微软在Windows Server 2008 R2和Windows 7中引入了DirectAccess功能,它是专为替代VPN连接而设计的下一代网络连接。
虽然DirectAccess的出现已经有一段时间了,但它是一个非常容易被忽视的功能,因为微软对它的定位是更好地方便终端用户。DirectAccess不需要用户手动连接VPN,用户只需打开浏览器,仅此而已,系统就会自动连接到企业网络。
这个功能很棒,但更令人高兴的是:DirectAccess还可以提高企业的安全性。
客户端计算机的遵从性
传统VPN连接最大的缺点之一是它难以控制最终用户如何进行VPN连接。任何具有基本计算机技能的用户都可以进行VPN的配置。这可能发生在一台企业笔记本电脑、家用电脑、朋友的电脑,甚至是一台公共电脑上。
由此产生的问题是,通过VPN连接到企业网络的计算机操作系统可能已经过时,而且从来没有采用任何安全更新。计算机甚至可能感染了恶意软件,或有其它问题。
此前,微软已经认识到这些问题,并引入了Windows Server 2008网络策略服务器来为接入到公司网络的计算机设备进行健康状况的检查。系统健康检查的目的是在允许VPN客户端连接到企业的生产网络之前执行一些基本的健康检查任务。例如,网络策略服务器需要对VPN客户端进行检查,以确保它们的Windows防火墙处于开启状态。
系统健康检查有助于提高安全性,它可以(而且应该)结合DirectAccess进行使用。但单靠健康验证只能保证有限的安全性。用户仍有可能从任何一台符合最低系统健康要求的计算机处建立VPN连接。了解到企业数据可能被存储或缓存到这样一台机器上,你就知道对用户建立VPN连接的计算机进行控制的重要性了。如果你的企业需要满足合规性要求,这种安全要求将是必须的。
DirectAccess采用了几种不同的方式来解决这个问题。首先,DirectAccess只适用于Windows 7,所以不会有人使用过时的Windows XP建立DirectAccess连接。更重要的是在DirectAccess服务器和客户端计算机之间需要相互进行验证。这种身份验证基于数字证书,这就意味着,如果客户端计算机没有部署需要的证书,它就不能与DirectAccess服务器建立连接。
客户端计算机的维护
另一种使用DirectAccess来提高安全性的方法是让客户端计算机的维护变得更加容易。在此之前,如果管理员需要对客户端计算机应用安全补丁或更新病毒库,他们必须等用户将计算机带进办公室或者连接VPN才可以进行。如果使用DirectAccess,一旦用户连接到网络,它们会自动建立一个DirectAccess连接,这可以让客户端计算机即使在用户不登录的情况下也时刻保持更新。
那些认为DirectAccess通过执行自动验证来建立连接实际上会降低企业安全性的说法毫无根据。人们的担忧可能会是,如果部署有DirectAccess功能的笔记本电脑一旦被盗,它将会把企业网络的大门敞开。然而,这根本不是DirectAccess的工作方式。
在任何Windows域的网络中都有两种类型的身份验证发生:用户验证和计算机身份验证。当Windows自动建立DirectAccess连接时,执行的是计算机身份验证。这使得组策略和更新被应用到计算机,但它并没有为访问企业资源提供用户身份。要访问企业资源,用户仍然需要通过输入自己的用户名和密码,或通过智能卡来进行身份验证。
额外的客户端限制
只有运行Windows 7并已部署所需证书的客户端计算机才能够建立一个DirectAccess连接。那么如何阻止用户将计算机证书复制到另一台计算机,然后从未经授权的计算机建立一个DirectAccess连接呢?
DirectAccess对可以建立DirectAccess连接的计算机实行完全掌控。客户端计算机不但需要一个特殊的的证书,而且必须加入域并且是具有DirectAccess权限的安全组成员。只有这样,才能确保建立DirectAccess连接的计算机是经过授权的计算机。
