用DirectAccess提高企業安全性方法

微軟在Windows Server 2008 R2和Windows 7中引入了DirectAccess功能，它是專為替代VPN連接而設計的下一代網絡連接。

雖然DirectAccess的出現已經有一段時間了，但它是一個非常容易被忽視的功能，因為微軟對它的定位是更好地方便終端用戶。DirectAccess不需要用戶手動連接VPN，用戶只需打開瀏覽器，僅此而已，系統就會自動連接到企業網絡。

這個功能很棒，但更令人高興的是：DirectAccess還可以提高企業的安全性。

客戶端計算機的遵從性

傳統VPN連接最大的缺點之一是它難以控制最終用戶如何進行VPN連接。任何具有基本計算機技能的用戶都可以進行VPN的配置。這可能發生在一臺企業筆記本電腦、家用電腦、朋友的電腦，甚至是一臺公共電腦上。

由此產生的問題是，通過VPN連接到企業網絡的計算機操作系統可能已經過時，而且從來沒有采用任何安全更新。計算機甚至可能感染了惡意軟件，或有其它問題。

此前，微軟已經認識到這些問題，并引入了Windows Server 2008網絡策略服務器來為接入到公司網絡的計算機設備進行健康狀況的檢查。系統健康檢查的目的是在允許VPN客戶端連接到企業的生產網絡之前執行一些基本的健康檢查任務。例如，網絡策略服務器需要對VPN客戶端進行檢查，以確保它們的Windows防火墻處于開啟狀態。

系統健康檢查有助于提高安全性，它可以(而且應該)結合DirectAccess進行使用。但單靠健康驗證只能保證有限的安全性。用戶仍有可能從任何一臺符合最低系統健康要求的計算機處建立VPN連接。了解到企業數據可能被存儲或緩存到這樣一臺機器上，你就知道對用戶建立VPN連接的計算機進行控制的重要性了。如果你的企業需要滿足合規性要求，這種安全要求將是必須的。

DirectAccess采用了幾種不同的方式來解決這個問題。首先，DirectAccess只適用于Windows 7，所以不會有人使用過時的Windows XP建立DirectAccess連接。更重要的是在DirectAccess服務器和客戶端計算機之間需要相互進行驗證。這種身份驗證基于數字證書，這就意味著，如果客戶端計算機沒有部署需要的證書，它就不能與DirectAccess服務器建立連接。

客戶端計算機的維護

另一種使用DirectAccess來提高安全性的方法是讓客戶端計算機的維護變得更加容易。在此之前，如果管理員需要對客戶端計算機應用安全補丁或更新病毒庫，他們必須等用戶將計算機帶進辦公室或者連接VPN才可以進行。如果使用DirectAccess，一旦用戶連接到網絡，它們會自動建立一個DirectAccess連接，這可以讓客戶端計算機即使在用戶不登錄的情況下也時刻保持更新。

那些認為DirectAccess通過執行自動驗證來建立連接實際上會降低企業安全性的說法毫無根據。人們的擔憂可能會是，如果部署有DirectAccess功能的筆記本電腦一旦被盜，它將會把企業網絡的大門敞開。然而，這根本不是DirectAccess的工作方式。

在任何Windows域的網絡中都有兩種類型的身份驗證發生：用戶驗證和計算機身份驗證。當Windows自動建立DirectAccess連接時，執行的是計算機身份驗證。這使得組策略和更新被應用到計算機，但它并沒有為訪問企業資源提供用戶身份。要訪問企業資源，用戶仍然需要通過輸入自己的用戶名和密碼，或通過智能卡來進行身份驗證。

額外的客戶端限制

只有運行Windows 7并已部署所需證書的客戶端計算機才能夠建立一個DirectAccess連接。那么如何阻止用戶將計算機證書復制到另一臺計算機，然后從未經授權的計算機建立一個DirectAccess連接呢？

DirectAccess對可以建立DirectAccess連接的計算機實行完全掌控�？蛻舳擞嬎銠C不但需要一個特殊的的證書，而且必須加入域并且是具有DirectAccess權限的安全組成員。只有這樣，才能確保建立DirectAccess連接的計算機是經過授權的計算機。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]