|
微軟在Windows Server 2008 R2和Windows 7中引入了DirectAccess功能�,它是專為替代VPN連接而設(shè)計的下一代網(wǎng)絡(luò)連接����。
雖然DirectAccess的出現(xiàn)已經(jīng)有一段時間了���,但它是一個非常容易被忽視的功能,因為微軟對它的定位是更好地方便終端用戶�。DirectAccess不需要用戶手動連接VPN,用戶只需打開瀏覽器����,僅此而已,系統(tǒng)就會自動連接到企業(yè)網(wǎng)絡(luò)�。
這個功能很棒,但更令人高興的是:DirectAccess還可以提高企業(yè)的安全性�����。
客戶端計算機的遵從性
傳統(tǒng)VPN連接最大的缺點之一是它難以控制最終用戶如何進行VPN連接�。任何具有基本計算機技能的用戶都可以進行VPN的配置。這可能發(fā)生在一臺企業(yè)筆記本電腦�、家用電腦、朋友的電腦���,甚至是一臺公共電腦上�����。
由此產(chǎn)生的問題是�,通過VPN連接到企業(yè)網(wǎng)絡(luò)的計算機操作系統(tǒng)可能已經(jīng)過時,而且從來沒有采用任何安全更新����。計算機甚至可能感染了惡意軟件,或有其它問題��。
此前�����,微軟已經(jīng)認識到這些問題��,并引入了Windows Server 2008網(wǎng)絡(luò)策略服務(wù)器來為接入到公司網(wǎng)絡(luò)的計算機設(shè)備進行健康狀況的檢查��。系統(tǒng)健康檢查的目的是在允許VPN客戶端連接到企業(yè)的生產(chǎn)網(wǎng)絡(luò)之前執(zhí)行一些基本的健康檢查任務(wù)��。例如����,網(wǎng)絡(luò)策略服務(wù)器需要對VPN客戶端進行檢查����,以確保它們的Windows防火墻處于開啟狀態(tài)�。
系統(tǒng)健康檢查有助于提高安全性���,它可以(而且應(yīng)該)結(jié)合DirectAccess進行使用�。但單靠健康驗證只能保證有限的安全性�。用戶仍有可能從任何一臺符合最低系統(tǒng)健康要求的計算機處建立VPN連接。了解到企業(yè)數(shù)據(jù)可能被存儲或緩存到這樣一臺機器上��,你就知道對用戶建立VPN連接的計算機進行控制的重要性了���。如果你的企業(yè)需要滿足合規(guī)性要求��,這種安全要求將是必須的��。
DirectAccess采用了幾種不同的方式來解決這個問題����。首先�,DirectAccess只適用于Windows 7,所以不會有人使用過時的Windows XP建立DirectAccess連接����。更重要的是在DirectAccess服務(wù)器和客戶端計算機之間需要相互進行驗證。這種身份驗證基于數(shù)字證書,這就意味著�����,如果客戶端計算機沒有部署需要的證書�,它就不能與DirectAccess服務(wù)器建立連接。
客戶端計算機的維護
另一種使用DirectAccess來提高安全性的方法是讓客戶端計算機的維護變得更加容易��。在此之前����,如果管理員需要對客戶端計算機應(yīng)用安全補丁或更新病毒庫,他們必須等用戶將計算機帶進辦公室或者連接VPN才可以進行�����。如果使用DirectAccess�,一旦用戶連接到網(wǎng)絡(luò)�����,它們會自動建立一個DirectAccess連接��,這可以讓客戶端計算機即使在用戶不登錄的情況下也時刻保持更新��。
那些認為DirectAccess通過執(zhí)行自動驗證來建立連接實際上會降低企業(yè)安全性的說法毫無根據(jù)。人們的擔憂可能會是�,如果部署有DirectAccess功能的筆記本電腦一旦被盜,它將會把企業(yè)網(wǎng)絡(luò)的大門敞開����。然而,這根本不是DirectAccess的工作方式�����。
在任何Windows域的網(wǎng)絡(luò)中都有兩種類型的身份驗證發(fā)生:用戶驗證和計算機身份驗證��。當Windows自動建立DirectAccess連接時��,執(zhí)行的是計算機身份驗證��。這使得組策略和更新被應(yīng)用到計算機�,但它并沒有為訪問企業(yè)資源提供用戶身份。要訪問企業(yè)資源���,用戶仍然需要通過輸入自己的用戶名和密碼����,或通過智能卡來進行身份驗證����。
額外的客戶端限制
只有運行Windows 7并已部署所需證書的客戶端計算機才能夠建立一個DirectAccess連接����。那么如何阻止用戶將計算機證書復(fù)制到另一臺計算機�����,然后從未經(jīng)授權(quán)的計算機建立一個DirectAccess連接呢��?
DirectAccess對可以建立DirectAccess連接的計算機實行完全掌控����������?蛻舳擞嬎銠C不但需要一個特殊的的證書�����,而且必須加入域并且是具有DirectAccess權(quán)限的安全組成員�����。只有這樣����,才能確保建立DirectAccess連接的計算機是經(jīng)過授權(quán)的計算機。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
