务设置的脚本语言。
对于那些使用自己的电脑进行远程工作的雇员和外部合作伙伴们来说,该解决方案是非常理想的。并且,它还减轻了使用 VPN 网络来收发电子邮件的需求。它比标准的POP3、IMAP mail 或 Web mail 邮件服务提供了更多的功能。Exchange 同样也提供了 Web mail 功能,而微软公司内部对“Outlook网络访问功能(Outlook Web Access)”使用量也非常的大。
许多微软的员工都拥有如此之多的电子邮件,以至于他们需要为那些尚未阅读的不是那么紧急的消息专门发展出一套回顾日志(backlog)。要想取消掉这种回顾日志,解决方法之一是使用“即时消息”,而微软公司在这一领域也提供了自己的企业级产品 —— Microsoft Office Communicator 2005。该产品能够在不使用 VPN 连接的情况下,使用代理服务器在互联网上提供安全的即时消息通讯。该产品是在微软早期的内部即时消息系统的基础之上开发出来的,而原来的那套系统会在用户需要安全地发送即时消息的时候,强制用户连接到 VPN 网络。
外部的 SharePoint 站点
另一个会使用到 VPN 网络连接的通常原因是需要处理那些来自于企业内部网络的文件。当仅仅只有极少数的用户需要访问到这些文件,或是这些文件非常机密的时候,这样做是非常合情合理的。但是,假如不是这样的话,假如这些文件不是那么的“敏感”,并且有许多远程工作的用户都需要使用到这些文件的的,比如说“微软公司对于计
算机术语所制定的内部术语表”,那么此时还使用 VPN 进行连接的话,显然就没有什么必要了。
为了满足此类需求,微软公司的 IT 部门建立起了数个 SharePoint 分享站点,作为受到密码保护的保密的企业外延网。更精确地说,微软公司的IT部门所作的是,授权公司雇员根据自己面向的对象和涉及材料的敏感性,相应地建立起他们自己的 SharePoint 分享站点,作为自己内部网络或外延网络,并在其上面发布自己的内容。
从而,比如说,那些为微软公司项目工作的文章作者们,可以一方面从专门管理此类写作项目的微软团队所维护的外部网络站点上下载自己所需要的 Word 文档模板,另外一方面同时又可以从微软公司法律部门所维护的另外一个外部站点上下在到最新的版权协议和
商标列表。
“不久之前,我们总部所在的地区遭受到了一次严重的暴风雪袭击,我们估计当时有超过四分之三的微软公司西雅图地区工作人员,被迫在自己的家中检查自己的电子邮件,并完成其他的工作内容。”微软公司的 CIO Stuart Scott 回忆到。“我们的网络和 Exchange 环境在保证了极高的安全性和机密性的前提下,经受住了如此巨大的需求考验。”
原文作者:Martin Heller
