Wie DirectAccess die Sicherheit Ihres Unternehmens verbessern kann

Windows Server 2008 R2 und Windows 7 enthalten eine Funktion namens DirectAccess, die für die nächste Generation entwickelt wurde …

Alternative zu VPN-Verbindungen.
Obwohl es DirectAccess schon seit einiger Zeit gibt, ist es eine Funktion, die leicht zu übersehen ist, da Microsoft sie hauptsächlich als Komfortfunktion für Endbenutzer vermarktet hat. DirectAccess befreit Benutzer von der manuellen Verbindung zu einem VPN. Stattdessen werden Benutzer automatisch mit dem Unternehmensnetzwerk verbunden, ohne dass sie etwas anderes tun müssen, um die Verbindung herzustellen, als einen Webbrowser zu öffnen.
Dies ist eine nette Funktion, aber DirectAccess bietet noch mehr: Es kann die Sicherheit Ihres Unternehmens verbessern.

Client-Computer-Durchsetzung
Einer der großen Nachteile herkömmlicher VPN-Verbindungen besteht darin, dass es schwierig ist zu steuern, wie der Endbenutzer eine Verbindung zum VPN herstellt. Jeder Benutzer mit grundlegenden Computerkenntnissen kann eine Verbindung zu Ihrem Unternehmens-VPN konfigurieren. Er kann eine solche Verbindung auf einem Unternehmens-Laptop, einem Heimcomputer, dem Computer eines Freundes oder sogar einem öffentlichen Kiosk konfigurieren.
Das Problem dabei ist, dass auf dem Computer, von dem aus der Benutzer eine Verbindung herstellt, möglicherweise ein veraltetes Betriebssystem ausgeführt wird, auf das noch nie Sicherheitspatches angewendet wurden. Der Computer ist möglicherweise mit Malware infiziert oder weist eine Reihe anderer Probleme auf.
Microsoft hat zuvor einige dieser Probleme behoben, indem der Windows Server 2008-Netzwerkrichtlinienserver so entworfen wurde, dass eine Überprüfung des Systemzustands möglich ist. Mit der Systemzustandsüberprüfung können Sie einige grundlegende Integritätsprüfungen für VPN-Clients durchführen, bevor diese eine Verbindung zu Ihrem Hauptnetzwerksegment herstellen können. Beispielsweise kann der Netzwerkrichtlinienserver überprüfen, ob die Windows-Firewall auf dem Clientcomputer aktiviert ist.
Die Systemzustandsvalidierung trägt zur Verbesserung der Sicherheit bei und kann (und sollte) in Verbindung mit DirectAccess verwendet werden. Die Integritätsvalidierung allein kann jedoch nur so viel bewirken. Benutzer können möglicherweise weiterhin von jedem Computer aus eine Verbindung zum VPN herstellen, der die von Ihnen festgelegten Mindestanforderungen an den Gesundheitszustand erfüllt. Wenn Sie bedenken, dass Unternehmensdaten möglicherweise auf einem solchen Computer gespeichert oder zwischengespeichert werden könnten, können Sie verstehen, wie wichtig es ist, zu steuern, von welchen Computern aus Benutzer eine Verbindung herstellen. Dies gilt insbesondere dann, wenn Ihre Organisation den gesetzlichen Bestimmungen unterliegt.
DirectAccess löst dieses Problem auf verschiedene Arten. Erstens funktioniert DirectAccess nur mit Windows 7, sodass keine Gefahr besteht, dass jemand eine DirectAccess-Verbindung mit einem veralteten Windows XP-Computer herstellt. Noch wichtiger ist, dass DirectAccess eine gegenseitige Authentifizierung zwischen dem Clientcomputer und dem DirectAccess-Server erfordert. Dieser Authentifizierungsprozess ist zertifikatsbasiert. Dies bedeutet, dass ein Clientcomputer nur dann eine DirectAccess-Verbindung herstellen kann, wenn ihm das erforderliche Zertifikat bereitgestellt wurde.
Client-Computer-Wartung
Ein weiterer Weg, wie DirectAccess zur Verbesserung der Sicherheit beitragen kann, besteht darin, die Wartung des Clientcomputers zu vereinfachen. Wenn ein Administrator zuvor Sicherheitspatches oder Antiviren-Updates auf einen Client-Computer anwenden wollte, musste er entweder warten, bis der Benutzer den Computer ins Büro gebracht hatte oder bis der Benutzer eine Verbindung zum VPN hergestellt hatte. Bei DirectAccess stellt der Benutzer jedoch automatisch eine DirectAccess-Verbindung her, wenn er mit dem Netzwerk verbunden ist. Dadurch kann der Computer auch dann auf dem neuesten Stand gehalten werden, wenn der Benutzer nicht angemeldet ist.
Es gibt unbegründete Behauptungen, dass DirectAccess die Sicherheit durch die automatische Authentifizierung tatsächlich verringert. Die Sorge ist, dass wenn ein DirectAccess-fähiger Laptop gestohlen würde, der Laptop dem Dieb eine offene Tür zum Unternehmensnetzwerk bieten würde. Dies ist jedoch einfach nicht die Art und Weise, wie DirectAccess funktioniert.
In jedem Windows-Domänennetzwerk gibt es zwei Arten der Authentifizierung: Benutzerauthentifizierung und Computerauthentifizierung. Wenn Windows automatisch eine DirectAccess-Verbindung herstellt, führt es eine Computerauthentifizierung durch. Auf diese Weise können Richtlinien und Aktualisierungen auf den Computer angewendet werden, der Benutzer erhält jedoch keinen Zugriff auf Unternehmensressourcen. Der Benutzer muss sich weiterhin authentifizieren, indem er entweder seinen Benutzernamen und sein Kennwort eingibt oder eine Smartcard-Authentifizierung durchführt.

Zusätzliche Kundeneinschränkungen
Nur Clientcomputer unter Windows 7, für die das erforderliche Zertifikat bereitgestellt wurde, können eine DirectAccess-Verbindung herstellen. Was würde einen Benutzer davon abhalten, das Computerzertifikat auf einen anderen Computer zu kopieren und dann eine DirectAccess-Verbindung von einem nicht autorisierten Computer herzustellen?
DirectAccess bietet die vollständige Kontrolle darüber, welche Computer eine DirectAccess-Verbindung herstellen können. Für die Clientcomputer ist nicht nur ein spezielles Zertifikat erforderlich, sondern sie müssen auch Domänenmitglied sein und Mitglieder einer Sicherheitsgruppe sein, die das Recht erhalten hat, über DirectAccess eine Verbindung herzustellen. Daher sind die einzigen Computer, die DirectAccess-Konnektivität herstellen können, diejenigen, die Sie autorisieren.
ÜBER DEN AUTOR
Brien M. Posey, MCSE ist ein Microsoft Most Valuable Professional für seine Arbeit mit Windows 2000 Server, Exchange Server und IIS. Er war CIO einer landesweiten Kette von Krankenhäusern und war einst für die IT-Sicherheit von Fort Knox verantwortlich. Er schreibt regelmäßig für TechTarget-Sites.

Similar Posts

Leave a Reply