移動員工是 IT 組織面臨的最為獨特的安全挑戰。遠程用戶需要對數據和服務(如電子郵件)進行安全訪問。然而遺憾的是，現實中安全鏈最為薄弱的環節往往與脆弱的密碼、惡意軟件(如擊鍵記錄器)，以及訪問您所在組織內部資源的遠程計算機上的病毒有關。

　　提高這種移動環境安全性的其中一種方法是去掉這其中的某一個薄弱環節：密碼(雖然允許在訪問某個帳戶時不使用密碼進行身份驗證可能會帶來麻煩)。用于解決密碼相關問題的主要技術便是雙重身份驗證(或有時為多重身份驗證)。雙重身份驗證在啟用訪問時不是依賴一種單一的方法(密碼)，而會使用額外的身份驗證方法，包括用戶名/密碼的組合、物理設備(如智能卡)，或生物特征識別碼(如指紋)。

　　如果您有遠程用戶，通常會稍稍開啟您的防火墻以便允許遠程用戶訪問公司網絡。標準的防火墻通過提供內部網絡和外部網絡間網絡級的隔離來提供基本的風險緩解(參見圖 1)。為增強安全性，只能關閉端口，如若需要與內部網絡中的設備進行通信，就將端口映射到正確的位置。這些技術確實提供了足夠的網絡級保護，但由于攻擊技術不斷發展成熟，多層網絡安全性就變得非常必要了。

　　

　　圖 1 端口被阻止或被映射的標準防火墻 (單擊該圖像獲得較大視圖)

　　既然移動員工最常使用的公司服務是電子郵件和消息傳送，因此將您的 Exchange 基礎結構進行安全配置就變得比任何時候都重要了。讓您的用戶通過 Outlook® Web Access (OWA) 訪問電子郵件是為移動員工提供安全服務的一種方法。通過智能卡為 OWA 提供更為安全的雙重身份驗證是另一個關鍵步驟。在本文中，我們將進一步說明您在啟用自己的使用智能卡的 OWA 部署中應當注意的問題。

　　優于防火墻

　　在您的網絡中使用 Microsoft® Internet Security and Acceleration (ISA) Server 2006 可以簡化向遠程用戶開放網絡這一任務，而且更為安全。ISA Server 2006 包含一些安全增強功能，如啟用智能卡的虛擬專用網絡 (VPN)、到 Active Directory® 的輕型目錄訪問協議 (LDAP) 身份驗證，以及 Kerberos 約束委派。ISA Server 與您想象的傳統防火墻稍有不同。它不僅通過在網絡層提供多層安全性——這可以代替或與標準的防火墻硬件結合使用——而且還提供傳統防火墻通常不支持的一些其他安全功能，如應用程序篩選器。不想讓某個人在特定托管網站上使用 HTTP POST 方法?想要在 SMTP 消息接觸您的 Exchange 服務器之前在其上強制實行 RFC 遵從性?想要在加密的安全套接字層 (SSL) HTTP 數據包進入網絡前對其進行檢查?ISA Server 可以管理所有這些以及更多的任務，從而確保只有干凈的、經篩選的通信可以被轉發到您的 DMZ 或內部網絡中。

　　對于標準防火墻來說，SSL 會話是一個大問題。當數據包通過防火墻時，它們會保持加密狀態(這意味著 SSL 正常工作)。因此，如果一個應用程序(如 OWA)通過使用 SSL 的硬件或軟件防火墻進行發布，那么除了狀態數據包檢查外，標準防火墻便不能執行其他真正有效的檢查了。這種僅僅是打開和映射端口會極大地增加受攻擊的機會。由于在邊緣處沒有進行真正的檢查，未經檢查和身份驗證的數據包便可傳送到您的內部網絡中。

　　ISA Server 2006 可以作為 HTTP 客戶端的 SSL 終結點，確保只有經過身份驗證的通信可以到達已發布的 Exchange 服務器。ISA Server 支持一個名為 SSL 橋接的有用功能。通常數據包是由通過一個標準的 SSL 會話與 ISA Server 進行通信的客戶端進行加密的。有了 SSL 橋接功能，ISA Server 就可以本地終止 SSL 加密，檢查當前未加密的數據包，對 Active Directory 的用戶進行身份驗證(如果需要)，使用 SSL 對數據包重新進行加密，然后將加密后的數據包傳送到相應的 Exchange 服務器上(參見圖 2)。使用這種技術，SSL 橋接可以緩解 SSL 會話中隱藏的攻擊，而這些攻擊對于那些應用程序不敏感的防火墻來說只不過是一些加密的數據 Blob。

　　

　　圖 2 ISA Server 從應用程序層的角度來看待通信 (單擊該圖像獲得較大視圖)

　　提到 Kerberos 約束委派，到達服務器的經過預先身份驗證的通信是十分值得注意的一點。在標準的防火墻中，端口只是簡單地映射到 Exchange 服務器，并且由前端服務器自身來執行身份驗證任務以防止惡意用戶。當需要進行身份驗證時，ISA Server 可以直接聯系 Active Directory，并代表用戶請求獲得憑據。如果用戶成功通過身份驗證，ISA Server 會將消息轉發至 Exchange 前端服務器。前端服務器則不再需要對隨機的未知用戶請求進行身份驗證，并可單獨用于代理到后端服務器的請求。ISA Server 2006 還可以使用 Kerberos 約束委派來啟用到 Windows SharePoint Services 和 Exchange ActiveSync 等技術的基于證書的訪問。

　　Exchange Server 2003 包含對 OWA 登錄的前后端服務器之間基于 Kerberos 的身份驗證支持。(您是否使用 IPsec 來保護該客戶端通信?)Exchange Server 還支持到群集郵箱服務器的 Kerberos 身份驗證。

　啟用智能卡身份驗證

　　為 OWA 實施基于智能卡的身份驗證一直以來都是一項挑戰。不過現在 ISA Server 2006 中已有了一個根據 Kerberos 約束委派功能開發的解決方案。該解決方案允許用戶通過證書來提交憑據，以便成功通過 OWA 的身份驗證。Kerberos 約束委派深受廣大用戶的歡迎，它是對使用無約束委派、受 Windows® 2000 支持的 Kerberos 委派的一次改進。Kerberos 的約束功能可以提高安全性，并且限制了使用假冒身份這種更為復雜的攻擊的潛在風險。

　　在啟用智能卡的情況下，由于用戶無法從外部網絡對密鑰發行中心 (KDC) 進行可路由的訪問，因此 ISA Server 2006 會聯系 Active Directory 來對用戶進行身份驗證。ISA Server 會根據 Active Directory 證書-用戶映射來對用戶進行身份驗證，然后根據用戶主體名稱 (UPN) 來分別獲取相應的 Kerberos 票證。在這種情況下，ISA Server 會通過應用程序級別的篩選和反向代理服務向 Exchange 前端服務器提供 Kerberos 約束委派功能。如果嘗試不使用反向代理進行委派，則會增加漏洞攻擊的風險，從而影響網絡或 Active Directory 域的完整性。

　　Exchange Server 2003 和 Exchange Server 2007 均允許基本身份驗證和集成身份驗證。但是您需要對 Exchange Server 2003 進行軟件更新，以便啟用 OWA 的基于智能卡的身份驗證。(有關詳細信息，請參閱文章“對 Exchange Server 2003 中支持 Outlook Web Access 智能卡身份驗證的新功能的說明”。)您必須擁有一個處于 Windows Server® 2003 本機功能模式的域，涉及的所有 Exchange Server 2003 服務器必須應用 SP2 或更新的版本，并且必須有一個 ISA Server 2006 服務器作為 OWA 站點的反向代理。

　　安裝軟件更新并對 ISA 和 Exchange 服務器進行配置后，便可以使用智能卡對 OWA 會話進行身份驗證了。圖 3 顯示了智能卡驗證過程中需要進行的一系列事件。用戶先在 Internet Explorer® 中打開 OWA 站點 (1)。事實上，在啟動 OWA 會話時，用戶會實際連接到 ISA Server，并且服務器會提示您輸入證書而不是用戶名和密碼。正確的證書存儲在智能卡中，用戶需要有一個 PIN 才能獲取證書。

　　

　　圖 3 使用智能卡對 OWA 進行身份驗證 (單擊該圖像獲得較大視圖)

　　證書驗證 (2) 由證書吊銷列表 (CRL) 或在線證書狀態協議 (OCSP) 請求來處理，這根據 ISA Server 的配置和安裝的其他軟件而定。ISA Server 會向域控制器 (DC) 發送一個驗證用戶憑據的請求。如果請求失敗，ISA Server 會向用戶提供一個錯誤頁面，并且沒有請求會到達 Exchange 前端服務器。

　　憑據經驗證后，會生成 Kerberos 票證并會將請求傳送至使用集成身份驗證的 Exchange 前端服務器 (3)。Exchange 前端服務器收到請求后，會對 Kerberos 票證進行驗證并會找到用戶的后端郵箱服務器 (4)。

　　前端服務器會通過 Kerberos 約束委派為相應的后端服務器請求一個 Kerberos 票證，并會將郵箱請求代理到使用集成身份驗證的后端服務器 (5)。后端服務器會處理請求 (6)，并會將郵箱數據返回給 Exchange 前端服務器 (7)。OWA 頁的 HTML 數據將被傳送至 ISA Server (8)，然后數據會返回至客戶端機器 (9)。

　　配置 Exchange 環境

　　先前提到的知識庫文章對 Exchange Server 2003 軟件更新進行了說明，并包含指導您完成使用 ISA Server 2006 和 Exchange Server 2003 啟用 Kerberos 約束委派這個過程的信息。

　　軟件更新后啟用的主要操作是使從 Exchange 前端服務器到各自的后端服務器的 Kerberos 約束委派過程自動化。由于 ISA Server 不是 Exchange 組織的一部分，因此該項更新不會將從 ISA Server 到前端服務器的 Kerberos 約束委派過程自動化。這種 ISA Server 實例到 Exchange 前端服務器之間的委派需一一手動啟用。

　　軟件更新會在 Exchange 系統管理器 (ESM) 中添加一個新的選項卡，該選項卡可讓您將某個 Exchange 前端服務器指定為 KCD-FE(參見圖 4)，這樣便可以讓該服務器在每個 Exchange 后端服務器的委派選項卡上進行填充。

　　

　　圖 4 啟用 Kerberos 約束委派

　　這個新的 UI 還可讓您在管理組屬性中指定用哪個憑據來填充 msDS-AllowedToDelegateTo (A2D2) 屬性，如圖 5 所示。該屬性用于進行 Kerberos 約束委派。

　　

　　圖 5 設置控制委派的帳戶

根據最低權限原則，您可以使用一個標準的用戶帳戶，并授予它通過組策略對象 (GPO) 來委派用戶和計算機的能力。為帳戶授予這個提升的權限后，該帳戶便可作為一個服務帳戶，使每個管理組的 Kerberos 約束委派過程自動化。

　　請務必采用正確的步驟，以確保惡意用戶無法破壞 Kerberos 約束委派服務帳戶。即使帳戶不是一個域管理員，利用 Kerberos 委派對其進行訪問也可導致受到復雜的攻擊。由于帳戶具有建立新的 Kerberos 關聯的功能，因此使用時應非常小心。為確保帳戶的安全性和完整性，應采取必要的措施，如長而復雜的密碼、增強審核、帳戶停用技術等。

　　Exchange 軟件更新還使 ESM 接口有關集成身份驗證方面發生了重大變化。先前在 Exchange Server 2003 中，當某個服務器被指定為前端服務器后，用于啟用 HTTP 虛擬目錄(HTTP 虛擬服務器下)的集成 Windows 身份驗證的選項就會變灰(參見圖 6)。

　　

　　圖 6a 更新使得可以使用集成身份驗證

　　圖 6b 更新使得可以使用集成身份驗證

　　發生這種情況的原因是，由于技術方面的問題(如代理服務器會中斷 NTLM 會話、使用 Kerberos 身份驗證的用戶需要連接到 Active Directory，以及 Internet 用戶通常不屬于該域)，Exchange 前端服務器不支持集成身份驗證。上面提到的知識庫文章中所描述的更新取消了這些限制。安裝了更新后，您只需轉到虛擬目錄，然后選中“集成 Windows 身份驗證”復選框，將其作為驗證用戶憑據的機制。選中該復選框后，它會在 Active Directory 中的虛擬目錄對象上設置一個名為 msexchAuthenticationFlags 的屬性(使用 Microsoft 管理控制臺的 Adsiedit.msc 插件可以看到該屬性)。

　　通過 OWA 來檢查郵件的用戶可能知道他們的 Exchange 后端服務器的名稱，并且當他們位于公司內部網絡時可以使用集成身份驗證連接到這些后端服務器。使用集成身份驗證的用戶體驗的不同之處在于，由于您已經登錄到網絡中，系統便不會提示您輸入用戶名和密碼了，因為 Internet Explorer 會自動對您進行身份驗證并登錄到網站中。這一點對于位于公司網絡的用戶來說是非常棒的，但外部用戶(OWA 用戶更常見的是外部用戶)通常在從網絡外部訪問 Exchange 前端服務器時不會登錄到某個域中。(知識庫文章“IIS 如何驗證瀏覽器客戶端”中對這個過程進行了詳細的說明。)

　　在 Exchange Server 中，更新會對“委派”選項卡進行填充，以便使用 Active Directory 中的 A2D2 屬性，而不是服務主體名稱 (SPN)。如果您使用 Adsiedit.msc 來查看 Exchange 計算機對象，您就會注意到兩個截然不同的屬性：A2D2 屬性，它是 Kerberos 約束委派列表;SPN 屬性，它是 Kerberos 定位器和帳戶規范點。雖然確實是這兩個屬性同時促成了 Kerberos 約束委派，但您只需通過圖形界面修改 A2D2 屬性即可。

　　Windows 可以使用內置的 HOST SPN 作為別名來尋找其他服務。這意味著 Kerberos 約束委派無需使用 setspn.exe 來進行 Exchange 前端到后端的委派。(雖然使用這個解決方案可以在 SPN 屬性列表中明確指定 HTTP/Servername，但這會引起更多由管理員造成的錯誤，并且這也不是 Kerberos 約束委派運行所必需的。)Kerberos 約束委派會在 Active Directory 中查找 A2D2 屬性。當未對該屬性進行填充(或填充的 SPN 值出錯)時，Kerberos 約束委派將不會在各自的服務器間進行。但是在一個 Exchange 群集中，只需將來自前端的 A2D2 屬性指向群集節點計算機帳戶便可讓委派順利進行。

　　正如前面提到的，Windows Server 2003 域包含的 Exchange 2003 服務器必須處于 Windows Server 2003 本機功能模式。在未達到這一級別的域功能前，Kerberos 約束委派將不能使用。如果您的域仍處于混合模式，但您安裝了前面提到的軟件更新，那么委派看似是可以進行的，但 SPN 注冊實際上是失敗的。Kerberos 約束委派還是一項域功能，而不是林級功能。這意味著，對于 Exchange Server 2003 來說，ISA Server 以及 Exchange 前端和后端服務器必須是同一域中的成員(雖然不同域中的用戶仍然可以通過 Kerberos 約束委派的身份驗證)。非域成員的 ISA Server 實例，或是其他域中的 ISA Server 實例將不作為該解決方案的一部分運行。

配置 OWA 站點

　　IIS Admin 不可用于針對 OWA 的任何類型的身份驗證更改。即使 OWA 是在 IIS 下運行，并且會像任何其他網站一樣響應元數據庫中的變化，但 Exchange 和目錄服務到元數據庫 (DS2MB) 進程使事情變得有點復雜。DS2MB 進程會將 Active Directory 中的更改復制到 IIS 元數據庫中，這種復制是單向的，它會覆蓋先前直接對 IIS 進行的所有更改。該進程造成的影響是，如果管理員直接對 IIS 元數據庫進行更改(如設置集成身份驗證)，該解決方案看似可以正常運行，但是一旦下一次 DS2MB 復制循環開始，解決方案就將被破壞。

　　ESM 中為 HTTP 虛擬目錄啟用集成 Windows 身份驗證的選項是可用的，因為 ESM 可以直接對 Active Directory 進行編輯，然后將所做的更改復制到 IIS 元數據庫中。請記住，雖然停止系統助理服務會停止 DS2MB 進程，以便讓您對 IIS 元數據庫進行更改而不被覆蓋，但我們不建議采用這種方法。系統助理下次啟動時，會輪詢 Active Directory 中的更改，然后解決方案將自動被停用。

　　“委派”選項卡顯示了“僅使用 Kerberos”選項和“使用任意的身份驗證協議”選項。既然我們討論的解決方案是使用 Kerberos 約束委派的，那么我們就不難知道應該選擇“僅使用 Kerberos”，但是許多 IT 組織的情況是不適用這種一般邏輯的。因此，我們應選擇“使用任意的身份驗證協議”這個選項(如圖 7 所示)，因為請求并不是作為 Kerberos 請求，而是作為 HTTP 請求進入的，它有一個與之相對應的證書映射到 Active Directory 帳戶。

　　

　　圖 7 更正智能卡的身份驗證設置

　　在此例中，ISA Server 是通過 SSL 來請求用戶 PKI 證書的。傳入的請求不是 Kerberos 票證，因此為了讓 Kerberos 約束委派順利進行，就必須進行轉換。因此，指定“僅使用 Kerberos”這種設置將會破壞 ISA Server 上的通信鏈。但是請注意，“僅使用 Kerberos”選項在 Exchange 前端到后端服務器的委派中是適用的，因為前端服務器只會接收來自 ISA Server 的 Kerberos 票證。

　　\Exchange 和 \Public 虛擬目錄是唯一包含專用用戶和公共文件夾信息的位置。Exchange 中的 SSL 配置對于 Kerberos 約束委派或雙重身份驗證來說都不是新的事物，它是對采用基本身份驗證憑據的 OWA 的標準 SSL 啟用的一次繼承。您應按照文中描述的方法在 OWA 上啟用 SSL，因為錯誤地強制啟用 SSL 會破壞 OWA，同時也會使 ESM 出現問題。

　　其他配置詳細信息

　　實施該解決方案時，先以標準方式部署 ISA Server 和 Exchange 可以讓工作變得更加簡單。請不要實施整個 Kerberos 約束委派解決方案并配置所有設置(特別是在部署中還沒有 ISA Server 時)。這樣會使得當處理過程中的某個組件或步驟出現故障時的故障排除過程變得更為復雜。而以標準方式(使用用戶名和密碼，但不使用基于表單的身份驗證)部署 ISA Server 和 Exchange 可以讓工作變得更加簡單，可確保安裝可以正常工作，然后轉換為 Kerberos 約束委派和證書身份驗證。

　　一般來說，基于表單的身份驗證不能與啟用智能卡的 OWA 一同使用?；诒韱蔚纳矸蒡炞C需要用戶通過標準的 Outlook 表單提交用戶名和密碼。但是使用基于智能卡的雙重身份驗證，用戶將只擁有一個智能卡而沒有密碼。因此基于表單的身份驗證就不具有任何通過僅接受或提交證書來進行身份驗證的方法。在通信鏈中的任何一處(例如在 ISA Server 后的某個前端服務器上)使用基于表單的身份驗證都將破壞啟用智能卡的 OWA 配置。如果您啟用基于表單的身份驗證，Exchange 虛擬目錄將被強制設置為“基本”身份驗證，同時 IIS 元數據庫也將被設置為“基本”身份驗證。

　　如果您的用戶既有用戶名/密碼又有智能卡，則您可以在 ISA Web 偵聽器上啟用回退身份驗證，當用戶在收到提示輸入基于證書的憑據的信息后點擊 ESC 按鈕時，系統將提示輸入標準的用戶名/密碼憑據，即使在 Exchange 服務器上的 ISA Server 后啟用了集成身份驗證也如此。此外，ISA Server 可讓 SSL 會話超時，該功能與基于表單的身份驗證類似。

　　結束語

　　支持用智能卡來為 OWA 進行身份驗證是 Exchange Server 2003 和 Exchange Server 2007 中的一項深受廣大用戶歡迎的新增功能。有了這種使用證書登錄 OWA 的能力，用戶就不再需要為記住那些又長又復雜的密碼而擔心，而管理員現在也有了有效的工具來防止擊鍵記錄器和其他形式的惡意軟件，避免了它們從受感染的系統中找到用戶憑據的風險。有關詳細信息，請參見側欄上的“資源”。

為使用智能卡的雙重身份驗證正確配置 ISA Server，通過在已發布的 OWA 應用程序上實施應用程序級的篩選，可以進一步增強總體的安全性。此外，ISA Server 2006 內置了對通過簡單的發布向導來發布 Exchange Server 2003 和 Exchange Server 2007 的支持，因此對于正在轉為使用 Exchange Server 2007 的組織來說，先前對 ISA Server 所做的投資依然有效。