Правила предоставления удаленного доступа. Защита при подключении. Защита после подключения.
После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows 2000 разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.
Не нужно создавать отдельные учетные записи только для пользователей удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей, расположенные в общей базе данных учетных записей пользователей согласно общим механизмам защиты Windows 2000.
Защита при подключении
Вот пошаговая схема процесса, происходящего при запросе клиента удаленного доступа к серверу удаленного доступа под управлением Windows 2000:
- Клиент удаленного доступа набирает номер сервера удаленного доступа.
- Происходит физическое соединение (например, двух модемов).
- Сервер посылает запрос клиенту.
- Клиент посылает зашифрованный ответ серверу.
- Сервер проверяет ответ при помощи базы данных учетных записей Пользователей.
- Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.
- Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении. Шаги 3 и 4 предполагают, что клиент и сервер удаленного доступа используют протоколы проверки подлинности MS CHAP или CHAP. Для других протоколов проверки подлинности схема посылки клиентской идентификационной информации может отличаться от описанной.
Защита после подключения
После проверки подлинности удаленного доступа и подключения клиента к LAN клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим схемам безопасности Windows 2000 так же, как если бы они физически располагались в LAN. Другими словами, клиенты удаленного доступа не могут выполнять действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.
Клиенты удаленного доступа должны быть проверены на подлинность сервером удаленного доступа до обращения к ресурсам и обмена данными по сети. Эта проверка подлинности – шаг, отдельный от регистрации в Windows 2000. При передаче по телефонным линиям пароли пользователей и процесс проверки подлинности можно шифровать.
Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.