Что может дать DirectAccess пользователям Windows 7?
Многим сотрудникам по разным причинам необходим удаленный доступ к корпоративной сети. Традиционно для этого применяются VPN. Тем не менее переход на Windows 7 и использование Windows Server 2008 дает возможность организовать работу удаленно за счет технологии DirectAccess. В чем ее особенности и что она может дать компании?
В чем особенности?
Direct Access предоставляет компании возможность проверить состояние подключенных к сети компьютеров - с помощью технологий NAP (Network Access Protection) и NAC (Network Access Control). Это может стать дополнительной гарантией безопасности, поскольку дает возможность убедиться в том, что на компьютере удаленного пользователя нет вредоносного ПО, установлены все необходимые обновления и пр. Использование NAP и NAC совместно с DirectAccess не является обязательным условием, однако крайне рекомендуется для обеспечения максимального уровня безопасности.
Особенность DirectAccess заключается в том, что аутентификация компьютера осуществляется до входа пользователя в ОС и при этом предоставляется доступ к DNS и контроллерам домена. При последующей аутентификации пользователь получает право доступа к другим внутренним ресурсам компании. При этом помимо стандартного ввода пользователем имени и пароля, предполагается возможность использования двухфакторной аутентификации, например с помощью смарт-карт, что существенно снижает вероятность компрометации учетных данных пользователя. Что интересно, в данном случае смарт-карты могут применяться для аутентификации пользователя вне зависимости от используемого им компьютера, аутентификации компьютера вне зависимости от работающего за ним пользователя и дополнительной аутентификации при доступе к конкретным внутренним ресурсам.
Доступ ограничен?
Рабочие станции, использующие DirectAccess, могут подключаться к сети компании двумя способами: End to End (подключение к выборочному количеству серверов) и End to Enge (полный доступ к ресурсами сети компании).
Минимальные требования для использования DirectAccess:
- Сервер DirectAccess на базе Windows Server 2008 R2
- Клиент DirectAccess на базе Windows7
- Два сетевых интерфейса на сервере DirectAccess
- Инфраструктура открытых ключей (PKI)
- Домен на базе Active Directory
- Поддержка протокола IPv6
Вариант выборочного подключения (End to End), безусловно, безопаснее полного доступа, однако он более требователен к ресурсам. При такой схеме подключения клиент DirectAccess устанавливает IPSec соединение через сервер DirectAccess к каждому из серверов приложений, к которым у него имеются права доступа. Это обеспечивает высочайший уровень безопасности, поскольку контроль доступа можно настроить на сервере DirectAccess. Однако в таком случае необходимо, чтобы все серверные ОС были обновлены до Windows Server 2008 и при этом во всей "серверной" сети использовались бы оба протокола: и IPv6 и IPSec. По этой причине в настоящее время он кажется менее интересным для пользователей.
При использовании полного доступа к корпоративной сети (End to Edge) клиентская рабочая станция устанавливает соединение c сервером DirectAccess. Далее сервер Direct Access, который является как бы шлюзом IPSec, переадресует незащищенный трафик на внутренние сервера компании. В таком случае нет необходимости в том, чтобы во всей сети использовались протоколы IPv6 и IPSec – "шлюзовой" сервер "связывается" с другими серверами, находящимися в интрасети, используя всем привычный протокол IPv4.
В целом, технология DirectAccess позволяет организовать более простой, удобный и безопасный доступ к корпоративной сети для пользователей Windows 7 и Windows Server 2008.
Короткая ссылка на материал: //cnews.ru/link/a2479