Что может дать DirectAccess пользователям Windows 7?
Удаленную схему работы можно считать одним из современных трендов. Достаточно часто специалисты, которые немного приболели, не вызывают врача и не берут больничный, а остаются на пару дней работать дома. Кроме того, многие менеджеры, находясь в командировке, тем не менее, должны читать корпоративную почту, писать отчеты и пр. Помимо всего прочего, некоторые компании по тем или иным причинам (желание работника, проживание его в другом городе, отсутствие места в офисе, нехватка финансов и т.п.) держат в штате «удаленных» сотрудников. Для эффективной работы им необходимо получить доступ к корпоративному серверу и возможность осуществлять «на расстоянии» все то, что они обычно делают в офисе: читать электронную почту, работать с «закрытыми» папками, формировать аналитические отчеты. При использовании рабочих станций под управлением Windows 7 и серверов с ОС Windows Server 2008 R2 такой доступ позволяет осуществить технология Direct Access.
Основное предназначение DirectAccess такое же, как у VPN, а именно — предоставление защищенного соединения с корпоративной сетью для удаленных пользователей, работающих через публичные сети (чаще всего — интернет). Тем не менее, в отличие от VPN, здесь вся процедура осуществляется в фоновом режиме, поэтому пользователю не придется вручную осуществлять вход после перезагрузки компьютера или при обрыве связи.
DirectAccess vs. VPN
Особенность
Direct Access
VPN
Компьютер клиента подключается автоматически
+
—
Работает со всеми фаерволами
+
—
Поддерживает выборочную аутентификацию и шифрование
+
—
Поддерживает управление клиентскими ПК
+
—
Совместим с Windows Vista и более ранними версиями Windows, установленными на клиентских ПК
—
+
Поддерживает работу с другими ОС
—
+
Работает с ПК, не связанными с сервером
—
+
Не требует установки Windows Server 2008 на сервер
—
+
Источник: Microsoft, 2009
С помощью DirectAccess устанавливается защищенное двунаправленное соединение с использованием протоколов IPv6 и IPSec. При этом IPSec позволяет применять для шифрования передаваемого трафика алгоритмы Triple Data Encryption Standard (3DES) или Advanced Encryption Standard (AES). Использование двух протоколов является еще одним преимуществом перед привычной VPN – это гарантирует доступ в сеть даже в том случае, когда провайдер по какой-либо причине заблокировал трафик IPsec.
При большом количестве внешних пользователей для серверов DirectAccess могут применяться технологии кластеризации и балансировки нагрузки.
Хотелось бы отметить еще одно преимущество DirectAccess перед VPN. При использовании данной технологии можно отделить «корпоративный» трафик от остального, предназначенного для внешних серверов. Это позволяет снизить нагрузку на корпоративные сервера, поскольку дает возможность перенаправить интернет-трафик в обход установленных защищенных соединений.
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Этот раздел можно использовать для краткого обзора DirectAccess, включая серверные и клиентские операционные системы, поддерживающие DirectAccess, а также ссылки на дополнительные документы DirectAccess для Windows Server 2016.
Помимо этого раздела, доступна следующая документация по DirectAccess.
DirectAccess позволяет удаленным пользователям подключаться к сетевым ресурсам Организации без необходимости в традиционных подключениях к виртуальной частной сети (VPN). При использовании подключений DirectAccess удаленные клиентские компьютеры всегда подключены к вашей организации. удаленным пользователям не нужно запускать и прекращать подключения, как это необходимо для VPN-подключений. Кроме того, ИТ администраторы могут управлять клиентскими компьютерами DirectAccess, когда они работают и подключены к Интернету.
Не пытайтесь развернуть удаленный доступ на виртуальной машине (ВМ) в Microsoft Azure. использование удаленного доступа в Microsoft Azure не поддерживается. удаленный доступ на виртуальной машине Azure нельзя использовать для развертывания VPN, directaccess или любой другой функции удаленного доступа в Windows Server 2016 или более ранних версиях Windows Server. дополнительные сведения см. в статье поддержка серверного программного обеспечения майкрософт для Microsoft Azure виртуальных машин.
DirectAccess обеспечивает поддержку только для присоединенных к домену клиентов, включающих поддержку операционной системы для DirectAccess.
Следующие серверные операционные системы поддерживают DirectAccess.
все версии Windows Server 2016 можно развернуть в качестве клиента directaccess или сервера directaccess.
все версии Windows Server 2012 R2 можно развернуть в качестве клиента directaccess или сервера directaccess.
все версии Windows Server 2012 можно развернуть в качестве клиента directaccess или сервера directaccess.
вы можете развернуть все версии Windows server 2008 R2 в качестве клиента directaccess или сервера directaccess.
Следующие клиентские операционные системы поддерживают DirectAccess.
Windows 10 Корпоративная
Long Term Servicing Branch Windows 10 Корпоративная 2015 (LTSB)
Предварительные требования для развертывания DirectAccess
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В следующей таблице перечислены предварительные требования, необходимые для использования мастеров настройки для развертывания DirectAccess.
Сценарий
Предварительные требования
Развертывание одного сервера DirectAccess с помощью мастера начало работы
-Windows брандмауэр должен быть включен для всех профилей
— Поддерживается только для клиентов, использующих Windows 10®, Windows® 8 и Windows® 8,1 Enterprise.
— Инфраструктура открытых ключей не требуется.
— Не поддерживается для развертывания двухфакторной проверки подлинности. Для проверки подлинности требуются учетные данные домена.
— Автоматически развертывает DirectAccess на всех мобильных компьютерах в текущем домене.
— Трафик к Интернету не проходит через DirectAccess. Конфигурация принудительного туннелирования не поддерживается.
— Сервер DirectAccess — это сервер сетевых расположений.
— Защита доступа к сети (NAP) не поддерживается.
-изменение политик с помощью компонента, отличного от консоли управления directaccess, или командлетов Windows PowerShell не поддерживается.
— для многосайтовой конфигурации, сейчас или в будущем, сначала следуйте указаниям в статье развертывание одного сервера directaccess с дополнительными Параметры.
Развертывание одного сервера DirectAccess с расширенными параметрами
— Инфраструктура открытых ключей должна быть развернута. Дополнительные сведения см. в статье руководство по тестированию мини-модуль: базовый PKI для Windows Server 2012.
-Windows брандмауэр должен быть включен для всех профилей.
Следующие серверные операционные системы поддерживают DirectAccess.
— можно развернуть все версии Windows Server 2016 как клиент directaccess или сервер directaccess. — можно развернуть все версии Windows Server 2012 R2 в качестве клиента directaccess или сервера directaccess. — можно развернуть все версии Windows Server 2012 как клиент directaccess или сервер directaccess. — можно развернуть все версии Windows server 2008 R2 в качестве клиента directaccess или сервера directaccess.
Следующие клиентские операционные системы поддерживают DirectAccess.
-Windows 10® Enterprise -Windows 10® Enterprise 2015 Long Term Servicing Branch (LTSB) -Windows® 8 и 8,1 Enterprise -Windows® 7 Ultimate -Windows® 7 Enterprise
— Конфигурация принудительного туннелирования не поддерживается при проверке подлинности Кербпрокси.
-изменение политик с помощью компонента, отличного от консоли управления directaccess, или командлетов Windows PowerShell не поддерживается.
Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория
Microsoft DirectAccess 2012
Описание ключевых используемых технологий начну с Microsoft DirectAccess, так как она будет основным компонентом создаваемой системы мобильного удаленного доступа к корпоративной среде. Рассматривать имеет смысл наиболее актуальную версию на базе Microsoft Windows Server 2012 R2 и клиентской операционной систем Windows 8.1.
Технология DirectAccess впервые была представлена в качестве компонента Micrisoft Windows Server 2008 R2 и предназначалась для организации прозрачного доступа удаленных компьютеров к внутренним ресурсам сети компании. DirectAccess позволяет удаленным пользователям полноценно использовать ресурсы корпоративной сети и пользоваться сервисами домена.
Также, технология DirectAccess позволяет сотрудникам различных технических подразделений (Help Desk, администраторы ИТ и ИБ), управлять учетными записями удаленных пользователей, компонентами антивирусной защиты, локальными политиками безопасности, осуществлять мониторинг своевременной установки обновлений операционной системы и прикладных программ. Это позволяет поддерживать удаленную систему в актуальном с точки зрения информационной безопасности состоянии.
По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети, но разница есть, и довольно существенна. DirectAccess на базе Windows Server 2012 делает отличия между компьютерами внутренней корпоративной сети и компьютерами удаленных клиентов менее заметными.
Ниже приведу сравнение нового DirectAccess с технологией VPN.
Клиент DirectAccess устанавливает два туннеля, которые являются ключом к разносторонности этого метода дистанционного доступа. Это туннели IPsec ESP — полезная нагрузка со встроенной защитой, которые аутентифицируются и шифруются для обеспечения конфиденциальности.
Туннель компьютера устанавливается первым, когда запускается клиент DirectAccess. Этот туннель аутентифицируется только сертификатом компьютера и обеспечивает доступ к DNS интрасети и контроллерам доменов. Этот туннель также используется для загрузки групповой политики компьютера и запроса аутентификации пользователя.
Туннель пользователя аутентифицируется сертификатом компьютера и регистрационными данными пользователя и обеспечивает доступ к ресурсам интрасети. Этот туннель также применяется для загрузки групповой политики пользователей.
Оба эти туннеля устанавливаются прозрачно для пользователя. Для установки дистанционного доступа пользователю не нужно вводить регистрационную информацию помимо той, что он вводит при входе в Windows.
Существует три модели работы DirectAccess:
Одним из преимуществ DirectAccess является способность отделять трафик интрасети от трафика сети Интернет, что положительно сказывается на пропускной способности корпоративной сети. Однако, в некоторых случаях, администраторы могут направлять весь трафик через соединение DirectAccess. Например, для полного контроля Интернет трафика удаленного пользователя.
Рассмотрим процесс подключения клиента к серверу DirectAccess.
Компьютер становится клиентом DirectAccess после применения к нему групповых политик, передающих ему настройки для подключения через DA. Групповые политики создаются на этапе конфигурирования сервера DirectAccess и распространяются на группы безопасности в Active Directory.
Находясь вне корпоративной сети, клиент использует внешние DNS-серверы (местного интернет провайдера), на которых не указано, как преобразовывать имя NLS сервера. Если NLS сервер обнаружен, клиент работает в сети как обычная рабочая станция, то есть IPsec не применяется. В случае, когда клиент находится вне корпоративной сети, при попытке установить соединение с сервером NLS по DNS-имени, которое добавлено в исключения NRPT, клиент обращается к DNS-серверам, указанным в настройках сетевого адаптера. Так как при этом используются DNS-сервера Интернет-провайдера, на которых не прописано правило преобразования DNS-имени NLS сервера, клиент получает отказ в разрешении имени. Получив отказ от DNS сервера, клиентский компьютер применяет политики IPsec и обращается к серверу DirectAccess по его DNS-имени, которое должно быть прописано во внешней зоне корпоративного домена.
Клиент DirectAccess устанавливает туннель на сервер DirectAccess, используя IPv6. Если между ними находится сеть IPv4, то клиент использует протокол Teredo или 6to4 для инкапсуляции IPv6 в IPv4, либо попытается подключиться с помощью протокола IP-HTTPS. Установив связь, клиент и сервер DirectAccess выполняют взаимную аутентификацию в процессе установки туннеля компьютера IPsec. Далее клиент DirectAccess подключается к контроллеру домена для получения групповых политик.
Далее пользователь DirectAccess входит в систему либо применяет регистрационные данные уже вошедшего пользователя в сочетании с сертификатами, чтобы установить туннель пользователя IPsec. Групповая политика пользователя применяется к клиенту DirectAccess. Сервер DirectAccess начинает пересылать трафик от клиента DirectAccess на авторизованные ресурсы интрасети.
Windows To Go
В связи с тем, что для DirectAccess необходимо, чтобы компьютер клиента был включен в корпоративный домен, этот вариант не подходит пользователям, использующим личные компьютеры. Но есть технология, Windows To Go применение которой позволит использовать DirectAccess на любом компьютере, отвечающим минимальным требованиям запуска Windows 8 и подключенном к Интернет.
Технология Windows To Go – одна из новых возможностей Windows 8, позволяющая создать должным образом сконфигурированный образ ОС с установленным необходимым ПО, который будет загружаться непосредственно с USB-носителя вне зависимости от того, какая ОС установлена на компьютере.
Различия между Windows To Go и типовой установкой Windows:
Существует список сертифицированных для использования с WTG USB-носителей:
При выборе компьютера для использования в качестве узла рабочего пространства Windows To Go, необходимо учитывать следующие критерии:
Существует три способа развертывания WTG:
Данный файл можно получить несколькими способами:
BitLocker
В случае применения Windows To Go шифрование отчуждаемого носителя, используя технологию BitLocker Drive Encryption, считаю обязательным требованием, так как на диске может быть записана конфиденциальная информация, содержащая данные, которые можно отнести к коммерческой тайне или к персональным данные партнеров, сотрудников или клиентов компании, BitLocker (полное название BitLocker Drive Encryption) – технология защиты данных путём полного шифрования диска, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 При помощи BitLocker можно зашифровать Логический диск, SD карту или USB-носитель. При этом поддерживаются алгоритмы шифрования AES 128 и AES 256.
Сам ключ может храниться на USB-носителе, в аппаратном модуле TPM или на жестком диске.
Для получения ключа из TPM, может быть настроен дополнительный способ аутентификации пользователя при помощи USB-ключа и/или пароля.
В случае, если доверенный платформенный модуль отсутствует на используемой материнской плате, либо если в качестве загрузки и объекта шифрования будет использоваться USB-носитель с Windows To Go, ключ шифрования необходимо хранить на внешнем USB-носителе либо вместо ключа шифрования можно будет использовать пароль. Для того чтобы настроить доступ к зашифрованному носителю по USB-носителю либо по паролю, необходимо внести изменения в локальные групповые политики.
Заключение
В результате рассмотренной комбинации технологий DirectAccess, Windows To Go и BitLocker мы получаем решение, которые позволит:
В следующей главе я опишу практическую реализацию, описанной выше системы удаленного доступа.
В нынешнее время все больше и больше людей работают удаленно. Даже на сайтах по поиску работы, таких как HeadHunter, можно указать то, что человек ищет именно удаленную работу. Удаленная работа может состоять и в том, что человек вяжет свитеры на домашней машинке. Но нас интересует только удаленная работа на компьютере. Причем это не говорит о том, что человек может сделать что-либо на своем домашнем компьютер, вместо офисного. Я собираюсь рассказать Вам про технологию Direct Access, которая позволяет работать на удаленном компьютере, который, например, находится в офисе, с домашнего компьютера. Это технология подразумевает то, что на домашнем компьютере нет достаточных средств или ресурсов для полноценной работы. Домашний компьютер в такой ситуации — всего лишь промежуточное звено.
Что такое VPN?
Если Вы хотите перевод, то VPN — это virtual private network(виртуальная частная сеть). Данная сеть способна связать два компьютера таким образом, что один из них будет являться управляющим, а второй управляемым. Экран управляющего компьютера будет транслировать всё то, что происходит на экране управляемого компьютера(на самом деле на экране управляемого компьютера ничего не происходит, ведь будет неудобно если кто-то будет следить за Вашими действиями). Мышка и клавиатура управляющего компьютера будут транслировать соответствующие действия на управляемый компьютер. Таким образом управляющий компьютер является всего лишь манипулятором для управления удаленным компьютером. Все действия будут выполняться на удаленном компьютере.
Огромный плюс VPN-соединения в том, что человек может удаленно получить доступ к таким ресурсам как корпоративная почта, файловые диски, специальные программы и всё то, что доступно только в условиях корпоративной сети. Но технологии не стоят на месте и всё время развиваются. Поэтому выход в свет технологии Direct Access вполне понятен. Ниже я попытаюсь объяснить плюсы Direct Access по сравнению с обычным VPN-соединением.
Direct Access
Direct Access — это новая технология от компании Microsoft, которая впервые появилась в операционной системе Windows 7. Данная технология призвана заменить привычное VPN-соединение. Функционал Direct Access полностью копирует функционал VPN-соединений. Но кроме этого у новой технологии появились свои плюсы, иначе выпускать её на рынок было бы бессмысленным:
Как видите, технология Direct Access представляет больше возможностей по удаленной работе. Но у медали есть и оборотная сторона. В данном случае это довольно большой список требований для развертывания данной технологии. Но об этом позже.
