Что может дать DirectAccess пользователям Windows 7?

19.11.2010
Многим сотрудникам по разным причинам необходим удаленный доступ к корпоративной сети. Традиционно для этого применяются VPN. Тем не менее переход на Windows 7 и использование Windows Server 2008 дает возможность организовать работу удаленно за счет технологии DirectAccess. В чем ее особенности и что она может дать компании?
Удаленную схему работы можно считать одним из современных трендов. Достаточно часто специалисты, которые немного приболели, не вызывают врача и не берут больничный, а остаются на пару дней работать дома. Кроме того, многие менеджеры, находясь в командировке, тем не менее, должны читать корпоративную почту, писать отчеты и пр. Помимо всего прочего, некоторые компании по тем или иным причинам (желание работника, проживание его в другом городе, отсутствие места в офисе, нехватка финансов и т.п.) держат в штате "удаленных" сотрудников. Для эффективной работы им необходимо получить доступ к корпоративному серверу и возможность осуществлять "на расстоянии" все то, что они обычно делают в офисе: читать электронную почту, работать с "закрытыми" папками, формировать аналитические отчеты. При использовании рабочих станций под управлением Windows 7 и серверов с ОС Windows Server 2008 R2 такой доступ позволяет осуществить технология Direct Access.

Чем не VPN?

Основное предназначение DirectAccess такое же, как у VPN, а именно — предоставление защищенного соединения с корпоративной сетью для удаленных пользователей, работающих через публичные сети (чаще всего — интернет). Тем не менее, в отличие от VPN, здесь вся процедура осуществляется в фоновом режиме, поэтому пользователю не придется вручную осуществлять вход после перезагрузки компьютера или при обрыве связи.
Особенность Direct Access VPN
Компьютер клиента подключается автоматически + -
Работает со всеми фаерволами + -
Поддерживает выборочную аутентификацию и шифрование + -
Поддерживает управление клиентскими ПК + -
Совместим с Windows Vista и более ранними версиями Windows, установленными на клиентских ПК - +
Поддерживает работу с другими ОС - +
Работает с ПК, не связанными с сервером - +
Не требует установки Windows Server 2008 на сервер - +

С помощью DirectAccess устанавливается защищенное двунаправленное соединение с использованием протоколов IPv6 и IPSec. При этом IPSec позволяет применять для шифрования передаваемого трафика алгоритмы Triple Data Encryption Standard (3DES) или Advanced Encryption Standard (AES). Использование двух протоколов является еще одним преимуществом перед привычной VPN – это гарантирует доступ в сеть даже в том случае, когда провайдер по какой-либо причине заблокировал трафик IPsec.

Схема работы с DirectAccess достаточно проста: компьютер пользователя соединяется с сервером DirectAccess, который выступает в роли своеобразного шлюза для доступа к остальным корпоративным ресурсам. При этом клиент DirectAccess, являющийся частью Windows 7, устанавливает два соединения с использованием IPSec ESP (протокол безопасного закрытия содержания - Encapsulating Security Payload): IPsec ESP тоннель с использованием сертификата компьютера для обеспечения соединения с корпоративным DNS сервером и контроллером домена, который позволяет применять к компьютеру групповые политики до входа пользователя в ОС, и IPsec ESP тоннель с одновременным использованием сертификата компьютера и учетных данных пользователя для предоставления доступа к внутренним корпоративным ресурсам и приложениям.

При большом количестве внешних пользователей для серверов DirectAccess могут применяться технологии кластеризации и балансировки нагрузки.

Хотелось бы отметить еще одно преимущество DirectAccess перед VPN. При использовании данной технологии можно отделить "корпоративный" трафик от остального, предназначенного для внешних серверов. Это позволяет снизить нагрузку на корпоративные сервера, поскольку дает возможность перенаправить интернет-трафик в обход установленных защищенных соединений.

В чем особенности?

Direct Access предоставляет компании возможность проверить состояние подключенных к сети компьютеров - с помощью технологий NAP (Network Access Protection) и NAC (Network Access Control). Это может стать дополнительной гарантией безопасности, поскольку дает возможность убедиться в том, что на компьютере удаленного пользователя нет вредоносного ПО, установлены все необходимые обновления и пр. Использование NAP и NAC совместно с DirectAccess не является обязательным условием, однако крайне рекомендуется для обеспечения максимального уровня безопасности.

Особенность DirectAccess заключается в том, что аутентификация компьютера осуществляется до входа пользователя в ОС и при этом предоставляется доступ к DNS и контроллерам домена. При последующей аутентификации пользователь получает право доступа к другим внутренним ресурсам компании. При этом помимо стандартного ввода пользователем имени и пароля, предполагается возможность использования двухфакторной аутентификации, например с помощью смарт-карт, что существенно снижает вероятность компрометации учетных данных пользователя. Что интересно, в данном случае смарт-карты могут применяться для аутентификации пользователя вне зависимости от используемого им компьютера, аутентификации компьютера вне зависимости от работающего за ним пользователя и дополнительной аутентификации при доступе к конкретным внутренним ресурсам.

Доступ ограничен?

Рабочие станции, использующие DirectAccess, могут подключаться к сети компании двумя способами: End to End (подключение к выборочному количеству серверов) и End to Enge (полный доступ к ресурсами сети компании).

Вариант выборочного подключения (End to End), безусловно, безопаснее полного доступа, однако он более требователен к ресурсам. При такой схеме подключения клиент DirectAccess устанавливает IPSec соединение через сервер DirectAccess к каждому из серверов приложений, к которым у него имеются права доступа. Это обеспечивает высочайший уровень безопасности, поскольку контроль доступа можно настроить на сервере DirectAccess. Однако в таком случае необходимо, чтобы все серверные ОС были обновлены до Windows Server 2008 и при этом во всей "серверной" сети использовались бы оба протокола: и IPv6 и IPSec. По этой причине в настоящее время он кажется менее интересным для пользователей.

При использовании полного доступа к корпоративной сети (End to Edge) клиентская рабочая станция устанавливает соединение c сервером DirectAccess. Далее сервер Direct Access, который является как бы шлюзом IPSec, переадресует незащищенный трафик на внутренние сервера компании. В таком случае нет необходимости в том, чтобы во всей сети использовались протоколы IPv6 и IPSec – "шлюзовой" сервер "связывается" с другими серверами, находящимися в интрасети, используя всем привычный протокол IPv4.

В целом, технология DirectAccess позволяет организовать более простой, удобный и безопасный доступ к корпоративной сети для пользователей Windows 7 и Windows Server 2008.


Компания MICROS, золотой партнер Microsoft и обладатель компетенции "Licensing Solutions" – со специализацией License Delivery подтверждающей квалификацию специалистов по оценке, выбору и распространению решений по корпоративному лицензированию, предлагает Вам всю линейку продуктов софтверного гиганта. Наши специалисты, имеющие статусы MSS (Microsoft Sales Specialist), подберут для Вас оптимальную программу лицензирования, проконсультируют Вас о новинках программного обеспечения Microsoft и помогут грамотно развернуть IT инфрастуктуру Вашего предприятия.