Проверка подлинности DirectAccess

DirectAccess выполняет проверку подлинности компьютера еще до того, как пользова­тель выполнит вход в систему. Как правило, после проверки подлинности компьютеру предоставляется доступ только к контроллерам домена и серверам DNS. После того как пользователь войдет в систему, DirectAccess выполняет его проверку подлин­ности и пользователь может подключаться к любым ресурсам, к которым у него есть разрешение на доступ.

DirectAccess поддерживает стандартную проверку подлинности пользователя с при­менением имени пользователя и пароля. Для повышения безопасности можно реа­лизовать двухфакторную проверку подлинности с помощью смарт-карт. Как правило, для этого необходимо, чтобы пользователь помимо ввода своих учетных данных вставил свою смарт-карту. Проверка подлинности с помощью смарт-карт не позво­лит злоумышленнику, завладевшему паролем пользователя (но не его смарт-картой), подключиться к интрасети. Точно так же злоумышленник, завладевший смарт-картой, но не знающий пароля пользователя, не сможет пройти проверку подлинности.

Проверку подлинности с помощью смарт-карт можно настроить в следующих конфигурациях.

· Проверка подлинности пользователей. Проверка подлинности с помощью смарт-карт является обязательной для указанных пользователей независимо от того, на каком компьютере они работают.

· Проверка подлинности компьютеров. Проверка подлинности с помощью смарт-карт является обязательной для указанных компьютеров независимо от того, какие пользователи выполняют на них вход в систему.

· Проверка подлинности шлюза. Шлюз IPsec требует проверки подлинности с помощью смарт-карт до установки соединения. В такой конфигурации поль­зователи могут получать доступ к ресурсам в Интернете без предъявления смарт-карты, но для подключения пользователей или компьютеров к ресурсам интрасети необходимо предъявить смарт-карту. Эта конфигурация может сочетаться с любым из вышеприведенных сценариев проверки подлинности с помощью смарт-карт. Когда проверка подлинности с помощью смарт-карт требуется для сквозной проверки подлинности, необходимо использовать доменные службы Active Directory в Windows Server 2008 R2.

Использование IPv6

С DirectAccess необходимо использовать протокол IPv6, поскольку у клиентов DirectAccess должны быть глобально маршрутизируемые адреса. Организациям, в инфраструктуре которых уже применяется протокол IPv6, DirectAccess позволяет легко включить в существующую инфраструктуру клиентские компьютеры DirectAccess. Эти компьютеры по-прежнему смогут получать доступ к ресурсам в Интернете по протоколу IPv4.

Организациям, в которых еще не используется протокол IPv6, DirectAccess дает простой способ начать применение IPv6 без обновления инфраструктуры. Вы можете исполь­зовать технологии туннелирования IPv6 6to4 и Teredo для обеспечения возможности подключения через IPv4 (Интернет) и технологии туннелирования IPv6 ISATAP для того, чтобы клиенты DirectAccess могли получать доступ к ресурсам по протоколу IPv6 в интрасети, поддерживающей только протокол IPv4.

Кроме того, можно использовать устройство для преобразования сетевых адресов и протоколов (NAT-PT), чтобы клиентские компьютеры DirectAccess могли получать доступ к ресурсам в интрасети, не поддерживающей протокол IPv6.

DirectAccess и защита доступа к сети (NAP)

Для соблюдения политик безопасности и работоспособности компьютеров и снижения риска распространения вредоносных программ клиентам, не отве­чающим установленным требованиям, можно запретить доступ к ресурсам в интрасети и взаи­модействие с компьютерами, которые соответствуют всем требованиям. Используя защиту доступа к сети (NAP) в сочетании с DirectAccess, ИТ-администраторы могут потребо­вать, чтобы клиенты DirectAccess были работоспособны и соответствовали корпора­тивным политикам и требованиям к работоспособности. Например, клиентские компью­теры могут подключаться к серверу DirectAccess, только если на них установлены последние обновления безопасности и сигнатуры вредоносных программ, а также выполнены другие требования к настройкам безопасности.

При использовании защиты доступа к сети в сочетании с DirectAccess клиенты DirectAccess с включенной защитой NAP должны предоставлять сертификаты работо­способности для проверки подлинности при установке начального подключения к сер­веру DirectAccess. Сертификат работоспособности содержит удостоверение компьютера и подтверждение работоспособности системы. Как описывалось выше, клиент DirectAccess с включенной защитой NAP получает сертификат работоспособности, отправляя информацию о состоянии своей работоспособности в центр регистрации работоспо­собности, расположенный в Интернет. Сертификат работоспособности должен быть получен до установки соединения с сервером DirectAccess.

При использовании защиты доступа к сети в сочетании с DirectAccess клиентский компьютер, не отвечающий требованиям работоспособности, который был заражен вредоносными программами, не может подключиться к интрасети через DirectAccess, что ограни­чивает возможности распространения вредоносного кода. Для DirectAccess не требу­ется защита доступа к сети (NAP), хотя ее использование рекомендуется. Дополнительные сведения о защите доступа к сети (NAP) см. по адресу http://www.microsoft.com/nap.

Требования при использовании DirectAccess

Для использования DirectAccess необходимо следующее.

· Один или несколько серверов DirectAccess под управлением Windows Server 2008 R2 с двумя сетевыми адаптерами, один из которых подключен напрямую к Интернету, а второй — к интрасети.

· На сервере DirectAccess должно быть минимум два последовательных откры­тых IPv4-адреса, назначенных сетевому адаптеру, подключенному к Интернет.

· Клиенты DirectAccess под управлением ОС Windows 7.

· Минимум один контроллер домена и сервер DNS под управлением Windows Server 2008 или Windows Server 2008 R2. Если для защиты end-to-end требуется проверка подлинности с помощью смарт-карт, необходимо использовать доменные службы Active Directory в Windows Server 2008 R2.

· Инфраструктура открытых ключей (PKI) для выдачи сертификатов компьютеров, сертификатов смарт-карт и сертификатов работоспособности для защиты доступа к сети (NAP). Дополнительные сведения см. по адресу http://www.microsoft.com/pki.

· Политики IPsec для защиты трафика. Дополнительные сведения см. по адресу http://www.microsoft.com/ipsec.

· Технологии туннелирования IPv6, которые могут использоваться на сервере DirectAccess: ISATAP, Teredo и 6to4.

· Кроме того: устройство NAT-PT от стороннего производителя для обеспечения доступа клиентов DirectAccess к ресурсам, поддерживающим только протокол IPv4.

Заключение

Технология DirectAccess обеспечивает следующие преимущества.

· Простое и быстрое подключение. Возможности DirectAccess доступны всегда, когда поль­зователь подключен к Интернету. Пользователь может работать с ресурсами интрасети в командировке, кафе или дома.

· Удаленное управление. ИТ-администраторы могут напрямую подключаться к клиентским компьютерам DirectAccess, чтобы выполнять их мони­торинг, управлять ими и устанавливать обновления, даже если пользователь не вошел в систему. Это позволяет снизить затраты на управление удаленными компьютерами, своевременно устанавливая на них критические обновления и изменяя их конфигурацию.

· Повышенная безопасность. Для проверки подлинности и шифрования в тех­нологии DirectAccess используется протокол IPsec. Дополнительно можно потребовать использовать смарт-карты для проверки подлинности пользо­вателей. При использовании DirectAccess в сочетании с защитой доступа к сети клиенты DirectAccess должны пройти проверку на соответствие требо­ваниям работоспособности, прежде чем им будет разрешено подключиться к серверу DirectAccess. ИТ-администраторы могут настроить сервер DirectAccess таким образом, чтобы ограничить число серверов, к которым могут получать доступ пользователи и отдельные приложения.

Кроме того, DirectAccess помогает полнее использовать другие усовершенствованные функции работы с сетью, предусмотренные в Windows 7.

· Федеративный поиск. Эта возможность позволяет включать в результаты поиска файлы и веб-страницы из интрасети, если пользователь к ней подключен. Поскольку DirectAccess подключает пользова­телей к интрасети при подключении к Интернету, федеративный поиск автоматически работает всегда, когда у пользователя есть подключение к Интернету.

· Перенаправление папок. Благодаря перенаправлению папок возможна авто­матическая синхронизация папок на нескольких компьютерах в сети. Если функция DirectAccess включена, пользователи переносных и настольных компьютеров могут автоматически получать обновленные данные каждый раз, когда они подключаются к Интернету.

· Сценарий «компьютер на замену» (Replaceable PC). В этом сценарии приложения, доку­менты и настройки пользователя хранятся в сети и доступны с любого компью­тера. Если компьютер потерян или поврежден, на заменяющий его компьютер не нужно переносить настройки пользователя.

DirectAccess упрощает управление клиентскими компьютерами, делая их защиту более надежной, а подключение к сети — более стабильным.

Не нашли, что искали? Воспользуйтесь поиском по сайту: