用DirectAccess提高企業(yè)安全性方法

微軟在Windows Server 2008 R2和Windows 7中引入了DirectAccess功能，它是專為替代VPN連接而設(shè)計(jì)的下一代網(wǎng)絡(luò)連接。

雖然DirectAccess的出現(xiàn)已經(jīng)有一段時(shí)間了，但它是一個(gè)非常容易被忽視的功能，因?yàn)槲④泴?duì)它的定位是更好地方便終端用戶。DirectAccess不需要用戶手動(dòng)連接VPN，用戶只需打開瀏覽器，僅此而已，系統(tǒng)就會(huì)自動(dòng)連接到企業(yè)網(wǎng)絡(luò)。

這個(gè)功能很棒，但更令人高興的是：DirectAccess還可以提高企業(yè)的安全性。

客戶端計(jì)算機(jī)的遵從性

傳統(tǒng)VPN連接最大的缺點(diǎn)之一是它難以控制最終用戶如何進(jìn)行VPN連接。任何具有基本計(jì)算機(jī)技能的用戶都可以進(jìn)行VPN的配置。這可能發(fā)生在一臺(tái)企業(yè)筆記本電腦、家用電腦、朋友的電腦，甚至是一臺(tái)公共電腦上。

由此產(chǎn)生的問題是，通過VPN連接到企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)操作系統(tǒng)可能已經(jīng)過時(shí)，而且從來沒有采用任何安全更新。計(jì)算機(jī)甚至可能感染了惡意軟件，或有其它問題。

此前，微軟已經(jīng)認(rèn)識(shí)到這些問題，并引入了Windows Server 2008網(wǎng)絡(luò)策略服務(wù)器來為接入到公司網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備進(jìn)行健康狀況的檢查。系統(tǒng)健康檢查的目的是在允許VPN客戶端連接到企業(yè)的生產(chǎn)網(wǎng)絡(luò)之前執(zhí)行一些基本的健康檢查任務(wù)。例如，網(wǎng)絡(luò)策略服務(wù)器需要對(duì)VPN客戶端進(jìn)行檢查，以確保它們的Windows防火墻處于開啟狀態(tài)。

系統(tǒng)健康檢查有助于提高安全性，它可以(而且應(yīng)該)結(jié)合DirectAccess進(jìn)行使用。但單靠健康驗(yàn)證只能保證有限的安全性。用戶仍有可能從任何一臺(tái)符合最低系統(tǒng)健康要求的計(jì)算機(jī)處建立VPN連接。了解到企業(yè)數(shù)據(jù)可能被存儲(chǔ)或緩存到這樣一臺(tái)機(jī)器上，你就知道對(duì)用戶建立VPN連接的計(jì)算機(jī)進(jìn)行控制的重要性了。如果你的企業(yè)需要滿足合規(guī)性要求，這種安全要求將是必須的。

DirectAccess采用了幾種不同的方式來解決這個(gè)問題。首先，DirectAccess只適用于Windows 7，所以不會(huì)有人使用過時(shí)的Windows XP建立DirectAccess連接。更重要的是在DirectAccess服務(wù)器和客戶端計(jì)算機(jī)之間需要相互進(jìn)行驗(yàn)證。這種身份驗(yàn)證基于數(shù)字證書，這就意味著，如果客戶端計(jì)算機(jī)沒有部署需要的證書，它就不能與DirectAccess服務(wù)器建立連接。

客戶端計(jì)算機(jī)的維護(hù)

另一種使用DirectAccess來提高安全性的方法是讓客戶端計(jì)算機(jī)的維護(hù)變得更加容易。在此之前，如果管理員需要對(duì)客戶端計(jì)算機(jī)應(yīng)用安全補(bǔ)丁或更新病毒庫，他們必須等用戶將計(jì)算機(jī)帶進(jìn)辦公室或者連接VPN才可以進(jìn)行。如果使用DirectAccess，一旦用戶連接到網(wǎng)絡(luò)，它們會(huì)自動(dòng)建立一個(gè)DirectAccess連接，這可以讓客戶端計(jì)算機(jī)即使在用戶不登錄的情況下也時(shí)刻保持更新。

那些認(rèn)為DirectAccess通過執(zhí)行自動(dòng)驗(yàn)證來建立連接實(shí)際上會(huì)降低企業(yè)安全性的說法毫無根據(jù)。人們的擔(dān)憂可能會(huì)是，如果部署有DirectAccess功能的筆記本電腦一旦被盜，它將會(huì)把企業(yè)網(wǎng)絡(luò)的大門敞開。然而，這根本不是DirectAccess的工作方式。

在任何Windows域的網(wǎng)絡(luò)中都有兩種類型的身份驗(yàn)證發(fā)生：用戶驗(yàn)證和計(jì)算機(jī)身份驗(yàn)證。當(dāng)Windows自動(dòng)建立DirectAccess連接時(shí)，執(zhí)行的是計(jì)算機(jī)身份驗(yàn)證。這使得組策略和更新被應(yīng)用到計(jì)算機(jī)，但它并沒有為訪問企業(yè)資源提供用戶身份。要訪問企業(yè)資源，用戶仍然需要通過輸入自己的用戶名和密碼，或通過智能卡來進(jìn)行身份驗(yàn)證。

額外的客戶端限制

只有運(yùn)行Windows 7并已部署所需證書的客戶端計(jì)算機(jī)才能夠建立一個(gè)DirectAccess連接。那么如何阻止用戶將計(jì)算機(jī)證書復(fù)制到另一臺(tái)計(jì)算機(jī)，然后從未經(jīng)授權(quán)的計(jì)算機(jī)建立一個(gè)DirectAccess連接呢？

DirectAccess對(duì)可以建立DirectAccess連接的計(jì)算機(jī)實(shí)行完全掌控�？蛻舳擞�(jì)算機(jī)不但需要一個(gè)特殊的的證書，而且必須加入域并且是具有DirectAccess權(quán)限的安全組成員。只有這樣，才能確保建立DirectAccess連接的計(jì)算機(jī)是經(jīng)過授權(quán)的計(jì)算機(jī)。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]