Direct access windows 10 что это

Обновлено: 13.05.2024

Общие сведения

Q. Что такое Direct Access?
A. DirectAccess – это технология, обеспечивающая безопасный доступ к общим ресурсам внутренней сети , веб-сайтам и приложениям без установления виртуальной частной сети (VPN). DirectAccess устанавливает двунаправленное соединение с внутренней сетью каждый раз, когда компьютер пользователя подключается к интернету, даже если пользователь еще не выполнил вход в систему. Никаких действий со стороны пользователя при этом не требуется. Также данная технология позволяет IT-отделам компании удаленно управлять компьютерами пользователей через интернет даже при отсутствии VPN-подключения.

Q. Где можно найти информацию по Direct Access?
A. Обзорная информация, ссылки на видеотрансляции и демонстрации находятся на странице DirectAccess Solution . Более подробную информацию, а также полный список технических ресурсов можно найти на странице TechNet, посвященной Direct Access .

Q. Каковы требования к ОС для работы с Direct Access?
A. DirectAccess-клиентами могут служить только компьютеры под управлением Windows 7 Enterprise Edition, Windows 7 Ultimate Edition, или Windows Server 2008 R2, включенные в домен AD. DirectAccess-сервер может быть создан только на базе доменного сервера под управлением Windows Server 2008 R2.

Q. Существуют ли в Direct Access встроенные ограничения по числу одновременных подключений к серверу?
A. Нет. В отличие от RRAS Direct Access встроенных ограничений на количество подключений не имеет.

Q. Что нужно установить на клиентскую машину, чтобы включить Direct Access?
A. Дополнительно устанавливать ничего не требуется – клиенты Direct Access настраиваются при помощи групповых политик при первом подключении к домену. В дальнейшем никаких действий и настроек со стороны пользователя не требуется.

Q. Где найти информацию по дизайну Direct Access?

A. DirectAccess Design Guide .

Q. Сколько стоит приобрести Direct Access?
A. DirectAccess состоит из двух частей – клиентской и серверной. Клиентская часть – это компьютеры под управлением Windows 7 Enterprise, Windows 7 Ultimate, либо Windows Server 2008 R2. Серверная часть DirectAccess входит в состав Windows Server 2008 R2. Так что ничего докупать не нужно.

Forefront Unified Access Gateway (UAG) расширяет возможности Direct Access в кроссплатформеной инфраструктуре, увеличивая масштабируемость и упрощая развёртывание и управление. Дополнительную информацию о UAG вы найдете по следующей ссылке: Microsoft Forefront Unified Access Gateway .

Q. Как работает Direct Access?
A. DirectAccess использует комбинацию из IPv6, IPSec-защиты внутрисетевого трафика, разделения DNS-трафика при помощи таблицы политики разрешения имен (NRPT) и сервера сетевого обнаружения, который используется клиентами для определения ресурсов внутренней сети. Дополнительную информацию вы можете найти в библиотеке TechNet: Appendix B: Reviewing Key DirectAccess Concepts .

Q. Как установить Direct Access?
A. Сначала установите DirectAccess Management Console при помощи оснастки управления сервером (Server Manager). Затем из консоли запустите мастер установки Direct Access.

Q. Какие сервера необходимы для развертывания Direct Access?
A. Для развертывания Direct Access необходимы 3 типа серверов:

• Сервер DirectAccess
Обеспечивает подключение Direct Access-клиентов извне к ресурсам внутренней сети. Как правило, устанавливается в сети периметра между брандмауэром и внутренней сетью

Active Directory

Q. Какие требования предъявляются к уровню домена и леса?
A. Для DirectAccess на базе Windows Server 2008 R2: Клиенты и серверы DirectAccess должны быть членами домена с системой адресов IPv6 и к глобальному каталогу под управлением Windows Server 2008 либо Windows Server 2008 R2. Соответственно, уровень домена должен быть не ниже 2003 Native. Для использования авторизации по смарт-карте небходим домен уровня 2008 R2
Для DirectAccess на базе Microsoft Forefront Unified Access Gateway (UAG):
В состав Forefront UAG входит NAT64, осуществляющий все необходимые преобразования трафика IPv6-to-IPv4. В среде с Forefront UAG, клиенты DirectAccess используют контроллеры домена на базе Windows Server 2003 и домены этого же уровня.

Q. Нужно ли обеспечивать доступ через интернет к Read-Only Domain Controller (RODC) для функционирования Direct Access?
A. Нет, в этом нет необходимости

Q. Какие требования предъявляются к DNS-серверам?
A. Для DirectAccess на базе Windows Server 2008 R2:
В качестве DNS-серверов, которые будут использоваться клиентами Direct Access, необходим хотя бы один компьютер под управлением Windows Server 2008 R2, Windows Server 2008 c SP2, либо Windows Server 2008 с установленным обновлением Q958194 . Служба DNS Server в данных версиях Windows поддерживает обработку DNS-запросов на Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)-интерфейсах.
По умолчанию служба DNS Server в Windows Server 2008 и Windows Server 2008 R2 блокирует разрешение имен для ISATAP посредством глобального листа блокировки запросов DNS. Если во внутренней сети используется ISATAP, то ISATAP-имя должно быть удалено из списка. Дополнительную информацию можно найти в статье Managing the Global Query Block List . Более подробную информацию по планированию и настройке DNS можно получить из статьи Design Your DNS Infrastructure for DirectAccess .

Для DirectAccess на базе Microsoft Forefront Unified Access Gateway (UAG): В состав Forefront UAG входит DNS64, выполняющий все необходимые для поддержки разрешения имен и для динамических обновлений преобразования DNS-трафика. DNS64 используется клиентами Direct Access для разрешения имен внутренней сети. Т.о. при использовании Forefront UAG к DNS-серверам не предъявляется никаких особых требований, т.е. они могут работать на базе Windows Server 2003\2008\2008R2.

Q. Требуются ли выделеные DNS-сервера?
A . В Windows7 и Windows 2008R2 внедрен новый функционал – таблица политики разрешения имен (NRPT), при помощи которой клиенты DirectAccess могут использовать уже существующие IPv6 DNS-сервера. Следовательно, никакой необходимости в выделенном DNS-сервере для Direct Access нет.
Дополнительную информацию можно найти в статье Design Your DNS Infrastructure for DirectAccess .

Q. Какие требования предъявляются к PKI при развертывании DirectAccess?
A. Для развертывания DirectAccess необходимо создать инфраструктуру открытого ключа (PKI), чтобы обеспечить выдачу сертификатов серверам и клиентам Direct Access, а также серверам сетевого мес��оположения.
Дополнительную информацию можно найти в статье Design Your PKI for DirectAccess.

Q. Должны ли серверы приложений работать под управлением Windows Server 2008 R2?
A. Нет. Сервера приложений могут работать под управлением любой ОС. Однако, если сервер работает под управлением Windows Server 2003 или более ранней, невозможно настроить DirectAccess так, чтобы обеспечивалась межконцевая IPSec-защита. Также Windows Server 2003 не поддерживает IPv6, соответственно, необходимо будет устанавливать трансляторы IPv6-IPv4, например NAT64. Этот же транслятор может потребоваться, если сервер работает под управлением ОС, отличной от Windows и не поддерживает IPv6 либо поддерживает его не полностью.

Q. Обязательно ли настраивать IPSec?
A. Да, если вы планируете подключать клиентов к серверу через интернет. При подключении к серверу DirectAccess во внутренней сети IPsec не обязателен.
Если вам необходимо аутентифицировать соединение, но при этом вам необходимо обеспечить доступ к трафику промежуточным сетевым устройствам (например, необходимо отключить шифрование или интеграцию пакетов), можно воспользоваться функцией аутентификации с нулевой инкапсуляцией.
Дополнительную информацию об IPSec можно найти в статье Windows Firewall with Advanced Security and IPsec .

Q. Должна ли моя инфраструктура поддерживать перенаправление трафика, защищенного IPSec?
A. Не обязательно. Использование аутентификации с нулевой инкапсуляцией, доступной в Windows 7/Windows Server 2008R2 позволяет настраивать межабонентскую проверку подлинности IPSec даже если устройства третьего уровня не поддерживают перенаправление трафика, защищенного IPSec.

Q. Обязательно ли использовать смарт-карты для подключения к DirectAccess?
A. Нет. Многоступенчатая проверка подлинности с использованием смарт-карт является необязательной.

Q. Можно ли использовать токены в качестве второй ступени проверки подлинности?
A. Для использования многоступенчатой проверки подлинности токен должен поддерживать использование индикатора публичного ключа шифрования начальной проверки подлинности Kerberos (PKINIT). Токены, использующие другие методы, например RSA Secure ID не могут использоваться для многоступенчатой проверки подлинности при подключении к DirectAcces.

Q. Как восстановить подключение к DirectAccess после переустановки системы, имея только подключение к интернету?
A. После переустановки системы присвойте компьютеру прежнее имя, т.к. политики DirectAccess основаны на членстве в группах безопасности и именах компьютеров.
1. Подключитесь к внутренней сети предприятия при помощи VPN и введите компьютер в домен.
2. Выполните команду gpupdate /force, чтобы обновить групповые политики на клиенте.

Удалите компьютер из группы безопасности клиентов DirectAccess.
Выполните команду gpupdate /force, чтобы обновить групповые политики на клиентском компьютере.

Рядовой пользователь не может самостоятельно отключить DirectAccess на своем компьютере.

Q. Могут ли приложения, работающие в XP Mode использовать DirectAccess?
A. Нет. XP Mode имеет те же сетевые возможности, что и Windows XP, что не подразумевает поддержку DirectAccess.

Q. Может ли компьютер, не включенный в домен, подключаться через DirectAccess?
A. Нет. Если вам н��обходимо по��ключаться через DirectAccess с компьютера, не включенного в домен, создайте виртуальный диск с включенной в домен системой и используйте функционал загрузки с VHD.

Q. В руководстве по развертыванию DirectAccess указана необходимость наличия двух «белых» статичес��их IPv4-адресов интернета. Есть ли какой-нибудь способ обойтись одним?
А. К сожалению, нет. Два статических IPv4-адреса необходимы для работы протокола Teredo. Даже если у вас есть интернет-адрес IPv6, мастер настройки DirectAccess будет требовать наличия адресов IPv4. В настоящее время решения этой проблемы нет.

Наиболее частым, применяемым способом удаленного доступа к внутренним ресурсам организаций является настройка VPN -соединения. Данная технология имеет ряд минусов таких как:

необходимость установки на клиентский компьютер дополнительного программного обеспечения, что не всегда удобно, в некоторых случаях невозможно;
необходимость прохождения пользователем дополнительной процедуры аутентификации;
отсутствие возможности контролировать клиентский компьютер службами, отвечающими за техническую поддержку и информационную безопасность организации;
отсутствие возможности контролировать своевременное обновление системного и прикладного ПО, наличие на нем антивирусного ПО и актуальности антивирусных баз;
при перемещении удаленный пользователь должен перевозить не всегда легкий ноутбук.

применять к удалённому компьютеру групповые политики;
подключаться к компьютеру, используя штатные средства – RDP, mmc, удаленный помощник;
контролировать интернет трафик;
применять DLP -системы;
использовать централизованное управление антивирусной защитой;
и другие средства доступные внутри домена.

Microsoft DirectAccess 2012

Описание ключевых используемых технологий начну с Microsoft DirectAccess, так как она будет основным компонентом создаваемой системы мобильного удаленного доступа к корпоративной среде. Рассматривать имеет смысл наиболее актуальную версию на базе Microsoft Windows Server 2012 R2 и клиентской операционной систем Windows 8.1.

Технология DirectAccess впервые была представлена в качестве компонента Micrisoft Windows Server 2008 R2 и предназначалась для организации прозрачного доступа удаленных компьютеров к внутренним ресурсам сети компании. DirectAccess позволяет удаленным пользователям полноценно использовать ресурсы корпоративной сети и пользоваться сервисами домена.

Также, технология DirectAccess позволяет сотрудникам различных технических подразделений (Help Desk, администраторы ИТ и ИБ), управлять учетными записями удаленных пользователей, компонентами антивирусной защиты, локальными политиками безопасности, осуществлять мониторинг своевременной установки обновлений операционной системы и прикладных программ. Это позволяет поддерживать удаленную систему в актуальном с точки зрения информационной безопасности состоянии.

По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети, но разница есть, и довольно существенна. DirectAccess на базе Windows Server 2012 делает отличия между компьютерами внутренней корпоративной сети и компьютерами удаленных клиентов менее заметными.

Ниже приведу сравнение нового DirectAccess с технологией VPN.

DirectAccess 2012 можно настроить только для удаленно управления, без возможности доступа удаленных клиентов во внутреннюю сеть организации.
Пользователю нет необходимости запускать клиентское приложение и отдельно вводить учетные данные для организации VPN – соединения и авторизации в домене. В DirectAccess подключение к корпоративной сети происходит автоматически в момент загрузки операционной системы, пользователю необходимо только ввести идентификационные данные для прохождения аутентификации и авторизации в корпоративном домене.
Так как компьютер уже находится в корпоративной сети еще на стадии загрузки, то он получает обновления доменных групповых политик и других изменений, которые возможны только на этапе загрузки компьютера.
Компьютеру достаточно просто загрузится, чтобы появлялась возможность подключения к нему, например по RDP. Прохождение процедур идентификации и аутентификации, с целью загрузить учетную запись удаленного пользователя при этом не требуется.
Канал связи между компьютером и корпоративной сетью шифруется стойкими алгоритмами с использованием IPsec. Для реализации IPsec в технологии VPN понадобится дополнительное аппаратное обеспечение.
Есть возможность добавить нативную поддержку двухфакторной аутентификации с использованием одноразовых паролей (OTP ). Для VPN такой встроенной поддержки нет, требуется использовать дополнительное ПО сторонних производителей.
Для соединения удаленного клиента и сервера DirectAccess используется единственный порт – 443. Так как этот порт обычно открыт на фаэрволах, у клиента не будет проблемы с подключением, где бы он ни был. В VPN этого можно достичь, используя только протокол SSTP.
Есть возможность добавить удаленную машину в домен, используя технологию Offline Domain Join, то есть ввести компьютер в домен без соединения с контроллером домена. При следующей загрузке АРМ будет частью корпоративной сети, используя подключения DirectAccess.
К плюсам VPN можно отнести то, что удаленным клиентам не обязательно быть членами домена, для DirectAccess это обязательное требование, следовательно, DirectAccess не замещает VPN. То есть удаленному пользователю необходимо либо выдать корпоративный ноутбук, либо вводить в домен его личный компьютер.

ISATAP – протокол, который используется для автоматического назначения адресов IPv6 внутри интрасети IPv4 организации.
6tо4 — этот протокол используется для автоматического назначения адресов IPv6 и маршрутизации через публичную сеть Интернет на базе IPv4.
Teredo — протокол, применяющийся к устройствам, находящимся за NAT, для автоматического назначения адресов IPv6 и маршрутизации через публичную сеть Интернет на базе IPv4. Для работы этого протокола необходимы два последовательных публичных IРv4-адреса.

Клиент DirectAccess устанавливает два туннеля, которые являются ключом к разносторонности этого метода дистанционного доступа. Это туннели IPsec ESP — полезная нагрузка со встроенной защитой, которые аутентифицируются и шифруются для обеспечения конфиденциальности.

Туннель компьютера устанавливается первым, когда запускается клиент DirectAccess. Этот туннель аутентифицируется только сертификатом компьютера и обеспечивает доступ к DNS интрасети и контроллерам доменов. Этот туннель также используется для загрузки групповой политики компьютера и запроса аутентификации пользователя.

Туннель пользователя аутентифицируется сертификатом компьютера и регистрационными данными пользователя и обеспечивает доступ к ресурсам интрасети. Этот туннель также применяется для загрузки групповой политики пользователей.

Оба эти туннеля устанавливаются прозрачно для пользователя. Для установки дистанционного доступа пользователю не нужно вводить регистрационную информацию помимо той, что он вводит при входе в Windows.

Существует три модели работы DirectAccess:

Рассмотрим процесс подключения клиента к серверу DirectAccess.

Компьютер становится клиентом DirectAccess после применения к нему групповых политик, передающих ему настройки для подключения через DA. Групповые политики создаются на этапе конфигурирования сервера DirectAccess и распространяются на группы безопасности в Active Directory.

Находясь вне корпоративной сети, клиент использует внешние DNS-серверы (местного интернет провайдера), на которых не указано, как преобразовывать имя NLS сервера. Если NLS сервер обнаружен, клиент работает в сети как обычная рабочая станция, то есть IPsec не применяется.
В случае, когда клиент находится вне корпоративной сети, при попытке установить соединение с сервером NLS по DNS-имени, которое добавлено в исключения NRPT, клиент обращается к DNS-серверам, указанным в настройках сетевого адаптера. Так как при этом используются DNS-сервера Интернет-провайдера, на которых не прописано правило преобразования DNS-имени NLS сервера, клиент получает отказ в разрешении имени. Получив отказ от DNS сервера, клиентский компьютер применяет политики IPsec и обращается к серверу DirectAccess по его DNS-имени, которое должно быть прописано во внешней зоне корпоративного домена.

Далее пользователь DirectAccess входит в систему либо применяет регистрационные данные уже вошедшего пользователя в сочетании с сертификатами, чтобы установить туннель пользователя IPsec. Групповая политика пользователя применяется к клиенту DirectAccess. Сервер DirectAccess начинает пересылать трафик от клиента DirectAccess на авторизованные ресурсы интрасети.

Windows To Go

В связи с тем, что для DirectAccess необходимо, чтобы компьютер клиента был включен в корпоративный домен, этот вариант не подходит пользователям, использующим личные компьютеры. Но есть технология, Windows To Go применение которой позволит использовать DirectAccess на любом компьютере, отвечающим минимальным требованиям запуска Windows 8 и подключенном к Интернет.

Технология Windows To Go – одна из новых возможностей Windows 8, позволяющая создать должным образом сконфигурированный образ ОС с установленным необходимым ПО, который будет загружаться непосредственно с USB-носителя вне зависимости от того, какая ОС установлена на компьютере.

Различия между Windows To Go и типовой установкой Windows:

Существует список сертифицированных для использования с WTG USB-носителей:

При выборе компьютера для использования в качестве узла рабочего пространства Windows To Go, необходимо учитывать следующие критерии:

Компьютер должен отвечать минимальным требованиям для использования с операционными системами Windows 7 или Windows 8.
Компьютер, выбранный в качестве хоста для WTG должен поддерживать загрузку с USB.
Использование WTG на компьютере, работающем под управлением Windows RT(Windows 8 ARM), не поддерживается.
Выполнение рабочего пространства Windows To Go с компьютера Mac не поддерживается.

Существует три способа развертывания WTG:

с помощью мастера Windows To Go Creator Wizard;
с помощью скрипта (PowerShell + утилиты работы с образами DISM или ImageX);
с помощью инструмента User Self-Provisioning в System Center 2012 Configuration Manager SP1.

Данный файл можно получить несколькими способами:

BitLocker

В случае применения Windows To Go шифрование отчуждаемого носителя, используя технологию BitLocker Drive Encryption, считаю обязательным требованием, так как на диске может быть записана конфиденциальная информация, содержащая данные, которые можно отнести к коммерческой тайне или к персональным данные партнеров, сотрудников или клиентов компании, BitLocker (полное название BitLocker Drive Encryption) – технология защиты данных путём полного шифрования диска, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 При помощи BitLocker можно зашифровать Логический диск, SD карту или USB-носитель. При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.

Сам ключ может храниться на USB-носителе, в аппаратном модуле TPM или на жестком диске.

Для получения ключа из TPM, может быть настроен дополнительный способ аутентификации пользователя при помощи USB-ключа и/или пароля.

В случае, если доверенный платформенный модуль отсутствует на используемой материнской плате, либо если в качестве загрузки и объекта шифрования будет использоваться USB-носитель с Windows To Go, ключ шифрования необходимо хранить на внешнем USB-носителе либо вместо ключа шифрования можно будет использовать пароль. Для того чтобы настроить доступ к зашифрованному носителю по USB-носителю либо по паролю, необходимо внести изменения в локальные групповые политики.

Заключение

В результате рассмотренной комбинации технологий DirectAccess, Windows To Go и BitLocker мы получаем решение, которые позволит:

удаленным сотрудникам чувствовать себя «как на рабочем месте», находясь при этом в любой точке мира, где есть компьютер, подключенный к сети Интернет;
не модифицировать и не дополнять программное обеспечение используемого компьютера;
сотрудникам работать в любом подразделении компании, на любом свободном компьютере, используя при этом предварительно настроенное программное обеспечение и необходимые файлы;
обеспечить конфиденциальность данных, хранящихся на переносном устройстве, в случае утери носителя либо попадания его к лицам, не имеющим санкционированного доступа к указанным данным и ресурсам корпоративной сети;
использовать встроенную возможность двухфакторной аутентификации с OTP;
подразделениям организации, отвечающие за техническую поддержку пользователей, администрирование системного и прикладного ПО, а так же обеспечение ИБ, не терять связь с удаленными системами и поддерживать их в актуальном состоянии;
управлять интернет-трафиком удаленных клиентов, направив его через корпоративный прокси-сервер.

В следующей главе я опишу практическую реализацию, описанной выше системы удаленного доступа.

В нынешнее время все больше и больше людей работают удаленно. Даже на сайтах по поиску работы, таких как HeadHunter, можно указать то, что человек ищет именно удаленную работу. Удаленная работа может состоять и в том, что человек вяжет свитеры на домашней машинке. Но нас интересует только удаленная работа на компьютере. Причем это не говорит о том, что человек может сделать что-либо на своем домашнем компьютер, вместо офисного. Я собираюсь рассказать Вам про технологию Direct Access, которая позволяет работать на удаленном компьютере, который, например, находится в офисе, с домашнего компьютера. Это технология подразумевает то, что на домашнем компьютере нет достаточных средств или ресурсов для полноценной работы. Домашний компьютер в такой ситуации — всего лишь промежуточное звено.

Что такое VPN?

Если Вы хотите перевод, то VPN — это virtual private network(виртуальная частная сеть). Данная сеть способна связать два компьютера таким образом, что один из них будет являться управляющим, а второй управляемым. Экран управляющего компьютера будет транслировать всё то, что происходит на экране управляемого компьютера(на самом деле на экране управляемого компьютера ничего не происходит, ведь будет неудобно если кто-то будет следить за Вашими действиями). Мышка и клавиатура управляющего компьютера будут транслировать соответствующие действия на управляемый компьютер. Таким образом управляющий компьютер является всего лишь манипулятором для управления удаленным компьютером. Все действия будут выполняться на удаленном компьютере.

Огромный плюс VPN-соединения в том, что человек может удаленно получить доступ к таким ресурсам как корпоративная почта, файловые диски, специальные программы и всё то, что доступно только в условиях корпоративной сети. Но технологии не стоят на месте и всё время развиваются. Поэтому выход в свет технологии Direct Access вполне понятен. Ниже я попытаюсь объяснить плюсы Direct Access по сравнению с обычным VPN-соединением.

Direct Access

Direct Access — это новая технология от компании Microsoft, которая впервые появилась в операционной системе Windows 7. Данная технология призвана заменить привычное VPN-соединение. Функционал Direct Access полностью копирует функционал VPN-соединений. Но кроме этого у новой технологии появились свои плюсы, иначе выпускать её на рынок было бы бессмысленным:

Автоматическое подключение к корпоративной сети. Технология Direct Access просит от пользователя только один раз настроить подключение к удаленному рабочему столу. В последующем Windows будет автоматически подключаться к корпоративной сети, стоит компьютеру подключиться к Интернету.
Технология Direct Access предоставляет системным администратором большую гибкость при настройке прав пользователей удаленного рабочего стола. Кроме обычных прав доступа к определенным ресурсам, в Direct Access можно дополнительно указать к каким ресурсам пользователь имеет доступ удаленно. По сравнению с возможностями VPN-соединения… тут вообще нечего сравнивать.
И самый большой плюс Direct Access в том, что данная технология двунаправленная. Если при обычных VPN-соединениях доступ односторонний, то есть управляющий компьютер имеет доступ к управляемому, то ситуация в Direct Access сильно поменялась. У серверов из корпоративной сети так же будет доступ к удаленному компьютеру, а это значит что компьютер не уйдет далеко от корпоративной политики, по прежнему будет получать обновления программного обеспечения. Естественно, что под политику будут подпадать только корпоративные компьютеры, думаю не будет ошибкой если сказать ноутбуки. Таким образом организация даже за пределами своих стен сможет контролировать и защищать корпоративные ценности. Кроме этого, двунаправленная система позволить скачивать файлы с одного компьютера на другой, и обратно. Привет VPN-соединению!

Как видите, технология Direct Access представляет больше возможностей по удаленной работе. Но у медали есть и оборотная сторона. В данном случае это довольно большой список требований для развертывания данной технологии. Но об этом позже.

В предыдущей части статьи, посвященной технологии DirectAccess, я расписал определения терминов, связанных с этой технологией, описал требования инфраструктуры, необходимые для развертывания DirectAccess внутри организации, описал технологию подключения к интрасети с помощью DirectAccess. В этой статье будет рассмотрено подключение клиента DirectAccess к ресурсам интрасети, описаны исключения брандмауэров и удаленное управление клиентами DirectAccess, а также будет рассказано о проверке подлинности DirectAccess. Отдельным разделом вынесено описание работы NAP - технологии Microsoft, предназначенной контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера. Также коротко описан принцип мониторинга DirectAccess.

Интернет-трафик и трафик интрасети

По умолчанию интернет-трафик не направляется через сервер DirectAccess

Используя параметры брандмауэра Windows в режиме повышенной безопасности, ИТ-администраторы получают возможность полностью управлять тем, какие приложения могут отправлять трафик и к каким подсетям могут обращаться клиентские компьютеры.

Исключения брандмауэра

В следующей таблице перечислены исходящие исключения брандмауэра для DirectAccess входящего и исходящего трафика сервера DirectAccess.

Например, исключения для интерфейса Интернета на брандмауэре будут иметь следующий вид:

[Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [protocol or port]

[IPv4 address of Internet-facing adapter on DirectAccess server] for [protocol or port] allowed outbound to [Any]

В следующей таблице приведены исключения брандмауэра для входящего и исходящего трафика интрасети и клиентов DirectAccess:

Имя	ISATAP	Native IPv6	IPv4 + NAT-PT
Protocol 41	X
TCP	X	X
UDP	X	X
ICMPV6	X
All IPv6 connectivity	X
UDP 500 IKE/AuthIP	X	X

Эта таблица показывает, что если есть брандмауэр между сервером DirectAccess и остальной частью интрасети, порты и протоколы, которые должны быть открыты на брандмауэре, зависят от типа подключения и используются клиентами DirectAccess для доступа к ресурсам в интрасети. Эти исключения разрешают весь IPv4 и IPv6 трафик и из сервера DirectAccess клиенты могут получить доступ на контроллеры домена Active Directory, CAS, и другие ресурсы интранета.

Удаленное управление клиентами DirectAccess

С DirectAccess, ИТ-администраторы имеют возможность удаленного администрирования клиентских компьютеров DirectAccess. Они могут устанавливать обновления безопасности, генерировать отчеты об аппаратной и программной конфигурации, устанавливать приложения и даже управлять компьютером клиента при помощи удаленного рабочего стола. С DirectAccess при связи с клиентами используется исключительно протокол IPv6, и любое приложение, которое администратор использует для подключения к удаленному клиенту DirectAccess должно поддерживать IPv6.

Кроме того, когда ИТ-администратор использует приложение, которое подключается к клиенту DirectAccess, используя Teredo как переходную технологию для отправки трафика IPv6 над IPv4, правило брандмауэра с включенным чекбоксом Edge Traversal для этого приложения должно быть разрешено и настроено на клиентском компьютере.

Необходимо воспользоваться брандмауэром Windows в режиме повышенной безопасности (используют редактор групповых политик). Перейти к правилам для входящих подключений, перейти на вкладку «Дополнительно» и выбрать «Allow edge traversal in Edge traversal».
Использовать опцию edge=yes в команде netsh advfirewall firewall при добавлении или изменении входящего правила.

Для компьютера, который управляется с помощью Teredo требуется удостовериться, что у компьютера есть разрешение для входящих эхо-запросов ICMPv6 и включено правило для Edge traversal. Команда Netsh.exe для этого правила применяется следующим образом:

В следующем примере показано, как включить правило для удаленного рабочего стола с edge traversal используя команду Netsh.exe:

Для дальнейшего обеспечения аутентификации и шифрования удаленного рабочего стола необходимо добавить следующее правило:

Чтобы использовать эти параметры, вы должны убедиться в том, что подключение обеспечивается при помощи транспорта политики IPSec, который обеспечивает связь между сервером управления и клиентом.

Доступные общественные имена

Подключение клиентов между DirectAccess

В зависимости от используемого приложения, клиенты DirectAccess могут непосредственно общаться с другими клиентами DirectAccess, когда они находятся за пределами интрасети. Приложения, которые позволяют клиентам непосредственно подключаться друг к другу, называются Peer-To-Peer (P2P) приложениями.

Многие P2P приложения предоставляют свои встроенные политики безопасности, как например, приложение Groove или Office Communicator, а некоторые приложения не предоставляют свои политики безопасности. Удаленный помощник, Удаленный рабочий стол, общий доступ к файлам и принтерам относятся ко второй категории. При помощи использования IPsec, DirectAccess позволяет этим приложениям безопасно общаться, даже если у них нет собственных механизмов безопасности.

Для безопасного подключения к определенным приложениям требуется:

Создать транспортные правила IPsec, связать их с правилами брандмауэра для каждого приложения, которое клиенты будут запускать, используя общие принципы политики:
Создать правила брандмауэра Windows для каждого приложения. Например, для удаленного рабочего стола правила будут выглядеть следующим образом:

Для настройки IPsec правила можно использовать команду Netsh:

Чтобы настроить правила брандмауэра Windows при помощи команды Netsh требуется сделать следующее:

В конце концов, дополнительная безопасность может быть настроена для предотвращения связи между клиентами DirectAccess при простое. Это можно обеспечить путем изменения правила безопасности соединения: action=requireinrequestout, которое может привести к потере всех не шифрующихся соединений хостов IPv6.

Исходящие подключения к другим клиентам DirectAccess будут обеспечены независимо от их приложений. Исходящие подключения к Интернету и клиентам, которые не подключены к DirectAccess будут не защищены.

Проверка подлинности DirectAccess

После прохождения аутентификации, компьютеры, которые присоединены к домену, имеют доступ только к серверам DNS и контроллерам домена. В свою очередь DirectAccess проверяет подлинность компьютера еще до того, как пользователь выполнит вход в систему. После того, как произведена проверка подлинности DirectAccess позволяет подключаться ко всем ресурсам, к которым есть разрешение на доступ пользователя в корпоративной сети.

DirectAccess поддерживает стандартную проверку подлинности пользователя с применением имени пользователя и пароля. Для повышения безопасности можно реализовать двухфакторную проверку подлинности с помощью смарт-карт. Как правило, для этого необходимо, чтобы пользователь помимо ввода своих учетных данных вставил свою смарт-карту. Проверка подлинности с помощью смарт-карт не позволит злоумышленнику, завладевшему паролем пользователя (но не его смарт-картой), подключиться к интрасети. Точно так же злоумышленник, завладевший смарт-картой, но не знающий пароля пользователя, не сможет пройти проверку подлинности

Использование смарт-карт в DirectAccess

После установки инфраструктуры PKI и смарт-карт, вы добавляете глобальные параметры режимов туннелирования IPsec и разрешения объектов групповой политики для сервера DirectAccess, указав идентификатор авторизации для входа в систему смарт-карты.

Путем соблюдения работы смарт-карт с IPsec аутентификацией, IPsec может быть настроен для поиска определенного SID клиента. IPsec настраивается для аутентификации пользователей на основе Kerberos, а также поиска конкретной аутентификации пользователей. Для аутентификации пользователей с использованием смарт-карт применяется известный SID (S-1-5-65-1), который отображается на основе смарт-карт входа в систему. Этот SID называется "сертификат организации", когда он сконфигурирован в глобальном туннелированном режиме настроек авторизации.

DirectAccess и защита доступа к сети (NAP)

Как говорилось в предыдущей части статьи, NAP (Network Access Protection) — технология компании Microsoft, предназначена контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера.

NAP работает как с серверными, так и с клиентскими компонентами. Чтобы заставить компоненты клиента и сервера работать вместе, нужно настроить параметры NAP как на клиентском компьютере, так и на сервере.

Компоненты сервера должны удостоверять работоспособность клиентских компьютеров, а также определять сетевые ресурсы, доступные клиентским компьютерам.

Клиентские компоненты отвечают за сбор данных о статусе работоспособности клиентских компьютеров, поддержание клиентских компьютеров в работоспособном состоянии, а также за передачу данных о статусе работоспособности клиентских компьютеров компонентам сервера.

Чтобы получить доступ к сети, клиент NAP сначала собирает сведения о работоспособности из локально установленного программного обеспечения, называемого агентами работоспособности системы (SHA). Каждый установленный на клиентском компьютере SHA предоставляет данные о текущих параметрах или действиях, для отслеживания которых он предназначен. Сведения из SHA собираются агентом NAP, который является выполняемой на локальном компьютере службой. Служба агента NAP выводит сводку по состоянию работоспособности компьютера и передает ее одному или нескольким клиентам принудительной защиты доступа к сети. Клиент принудительной защиты - это программное обеспечение, взаимодействующее с точками NAP для доступа к сети или связи с ней.

Если точка NAP работает под управлением Windows Server 2008 или Windows Server 2008 R2, она называется сервером NAP. Все серверы принудительного использования NAP должны работать под управлением Windows Server 2008 или Windows Server 2008 R2. В NAP с принудительным использованием 802.1X точкой NAP является коммутатор с поддержкой IEEE 802.1X или точка беспроводного доступа. Серверы принудительного использования NAP для методов принудительного использования IPsec, DHCP и шлюза RD также должны работать под управлением сервера политики сети, настроенного в качестве прокси-сервера RADIUS или сервера политики работоспособности NAP. Для NAP с принудительным использованием VPN не требуется установка NPS на сервере VPN

Сервер политики работоспособности NAP - это компьютер, работающий под управлением Windows Server 2008 или Windows Server 2008 R2, на котором установлена и настроена служба роли сервера политики сети (NPS), предназначенная для оценки работоспособности клиентских компьютеров NAP. Для всех технологий применения NAP требуется хотя бы один сервер политики работоспособности. Для оценки запросов на доступ к сети, отправленных клиентскими компьютерами NAP, сервер политики работоспособности NAP использует политики и параметры. Эти параметры и политики определены в следующих разделах.

Для соблюдения политик безопасности и работоспособности компьютеров и снижения риска распространения вредоносных программ клиентам, не отвечающим установленным требованиям, можно запретить доступ к ресурсам в интрасети и взаимодействие с компьютерами, которые соответствуют всем требованиям. Используя защиту доступа к сети (NAP) в сочетании с DirectAccess, ИТ-администраторы могут потребовать, чтобы клиенты DirectAccess были работоспособны и соответствовали корпоративным политикам и требованиям к работоспособности. Например, клиентские компьютеры могут подключаться к серверу DirectAccess, только если на них установлены последние обновления безопасности и сигнатуры вредоносных программ, а также выполнены другие требования к настройкам безопасности.

При использовании защиты доступа к сети в сочетании с DirectAccess клиенты DirectAccess с включенной защитой NAP должны предоставлять сертификаты работоспособности для проверки подлинности при установке начального подключения к серверу DirectAccess. Сертификат работоспособности содержит удостоверение компьютера и подтверждение работоспособности системы. Как описывалось выше, клиент DirectAccess с включенной защитой NAP получает сертификат работоспособности, отправляя информацию о состоянии своей работоспособности в центр регистрации работоспособности, расположенный в Интернет. Сертификат работоспособности должен быть получен до установки соединения с сервером DirectAccess.

Для авторизации уровня доступа клиентов, пытающихся подключиться к сети, в сетевых политиках используются условия, параметры и ограничения. Для обеспечения защиты доступа к сети (NAP) необходимо настроить хотя бы одну политику сети, которая будет применена к компьютерам, совместимым с требованиями к работоспособности, а также хотя бы одну политику сети, которая будет применена к несовместимым компьютерам. Можно также настроить сетевую политику, которая будет применена к компьютерам, не поддерживающим NAP. Чтобы указать уникальные требования к работоспособности для различных компьютеров или сегментов сети, настраиваются дополнительные сетевые политики.

При использовании защиты доступа к сети в сочетании с DirectAccess клиентский компьютер, не отвечающий требованиям работоспособности, который был заражен вредоносными программами, не может подключиться к интрасети через DirectAccess, что ограничивает возможности распространения вредоносного кода. Для DirectAccess не требуется защита доступа к сети (NAP), хотя ее использование рекомендуется.

Мониторинг DirectAccess

Windows Server 2008 R2 предоставляет встроенные возможности мониторинга сервера DirectAccess и его компонентов на основе оснастки мониторинга узла DirectAccess. Мониторинг узлов обеспечивает возможность мониторинга трафика деятельности, данных и управления счетчиками трафика и событий для различных компонентов сервера DirectAccess и статуса системы сервера DirectAccess.

Статус сервера DirectAccess

Статус сервера DirectAccess обновляется каждые 10 секунд путем опроса соответствующих компонентов. Пока состояние всех компонентов в порядке, статус сервера также в порядке. Если один или несколько компонентов сообщает о каком-либо предупреждении, состояние сервера также будет отображаться с предупреждением. Если какой-либо из компонентов работает с ошибкой, в статусе сервера будет отображаться ошибка. Если одновременно присутствуют как предупреждения, так и ошибки, то состояние сервера будет отображаться с ошибкой.

На следующем рисунке показан пример мониторинга узла DirectAccess:

Компоненты сервера DirectAccess

Заключение

В этой, заключительной части статьи, посвященной технологии DirectAccess рассмотренно подключение клиента DirectAccess к ресурсам интрасети, описаны исключения брандмауэров и удаленное управление клиентами DirectAccess. Отдельными разделами описан процесс проверки подлинности DirectAccess, описание работы NAP и принцип мониторинга DirectAccess на сервере Windows Server 2008 R2.

Статья опубликована в рамках конкурса "Наш выбор - Windows 7!". Оригинальный стиль автора сохранен.

Читайте также: