Windows Server 2008 R2 и Windows 7: вместе безопаснее

Опубликовано: 9 Апреля, 2023
Windows Server 2008 R2 и Windows 7: вместе безопаснее

Введение

Windows Server 2008 R2 и клиент Windows 7 созданы друг для друга и предназначены для обеспечения более качественных и безопасных вычислений при совместном использовании. DirectAccess — это новая функция, которая позволяет пользователям Windows 7 устанавливать удаленное подключение без VPN, а удаленная рабочая область вместе с виртуализацией презентаций и шлюзом удаленных рабочих столов позволяет пользователям безопасно и надежно получать доступ к рабочим столам своей компании из любого места. В этой статье мы рассмотрим эти и другие функции, которые делают комбинацию Server 2008 R2/Windows 7 лучшим выбором для организаций, стремящихся повысить безопасность своих сетей на основе Windows.

Благодаря тому, что корпорация Майкрософт уделяет особое внимание надежным вычислениям, каждая версия серверной и клиентской операционных систем становится все более защищенной. Windows Server 2008, и особенно его последнее воплощение, R2, предоставляет ИТ-администраторам множество встроенных механизмов безопасности. Однако защитить сервер — это только полдела. Клиентская машина часто становится мишенью для эксплойтов, особенно в современном мобильном мире, когда пользователи подключаются с ноутбуков, которые покидают территорию компании и, таким образом, не всегда находятся под абсолютным контролем ИТ-отдела. Если вашей организации требуется высокий уровень безопасности (а в текущей среде, требующей соблюдения требований, кто этого не делает?), вам следует заранее спланировать развертывание клиента Windows 7 в сочетании с Windows Server 2008 R2 сразу после Выпуск Win 7, насколько это возможно. Давайте рассмотрим некоторые расширенные функции безопасности, которыми вы сможете воспользоваться, сделав это.

Примечание:
Многие организации устанавливают политику ожидания первого пакета обновлений перед развертыванием новой клиентской ОС. Стоит ли ждать SP1 перед развертыванием Windows 7? Группа Gartner говорит, что нет. «Первый пакет обновлений для Windows 7 не требуется для обеспечения стабильности и безопасности операционной системы».

Прямой доступ

Как разрешить удаленным пользователям — будь то разъездные руководители с ноутбуками, подключенными к гостиничным сетям, или удаленные сотрудники, работающие из дома, — безопасно подключаться к сети компании и получать доступ к необходимым им ресурсам, не подвергая сеть риску. Наиболее распространенным решением была установка VPN-сервера. VPN обеспечивает безопасный зашифрованный туннель через общедоступную сеть (Интернет). Так в чем проблема? Решение VPN представляет собой уровень сложности для конечного пользователя. В некоторых случаях на клиентской машине необходимо установить специальное программное обеспечение. В любом случае пользователь должен устанавливать VPN-подключение для каждого сеанса. Они должны вводить учетные данные или иметь дело со смарт-картами. Иногда соединение не проходит; в других случаях он сбрасывается и должен быть восстановлен.

DirectAccess устраняет большую часть хлопот, аутентифицируя пользователя один раз, а затем автоматически подключаясь без ущерба для безопасности. Поддерживается двухфакторная аутентификация, поэтому для входа в сеть можно использовать смарт-карты или биометрические данные. DirectAccess может аутентифицировать как компьютер, так и пользователя. DA создает два туннеля IPsec: один с использованием только сертификата компьютера, который дает компьютеру доступ к DNS-серверу и контроллеру домена для загрузки групповой политики и запроса аутентификации пользователя, и туннель, использующий как сертификат компьютера, так и сертификат пользователя, который предоставляет пользователю доступ к внутренним ресурсам и серверам приложений.

Сеансы прямого доступа могут быть зашифрованы либо между клиентом и сервером DA/сервером шлюза IPsec, либо они могут быть зашифрованы сквозным шифрованием на всем пути к серверу приложений (например, серверу Exchange). Предупреждение здесь заключается в том, что для сквозного шифрования серверы приложений должны работать под управлением Windows Server 2008 или 2008 R2 и должны быть настроены для использования Ipv6 и Ipsec.

DirectAccess использует IPv6, Интернет-протокол следующего поколения с Ipsec (3DES, AES) для шифрования информации, отправляемой через Интернет. Но это не означает, что для использования DA вам нужно использовать сеть Ipv6, поскольку она также включает технологии перехода Ipv6/Ipv4. Windows 7 и Windows Server 2008 R2 поддерживают новый протокол IP-HTTPS, с помощью которого пакеты Ipv6 можно туннелировать внутри сеанса HTTPS Ipv4. Это позволяет компьютерам, находящимся за веб-прокси или брандмауэром, подключаться. Как и в случае с VPN, можно использовать защиту доступа к сети (NAP), чтобы убедиться, что на компьютерах установлены обновления безопасности, антивирус и т. д., прежде чем они смогут подключиться к сети компании.

Еще одним преимуществом DirectAccess является то, что он дает вам контроль. DA позволяет ИТ-администратору управлять удаленными системами, даже если они не подключены к VPN. Вы можете применять новую групповую политику или распространять обновления программного обеспечения в любое время, когда удаленный компьютер подключен к Интернету, даже если пользователь не вошел в систему. Это упрощает обеспечение своевременного соответствия удаленных компьютеров политикам компании. Кроме того, вы можете указать, к каким ресурсам интрасети может получить доступ конкретный пользователь.

Microsoft предоставила Руководство раннего внедрения DirectAccess, которое можно загрузить.

RemoteApp и рабочий стол

RemoteApp — это реализация служб удаленных рабочих столов, с помощью которой приложения отображаются для пользователей как работающие на их локальных компьютерах, хотя на самом деле они работают на сервере удаленных рабочих столов. Это форма виртуализации представления. Он отличается от традиционных служб терминалов тем, что вместо общего доступа ко всему рабочему столу пользователя через терминальный сервер теперь таким образом можно совместно использовать отдельные приложения, и это прозрачно для пользователя. RemoteApp был представлен в Windows Server 2008. Windows 7 предоставляет нам каналы RemoteApp & Desktop (RAD), которые обеспечивают более тесную интеграцию настольных и виртуализированных приложений.

С помощью RemoteApp & Desktop Connections администраторы могут сделать удаленные приложения и виртуальные рабочие столы доступными для пользователей с клиентскими компьютерами Windows 7; эти ресурсы появятся в меню «Пуск» клиента, как если бы они были локальными ресурсами.

Так в чем преимущество безопасности? Виртуализированные приложения могут более строго контролироваться ИТ-администраторами. Вам больше не нужно беспокоиться о том, были ли применены надлежащие обновления к сотням экземпляров приложения, работающего на отдельных компьютерах, поэтому у вас нет угрозы безопасности, которая возникает, когда на некоторых машинах запущены неисправленные приложения. Администраторы могут добавлять или удалять ресурсы, а RemoteApp & Desktop Connection будет автоматически обновляться на клиентских компьютерах пользователей.

Вы можете скачать пошаговое руководство по развертыванию RemoteApp и подключения к рабочему столу здесь.

Шлюз удаленных рабочих столов является заменой шлюза служб терминалов и ролью сервера в редакциях Windows Server 2008 R2 Standard, Enterprise и Datacenter, через которую удаленные пользователи могут получить доступ к серверам удаленных рабочих столов или другим компьютерам с включенным удаленным рабочим столом. Он использует RDP через HTTPS для создания безопасного зашифрованного соединения через Интернет. Шлюз удаленных рабочих столов Server 2008 R2 также поддерживает параметр, с помощью которого можно разрешить клиентам удаленных рабочих столов подключаться только к серверам удаленных рабочих столов, которые используют безопасное перенаправление устройств. Это помогает предотвратить переопределение вашей политики безопасности вредоносными программами на удаленном клиенте.

Последняя версия протокола RDP (RDP v7), которая работает в Windows Server 2008 R2 и Windows 7, также обеспечивает рендеринг графики и улучшения мультимедиа, которые улучшают работу удаленного рабочего стола. Например, теперь поддерживается эффект Aero Glass, улучшена поддержка нескольких мониторов, поддерживается DirectShow и в целом улучшена производительность.

AppLocker

AppLocker — это новая функция в Windows 7 и Server 2008 R2, которая заменяет старые политики ограниченного использования программ, которые часто были сложными в использовании и ограниченными по объему. AppLocker дает вам гораздо больше гибкости, и его правила труднее обойти. AppLocker позволяет создавать правила для управления тем, какие файлы могут запускаться, и назначать эти правила определенным пользователям или группам (но не компьютерам).

Вы можете основывать правила на таких атрибутах файла, как издатель, название продукта, имя файла или версия файла, которые содержатся в цифровой подписи (правила издателя). Вы также можете ограничить программы на основе пути к каталогу (правила пути) или использовать криптографический хэш для идентификации программ, которые вы хотите разрешить (правила хеширования). Вы также можете создавать исключения для любого из трех типов правил.

По умолчанию и в качестве наилучшей практики безопасности AppLocker настроен на запрет всех файлов, кроме явно разрешенных. Подробнее о AppLocker можно прочитать здесь.

Лучший BitLocker

Шифрование диска BitLocker было введено в Vista и было отличной функцией для ноутбуков, но ее полезность была ограничена, поскольку она могла шифровать только системный раздел. В Server 2008 и Vista SP1 он был улучшен для шифрования дополнительных (несистемных) разделов. Теперь, в Server 2008 R2 и Windows 7, BitLocker можно использовать для шифрования съемных дисков. Поскольку USB-накопители становятся повсеместными, это долгожданное улучшение безопасности, потому что угроза безопасности, которую представляет сотрудник, который помещает данные компании на съемный накопитель (например, чтобы забрать домой на работу вечером или на выходных), вполне реальна. Портативность USB-накопителей делает их легко потерянными или украденными.

Теперь, с новой функцией BitLocker To Go в Windows Server 2008 R2 и Windows 7, ИТ-администраторы могут использовать групповую политику, чтобы заставить пользователей включать BitLocker на съемных дисках, прежде чем они смогут записывать на диски, что делает их намного более безопасными. Ключ восстановления можно хранить в Active Directory. Вы также можете запретить пользователям подключать незашифрованные USB-накопители к своим компьютерам. Политики настраиваются в разделе Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsШифрование диска BitLockerСъемные диски с данными.

Резюме

В каждую версию операционной системы Windows добавляются новые улучшения безопасности. Текущая кульминация этого внимания к безопасности — Windows Server 2008 R2 и клиент Windows 7, который скоро будет выпущен. В отличие от предыдущих версий клиентской ОС Windows, в ходе бета-тестирования Windows 7 показала себя удивительно стабильной и безопасной, поэтому организациям, особенно тем, которые пропустили обновление до Vista и все еще используют Windows XP, следует рассмотреть возможность развертывания этой комбинации раньше, чем потом.