Средства защиты системы удаленного доступа Microsoft
Поскольку система удаленного доступа разработана для обеспечения прозрачного подключения удаленных клиентов к сети и для предоставления доступа к данным, потенциально содержащим конфиденциальную информацию, защита подключений удаленного доступа является очень важной составляющей. Система удаленного доступа Microsoft располагает широким набором средств обеспечения безопасности, в который входят:
- Проверка подлинности и авторизация
- Безопасная проверка подлинности пользователя
- Протокол расширенной проверки подлинности EAP (Extensible Authentication Protocol)
- Шифрование данных
- Код вызова
- Блокировка учетной записи при удаленном доступе
- Фильтрация пакетов для VPN-подключений удаленного доступа
- Фильтры пакетов в профиле политики удаленного доступа
Проверка подлинности и авторизация
Чтобы понять, почему попытки подключения могут приниматься или отклоняться, важно понимать различия между проверкой подлинности и авторизацией.
- Проверка подлинности – это проверка учетных данных попытки подключения. В процессе проверки подлинности клиент удаленного доступа посылает свои учетные данные серверу удаленного доступа, используя протокол проверки подлинности.
- Авторизация – это подтверждение того, что попытка подключения разрешена. Авторизация происходит после успешной проверки подлинности.
Для того чтобы попытка подключения была принята, она должна пройти проверку подлинности и авторизацию. Попытка подключения с правильными учетными данными может пройти проверку подлинности, но, тем не менее, не быть авторизована. В этом случае попытка подключения отклоняется.
Если для проверки подлинности сервер удаленного доступа использует встроенные средства Windows, то для проверки учетных данных, а также для доступа к свойствам удаленного подключения учетной записи пользователя используются средства безопасности Windows 2000, а локальные политики удаленного доступа производят авторизацию подключения. Если попытка подключения прошла проверку подлинности и авторизацию, она принимается.
Политики удаленного доступа представляют собой упорядоченный набор правил, определяющих то, каким образом происходит авторизация подключений. Политики удаленного доступа также задают ограничения для подключений, прошедших авторизацию. Попытки подключений поочередно оцениваются политиками удаленного доступа; при этом проверяется, удовлетворяет ли попытка подключения всем условиям каждой политики. Если попытка подключения не удовлетворяет всем условиям какой либо из политик, она отклоняется.
Если подключение удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, профиль политики задает для подключения ряд дополнительных ограничений. Свойства удаленного подключения учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, они будут перекрывать ограничения политики удаленного доступа.
Одно из самых полезных условий, которое можно задать в политике удаленного доступа – это принадлежность к определенной группе Windows. С помощью этого условия Вы можете задавать ограничения относительно авторизации и подключения, основанные на принадлежности учетной записи удаленного пользователя к определенной группе. Например, Вы можете:
- Для членов группы Операторы запретить подключения в нерабочие часы.
- Для членов группы Сотрудники задать максимальное время сеанса подключения, равное 10 минутам, и время простоя, равное 5 минутам.
- Для членов группы Руководители задать неограниченное время сеанса подключения и неограниченное время простоя.
Если для проверки подлинности сервер удаленного доступа использует RADIUS, учетные попытки подключения передаются RADIUS-серверу для проверки подлинности и авторизации. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает серверу удаленного доступа сообщение предоставления доступа, и попытка подключения принимается. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе, и попытка подключения отклоняется.
Если в качестве RADIUS-сервера выступает компьютер под управлением Windows 2000 Server с запущенной службой IAS, IAS-сервер выполняет проверку подлинности, используя средства безопасности Windows 2000, а также выполняет авторизацию на основании свойств удаленного подключения учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере.