跳至主要內容

SCEP 與 NAC 在現代 MDM 架構中的角色

本指南全面解析了 SCEP 和 NAC 如何與 MDM 平台整合,以在企業規模下提供安全的免觸控網路存取。內容涵蓋從憑證核發到 802.1X 強制執行的完整架構,並包含來自旅宿業與零售業的實際部署案例。專為需要在本季度消除密碼漏洞、自動化裝置建置並滿足合規性要求的型場所 IT 主管設計。

📖 7 分鐘閱讀📝 1,710 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 技術簡報。我是您的主持人,今天我們將深入探討企業網路的一個關鍵架構主題:SCEP 與 NAC 在現代 MDM 基礎架構中的角色。如果您是 IT 總監、網路架構師,或者正在管理大型場所(無論是體育場、醫院還是連鎖零售店)的營運,您一定深知安全引導裝置上網的痛苦。預共用金鑰的時代已經過去。今天,我們將討論基於憑證的驗證。我們將探討簡單憑證登冊協定(即 SCEP)如何與網路存取控制(即 NAC)配對,以自動化裝置配置並執行零信任存取。讓我們直接進入正題。 我們來剖析一下這個架構。核心部分有三個層級:裝置層、策略引擎和網路存取層。當新的公司裝置或 BYOD 端點需要存取權限時,它首先會在您的行動裝置管理(MDM)平台註冊。但單靠 MDM 並不能授予網路存取權限。這就是 SCEP 發揮作用的地方。 SCEP 作為您的 MDM 與憑證授權單位(CA)之間的自動化信差。MDM 會將承載資料推送至裝置,而不是由 IT 管理員手動為每台裝置產生並安裝 X.509 憑證。裝置會產生憑證簽署要求(即 CSR)並將其傳送至 SCEP 伺服器。CA 核發憑證,裝置現在就擁有了加密安全的身分。沒有密碼會被網路釣魚,也沒有共用金鑰會洩漏。 但憑證只是一張識別證。您仍然需要門口的身分檢查人員。那就是您的 NAC。當裝置嘗試連接到 WiFi 時(通常使用 802.1X EAP-TLS),無線存取點會將請求傳遞給 RADIUS 伺服器,該伺服器由 NAC 策略引擎管理。NAC 會檢查憑證:是否有效?是否已被撤銷?但現代 NAC 做得更多。它會檢查 MDM 的安全狀態:作業系統是否已更新?防火牆是否開啟?如果是,NAC 會通知交換器或存取點將裝置放入正確的 VLAN。如果不是,則會將它們放入修復網路。 對於大型連鎖零售店或醫療保健機構等環境,這種整合至關重要,因為在這些環境中,您同時擁有公司筆記型電腦、IoT 裝置和訪客網路。說到訪客網路,這正是 Purple 的 Guest WiFi 和 WiFi Analytics 等平台與您安全的公司 SSID 無縫整合的地方,確保公共存取與您安全、有憑證支援的基礎架構相隔離。 那麼,如何在不破壞網路的情況下部署此方案?第一個建議:始終使用 EAP-TLS。它要求伺服器和用戶端兩端都擁有憑證,提供雙向驗證。 第二,注意您的憑證撤銷清單(即 CRL)和 OCSP。如果裝置遭到入侵或員工離職,如果 NAC 沒有即時檢查撤銷狀態,那麼在 CA 中撤銷憑證是沒有用的。 我們在飯店業和大型場館中常見的一個盲點,是未能將 IoT 裝置納入考量。並非所有的 IoT 感測器或智慧電視都支援 802.1X 或 SCEP。針對這些裝置,您需要一個備用策略,例如 MAC 驗證繞過(MAB),並由您的 NAC 嚴格控制在特定的交換器連接埠或隔離的 VLAN。 另一個盲點是憑證有效期。不要將其設定為 10 年,但除非您透過 SCEP 進行的自動更新萬無一失,否則也不要設定為 30 天。一年有效期並在倒數 30 天時自動更新,是業界公認的穩健標準。 讓我們來解答幾個我們常從 CTO 那裡收到的快速提問。 問題一:我們可以使用現有的 Active Directory 憑證服務進行 SCEP 嗎?可以,Microsoft AD CS 包含網路裝置登冊服務(NDES)角色,可作為 SCEP 伺服器。只需確保其已妥善保護並向您的 MDM 開放即可。 問題二:這會取代我們的防火牆嗎?絕對不會。SCEP 和 NAC 在邊緣(第 2 層)處理驗證和存取控制。您的防火牆則在第 3 層到第 7 層處理流量檢測和威脅防護。它們是協同工作的。 總結來說,結合 SCEP、NAC 和 MDM 可為您提供免手動設定、高度安全的網路邊緣。它消除了與密碼相關的客服工單,並確保只有合規的裝置才能存取您的關鍵基礎設施。 對場館營運商而言,這意味著您的後勤作業能安全運行,讓您能專注於前台體驗 - 您可以使用 Purple 的分析和互動工具來進一步強化這些體驗。 首先,請稽核您目前的 MDM 功能,並確保您的 RADIUS 基礎設施支援 EAP-TLS。規劃您的裝置類型,並先用您 IT 團隊的裝置進行試點。 感謝收聽本次技術簡報。保持安全,我們下次見。

header_image.png

執行摘要

對於企業級場域 - 從擁有 80,000 個座位的體育場到多據點零售連鎖店 - 保護網路邊緣的安全已果斷超越了預共用金鑰和手動憑證管理。企業端點、BYOD 裝置和 IoT 基礎架構的激增,需要一個在不增加 IT 服務台負擔的情況下進行擴展的零信任架構。

本指南詳細介紹了將簡易憑證註冊協定 (SCEP) 和網路存取控制 (NAC) 與行動裝置管理 (MDM) 基礎架構整合的技術架構。藉由利用 SCEP 自動發放 X.509 憑證,並利用 NAC 強制執行 IEEE 802.1X EAP-TLS 驗證,企業可以實現零接觸部署、消除憑證遭竊取的途徑,並強制執行動態的、基於安全狀態的網路存取。雖然面向公眾的存取是透過專用的 Guest WiFi 解決方案進行管理,但此架構保護了維持場域營運的關鍵後勤運作。其結果是大幅降低 IT 開銷、在 PCI-DSS 和 GDPR 下實現更強的合規性,並在網路邊緣主動強制執行零信任原則。


技術深度剖析

三層架構

現代網路安全依賴於密碼學身份,而非使用者認知。SCEP - NAC - MDM 堆疊在三個主要層級上運作:

層級 元件 功能
裝置管理 MDM / UEM 裝置設定、合規性和生命週期管理的中央授權機構
身份與核發 PKI / SCEP / CA 產生、核發和管理數位憑證
存取強制執行 NAC / RADIUS 在授予網路存取權限之前,評估憑證和裝置安全狀態

這些層級並非循序漸進的 - 它們在一個持續的意見反應迴路中運作。MDM 即時向 NAC 通知合規狀態,而當裝置未通過安全狀態檢查時,NAC 可以觸發 MDM 修復工作流程。

architecture_overview.png

SCEP 如何大規模自動化 PKI

在規模化運作下,手動部署憑證在操作上是不可能的。一個擁有 500 台裝置的資產將需要 IT 管理員在每台裝置上產生、簽署並安裝個別的 X.509 憑證 - 這個過程每台裝置需要花費數分鐘,並引入了顯著的人為錯誤風險。SCEP 完全消除了這一點。

當裝置註冊至 MDM 時,MDM 會推送包含 SCEP 承載資料(payload)的組態設定檔。該承載資料會指示裝置在本地生成金鑰對 - 關鍵在於,私鑰絕不會離開裝置 - 並向 SCEP 伺服器提交憑證簽署要求(CSR)。SCEP 伺服器(通常是 Microsoft 的網絡裝置登錄服務 (NDES) 或雲端同等服務)會向 MDM 驗證該要求,以確認裝置已獲得授權。接著,它會將 CSR 轉發給憑證授權單位(CA),由其核發已簽署的 X.509 憑證。憑證會返回至裝置並安裝在其安全隔離區(secure enclave)或系統金鑰儲存庫中。

整個過程在背景無聲無息地透過無線傳輸進行,無需任何使用者互動。對於部署 1,000 部裝置的規模,在 MDM 註冊完成後的數小時內,即可完成完整憑證資產的佈署。

NAC 與 802.1X EAP-TLS:強制執行層

一旦裝置持有有效憑證,它就會嘗試使用 IEEE 802.1X 連線到企業 SSID 或有線連接埠。存取點(AP)或交換器會作為驗證者,將要求轉發給受 NAC 策略引擎控制的 RADIUS 伺服器。最安全的 EAP 方法是 EAP-TLS,它需要雙向驗證 - 用戶端和 RADIUS 伺服器都必須出示有效的憑證,以防止透過偽造存取點進行的中間人攻擊。 NAC 會依序執行以下幾項關鍵檢查:

  1. 密碼學驗證: 憑證在數學上是否有效,且是否由受信任的根 CA 簽署?
  2. 撤銷檢查: 憑證是否列在憑證撤銷清單(CRL)中,或透過線上憑證狀態協定(OCSP)標記?
  3. 狀態評估: NAC 透過 API 查詢 MDM:裝置是否合規?作業系統是否達到必要的修補程式層級?是否已啟用磁碟加密?

如果所有檢查都通過,NAC 會傳送 RADIUS Access-Accept 訊息,通常會攜帶特定廠商屬性(VSA),以動態地將裝置分配到特定的 VLAN 或套用存取控制清單(ACL)。不合規的裝置會被歸入隔離的修復 VLAN 中,僅授予有限的權限 - 通常僅足以觸發由 MDM 驅動的修復工作流程。

scep_nac_workflow.png

訪客網路隔離

在任何場域環境中,企業基礎架構都必須與面向公眾的網路嚴格隔離。 Guest WiFi 平台完全在獨立的 SSID 和 VLAN 上運作,沒有路由至企業資源的路徑。SCEP-NAC 架構管理企業層級;訪客層級則由 Captive Portal 身分驗證和資料收集工作流程控制。對於部署 WiFi Analytics 的場域,這種隔離是先決條件 - 分析數據流經訪客網路,而營運數據則流經憑證驗證的企業網路。如需了解支持這兩個網路之底層射頻架構的更多背景資訊,請參閱 Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies


實作指南

部署此架構需要仔細安排步驟順序,以避免在過渡期間將合法使用者拒之門外。

步驟 1:PKI 和 SCEP 準備

建立強大的內部 PKI 或利用雲端託管 PKI (mPKI) 服務。部署並強化 SCEP 伺服器 - 如果使用 Microsoft NDES,請確保其在專用伺服器上執行,而不是與 CA 放在同一位置。將 SCEP 伺服器設定為使用 MDM 針對每台裝置產生的動態挑戰密碼,而不是靜態共用金鑰。這樣可以防止在發現 SCEP URL 時發生未經授權的憑證要求。

步驟 2:MDM 設定

在您的 MDM 平台中建立 SCEP 承載資料。仔細定義主體替代名稱 (SAN) 欄位 - SAN 必須包含 NAC 用於原則決策的唯一識別碼(例如裝置序號或使用者 UPN)。先將設定檔推送到 IT 團隊裝置的試點群組,並在進行任何更廣泛的部署之前驗證完整的註冊流程。

步驟 3:NAC 和 RADIUS 設定

設定您的 NAC 以信任核發用戶端憑證的根 CA。在 RADIUS 伺服器上安裝伺服器憑證以進行 EAP-TLS 雙向驗證。根據憑證屬性和 MDM 合規狀態定義存取原則。實作動態 VLAN 分配規則:合規的企業裝置分配到企業 VLAN、不合規的裝置分配到修復 VLAN,而 IoT 裝置分配到專用的、限制網際網路存取的 VLAN。

步驟 4:網路基礎架構整合

為 802.1X 設定交換器和無線存取點。對於 零售 環境中具有舊版 POS 硬體,或 旅宿 場域中具有智慧客房控制器的情境,請實作 MAC 身分驗證略過 (MAB) 作為無法參與 EAP-TLS 之裝置的備用方案。將 MAB 限制在特定的交換器連接埠,並確保嚴格控制 MAC 位址資料庫。對於 醫療保健交通運輸 環境,請設定狀態評估規則以滿足產業特定的合規要求。

步驟 5:並行部署與轉換

切勿立即進行切換。在廣播新的 802.1X SSID 的同時,保留現有網路平行運作。透過 MDM 推送新的 WiFi 設定檔。監控採用情況並解決註冊失敗問題。當超過 95% 的裝置在新的 SSID 上成功進行驗證後,即可停用舊網路。


最佳實踐

強制執行 EAP-TLS。 絕不要接受 EAP-PEAP 或 EAP-TTLS 作為公司裝置的主要驗證方法。這些方法依賴 TLS 隧道內的標準帳號密碼憑證,仍容易受到憑證竊取攻擊。EAP-TLS 則完全消除了這一攻擊面。

實施即時撤銷。 排程的 CRL 下載會產生暴露空窗期。請設定 NAC 以即時進行 OCSP 檢查。當裝置回報遺失或遭竊時,在 CA 撤銷憑證,裝置在下一次驗證嘗試時就會失去網路存取權限 - 如果實施了授權變更 (CoA),則會立即失去存取權限。

設定合理的憑證有效期。 業界標準是為期一年的有效期,並在到期前 30 天觸發自動 SCEP 更新。較長的有效期會在憑證遭到破解時增加暴露空窗期;較短的有效期則會增加更新失敗導致服務中斷的風險。

積極隔離 IoT。 IoT 裝置絕不應與公司端點共用 VLAN。使用 NAC 對 IoT VLAN 強制執行嚴格的 ACL,僅允許每個裝置類別所需的特定協定和目的地。對於部署定位服務的場域,請參閱 室內 WiFi 定位系統:運作原理與部署指南 以瞭解定位基礎設施如何與更廣泛的網路架構整合。

與 WPA3 保持一致。 在硬體支援的情況下,將公司 SSID 設定為使用 WPA3-Enterprise,這會強制執行保護管理畫面 (PMF),並提供比 WPA2 更強的加密保護。如需瞭解這如何融入更廣泛的企業連線版圖,請參閱 SD-WAN 對決 MPLS:2026 年企業網路指南


疑難排解與風險緩釋

故障模式 根本原因 緩釋措施
憑證更新後裝置 EAP-TLS 失敗 SCEP 更新在背景無聲失敗 監控 SCEP 伺服器記錄;針對失敗的 CSR 提交設定警示
由於時間偏差導致憑證驗證失敗 NTP 設定錯誤 在所有端點和基礎設施強制執行 NTP 同步
IoT 裝置無法驗證 無 802.1X 請求方 (supplicant) 實施 MAB,搭配嚴格的 MAC 位址控制和隔離的 VLAN
CA 移轉後裝置集體被鎖定 NAC 不信任舊版根 CA 分階段進行 CA 移轉;在撤銷舊 CA 之前,先將新的根 CA 新增至 NAC 信任存放區
已撤銷的裝置仍保有網路存取權 僅採用 CRL 撤銷且下載間隔過長 實施 OCSP 和 CoA 以進行即時撤銷

對於特定的 BLE 型 IoT 裝置,其驗證架構與連接 WiFi 的端點不同。請參閱 企業級低功耗藍牙 (BLE) 解析 ,了解適用於低功耗藍牙基礎設施的特定安全性考量。


投資報酬率 (ROI) 與業務影響

與替代方案的成本相比,整合 SCEP-NAC-MDM 的商業效益顯而易見。

指標 導入前 導入後
IT 服務台工單 (網路存取) 高 - 密碼重設、金鑰輪替 趨近於零 - 自動化憑證生命週期
撤銷受駭裝置的平均時間 數小時 (手動流程) 數秒 (OCSP + CoA)
PCI DSS 存取控制合規性 手動、耗費大量稽核成本 自動化、持續執行
BYOD 註冊時間 每部裝置 15-30 分鐘 5 分鐘以下且完全無需 IT 介入

對於擁有 500 部裝置的規模,消除手動憑證管理和與密碼相關的服務台工單,通常可以減少 25-35% 與網路相關的 IT 支援開銷。降低風險的價值 - 避免單次因憑證遭竊而導致的資安漏洞 - 通常就超過了整個導入成本。對於受 GDPR 約束的公共部門和醫療保健機構而言,證明自動化、可稽核的存取控制能力是一項重要的合規資產。

關鍵定義

SCEP (Simple Certificate Enrollment Protocol)

一種在無需使用者介入的情況下,自動向裝置核發和撤銷數位憑證的協定,充當 MDM 平台與憑證授權單位之間的通訊層。

供 MDM 平台使用,以在大規模環境下將 X.509 憑證無縫部署到數千個終端。IT 團隊在為 802.1X WiFi 驗證設定 MDM 設定檔時會遇到 SCEP。

NAC (Network Access Control)

一種安全解決方案,對尋求存取網路基礎設施的裝置執行原則,在授予存取權限之前評估驗證認證、憑證有效性以及裝置合規狀態。

在網路邊緣擔任守門人。IT 團隊設定 NAC 原則,以根據憑證屬性和 MDM 合規狀態,定義哪些裝置可以存取哪些 VLAN。

MDM (Mobile Device Management)

IT 部門用於跨多個作業系統監控、管理和保護員工終端的軟體,作為裝置身分和合規性的中央單一事實來源。

SCEP 註冊流程的發起者,也是 NAC 查詢狀態資料的來源。若沒有 MDM 整合,NAC 就無法執行基於狀態的存取控制。

IEEE 802.1X

一種基於連接埠的網路存取控制(Network Access Control)的 IEEE 標準,為希望連線到 LAN 或 WLAN 的裝置提供驗證機制,在連接埠開啟前需要成功完成驗證。

底層協定,在交換器或存取點允許任何流量通過之前,強制裝置進行驗證。設定於網路基礎設施和裝置的 802.1X 請求方上。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

最安全的 EAP 標準,需要雙向驗證,其中用戶端裝置和 RADIUS 伺服器都必須出示有效的數位憑證,從而杜絕了基於密碼的認證攻擊。

企業無線安全的黃金標準。只要部署了裝置憑證基礎設施,IT 架構師就應強制要求使用 EAP-TLS,而非 PEAP 或 TTLS。

CSR (Certificate Signing Request)

由裝置產生的編碼文字區塊,包含其公鑰和身分詳細資訊,提交給憑證授權單位以申請簽署的 X.509 憑證。

在 SCEP 註冊過程中由裝置自動產生。與 CSR 對應的私鑰永遠不會離開裝置,確保憑證無法被複製。

MAB (MAC Authentication Bypass)

一種後備驗證方法,網路使用裝置的硬體 MAC 位址作為其認證,用於缺乏 802.1X 請求方能力的裝置。

用於無法參與 EAP-TLS 的傳統 IoT 裝置,例如印表機、感測器和智慧會議室控制器。應始終將其分配至高度受限的 VLAN。

OCSP (Online Certificate Status Protocol)

一種用於即時獲取 X.509 數位憑證撤銷狀態的網際網路協定,提供了下載和剖析憑證撤銷清單之外的替代方案。

對於需要在裝置遭入侵或回報遭竊時立即封鎖網路存取的 NAC 系統至關重要。OCSP 提供即時狀態;而下載 CRL 則會產生撤銷時間差。

CoA (Change of Authorization)

一種 RADIUS 擴充功能 (RFC 5176),允許 NAC 動態修改或終止作用中的網路工作階段,而無需等待工作階段過期或裝置重新進行驗證。

用於在憑證遭撤銷或 MDM 合規狀態變更時,立即中斷裝置的連線。這對於即時執行零信任(zero-trust)至關重要。

範例

一家擁有 500 間客房的奢華度假村需要確保其後台營運網路的安全。員工使用共享平板電腦進行房務管理,管理階層則使用企業筆記型電腦。目前的 WPA2-PSK 網路已發生多次預共享金鑰洩露,導致過去一年內發生了兩起安全事件。IT 團隊應如何轉移到憑證式驗證,且不中斷業務營運?

階段 1 - 準備(第 1 - 2 週):部署雲端 RADIUS/NAC 解決方案並將其與現有的 MDM 整合。在 MDM 中設定 SCEP 設定檔,將裝置憑證推送到所有平板電腦和筆記型電腦。使用裝置憑證(與裝置序號綁定)而非使用者憑證,以便共享平板電腦不論由哪位員工使用都能自動進行驗證。階段 2 - 平行部署(第 3 - 4 週):廣播一個專為 802.1X EAP-TLS 設定的全新隱藏 SSID。透過 MDM 將新的 WiFi 設定檔推送到所有已註冊的裝置。監控 NAC 儀表板以確認成功驗證。階段 3 - 切換(第 5 週):當 95% 以上的裝置連接到新的 SSID 後,停用舊有的 WPA2-PSK 網路。從所有文件和存取點中撤銷舊的 PSK。

考官評語: 在共享裝置環境中,採用裝置憑證是正確的選擇。使用者憑證會要求每位員工都擁有自己的憑證,這會產生管理開銷,從而抵消自動化的優勢。平行部署策略至關重要 - 立即切換會將任何 SCEP 註冊失敗的裝置排除在外,導致營運中斷。新網路的隱藏 SSID 可防止顧客在過渡期間嘗試連接到企業網路。

一家全國連鎖零售商正在 150 家門市部署 3,000 台新的端點銷售(POS)終端機。安全團隊要求嚴格遵守 PCI DSS 網路分割與零信任存取。部署時程為 8 週。SCEP 和 NAC 如何在大規模情況下協助實現此目標,且不需要各門市配備 IT 人員?

部署前:POS 廠商使用廠商的免觸控註冊方案,將所有 3,000 台裝置預先註冊到零售商的 MDM 中。MDM 設定了 SCEP 設定檔,該設定檔將在首次開機時自動執行。部署:當門市的 POS 終端機開機時,它會連接到暫時的引導 SSID(僅限網際網路,無企業存取權限)。系統會推送 MDM 設定檔,觸發 SCEP 承載資料,裝置隨即向 CA 請求並接收其 X.509 憑證。接著 MDM 會推送企業 WiFi 設定檔。網路存取:當 POS 連接到門市的交換器連接埠時,交換器會啟動 802.1X。NAC 驗證憑證,向 MDM 查詢以確認 POS 符合規範(已啟用加密、MDM 代理程式處於活動狀態、未偵測到越獄),並動態將交換器連接埠分配給 PCI-DSS VLAN。POS 現在已可正常運作。門市完全不需要 IT 人員。

考官評語: 此場景展現了將零接觸 MDM 註冊與 SCEP 自動化相結合的強大威力。臨時引導 SSID 是一個關鍵的設計元素,它為 MDM 註冊流程提供網際網路存取,而不會暴露企業網路。動態 VLAN 分配確保了即使惡意裝置以某種方式獲取了有效的 MAC 位址,它仍會因無法通過 EAP-TLS 憑證檢查而被拒絕存取 PCI VLAN。此架構同時滿足了 PCI DSS 要求 1(網路分割)和要求 8(唯一裝置識別)。

練習題

Q1. 您的組織正在將 WPA2-Enterprise 使用的 PEAP-MSCHAPv2 遷移至 EAP-TLS。在試行期間,Windows 筆記型電腦與 iPhone 皆能成功連線,但有 200 台倉庫條碼掃描器無法通過驗證。這些掃描器支援 802.1X,但無法處理來自 MDM 的 SCEP 承載資料(payload) - 它們執行專屬的嵌入式作業系統,不支援 MDM 代理程式。在不需要更換掃描器的情況下,能維持網路區隔的最安全架構解決方案為何?

提示:請考慮不需要 MDM 代理程式的其他憑證遞送機制,以及哪些網路區隔控制措施應適用於無法參與完整狀態評估的裝置。

查看標準答案

由於掃描器支援 802.1X,但不支援 SCEP 或 MDM 註冊,最安全的方法是使用具有限制金鑰使用設定檔的專用憑證範本,手動為裝置佈署憑證。這些憑證會在維護窗口期間安裝一次。將 NAC 設定為接受這些憑證,但由於無法進行狀態評估,因此需將掃描器指派至具有嚴格 ACL 的專用倉庫營運 VLAN,而非完整的企業 VLAN。或者,如果手動佈署憑證在營運上無法擴展,可針對掃描器硬體的 MAC OUI 專門將 MAB 設定為後備機制,並由 NAC 將其指派至同一個受限的 VLAN。將此作為已知例外狀況記錄在您的風險登記表中,並排定在下一次硬體汰換週期中更換掃描器。

Q2. 網路安全經理注意到,當員工申報筆記型電腦遺失時,MDM 會傳送遠端抹除指令,但該裝置仍會維持連線到企業 WiFi 長達 12 小時(目前的 RADIUS 工作階段逾時時間)。在此期間,該裝置可能會被用於外洩資料。應如何修改架構,以便在裝置申報遺失後立即終止其網路存取?

提示:NAC 需要立即獲知狀態變更,而非等待下一次驗證週期。請同時考慮工作階段終止機制與防止重新驗證的機制。

查看標準答案

實作兩項互補的控制措施。首先,將 MDM 設定為在裝置被標記為遺失或遭竊時,立即傳送 Webhook 給 NAC。NAC 隨後會向特定的存取點或交換器連接埠傳送 RADIUS Change of Authorization (CoA) Disconnect-Request 訊息,立即終止作用中的工作階段。其次,在憑證授權單位 (CA) 中撤銷該裝置的憑證,並確保 NAC 設定為進行即時 OCSP 檢查,而非基於 CRL 的撤銷檢查。這意味著即使裝置在處理 CoA 之前重新連線,EAP-TLS 驗證也會在 OCSP 檢查時失敗。這兩項控制措施結合使用,可將暴露時間從 12 小時縮短至 60 秒以內。

Q3. 在對大型會議中心的網路進行安全性稽核期間,發現 SCEP 伺服器暴露於公共網際網路中,並使用靜態挑戰密碼來允許遠端裝置註冊。稽核員將此列為關鍵弱點。應如何重新設計 SCEP 註冊流程,以在維持遠端註冊能力的同時,消除靜態密碼帶來的風險?

提示:SCEP 伺服器需要一種方法來驗證請求憑證的裝置是否確實獲得 MDM 授權,而不能依賴可能從裝置中提取或被攔截的共用金鑰。

查看標準答案

將靜態認證密碼替換為由 MDM 產生的動態、每台裝置專屬的一次性認證密碼。工作流程如下:(1) MDM 在註冊過程中為每台裝置產生一個唯一的、有時間限制的認證密碼。(2) MDM 將此認證包含在推送到裝置的 SCEP 負載中。(3) 裝置在其 CSR 中包含該認證。(4) SCEP 伺服器在將 CSR 轉發給憑證授權單位 (CA) 之前,透過 API 向 MDM 驗證該認證。(5) 認證在使用後立即失效。這可確保只有受 MDM 管理的裝置才能成功取得憑證,且即使 SCEP URL 被發現,攻擊者在沒有有效一次性認證的情況下也無法產生有效的憑證。此外,應將 SCEP 伺服器限制為僅限 HTTPS,並儘可能針對 MDM 的流出 IP 實施 IP 允許清單。