فا

‫ امنيت در ويندوز سرور 2012 – بخش اول: بهبودهاي DirectAccess

IRCAR201209151
تاريخ: 28/06/91
در اين مجموعه مقالات نگاهي به مباحث جديد امنيتي در ويندوز سرور 2012 خواهيم انداخت.
مقدمه
نام نسخه آتي ويندوز سرور مشخص مي‌كند كه اين سيستم عامل پيش از پايان سال جاري ميلادي عرضه خواهد شد. تصميم‌گيري در مورد اين‌كه يك سيستم عامل سرور جديد چه زماني به كار گرفته شود، يك تصميم مهم است و اغلب شركت‌ها بلافاصله پس از عرضه يك سيستم عامل سرور، از آن استفاده نمي‌كنند. اما بخشي از اين تصميم‌گيري وابسته به ارزيابي مزاياي اين سيستم عامل است و امنيت بهتر، همواره در صدر فهرست فاكتورهايي قرار دارد كه منجر به اين تصميم‌گيري مي‌شوند. به همين دليل در اين مجموعه مقالات سعي خواهيم كرد به مباحث جديد امنيتي در ويندوز سرور 2012 بپردازيم.
نخست به سراغ بهبودهاي عمده‌اي مي‌رويم كه در DirectAccess اعمال شده است. ويندوز سرور 2008 R2 شامل DirectAccess بود، اما اين ويژگي در اين سيستم عامل چندان عملياتي نبود. DirectAccess يك تكنولوژي عظيم است كه به كاربران اجازه مي‌دهد بدون نياز به ايجاد و استفاده از نرم‌افزار VPN، به يك كامپيوتر راه دور در شبكه كاري خود متصل شوند. اين اتصال خودكار و ساده مي‌باشد. از سمت Admin نيز اين تكنولوژي به شما اجازه مي‌دهد كه حتي اگر كاربر login نباشد، نرم‌افزار كامپيوتر راه دور و تنظميات Group Policy را به‌روز رساني نماييد.
DirectAccess يك ويژگي امنيتي مهم است، چرا كه كنترل بيشتري بر روي سيستم‌هاي راه دوري كه به شبكه شركت شما متصل مي‌شوند در اختيار شما قرار مي‌دهد. اين تكنولوژي كامپيوترهاي راه دور را احراز هويت مي‌كند، ارتباطات را با استفاده از IPSec رمز مي‌نمايد و به شما اجازه مي‌دهد كنترل‌هاي دسترسي را براي تعيين منابع در دسترس هر كاربر تنظيم نماييد.
ويندوز سرور 2012، كاركرد UAG DA را به ويندوز سرور آورده است، در نتيجه لازم نيست يك بسته نرم‌افزاري سروري ديگر را كه ارزان نيز نيست خريداري كنيد. همچنين مايكروسافت برخي قابليت‌هاي جديد را به UAG اضافه كرده است.
ملاحظات DirectAccess در ويندوز سرور 2012
مايكروسافت توصيه مي‌كند كه به جاي ISATAP، از NAT64 به عنوان تكنولوژي تغيير از IPv6 به IPv4 استفاده نماييد. اگر شما از يك سرور UAG كه از ISATAP استفاده مي‌كند مهاجرت مي‌كنيد، بايد ISATAP را غيرفعال كرده و NAT64 را فعال نماييد. البته قطعا IPv6 بومي، بيشترين انعطاف‌پذيري را در اختيار شما قرار مي‌دهد.
فعال‌سازي و به‌كارگيري DirectAccess در ويندوز سرور 2012
اكنون نگاه دقيق‌تري به DirectAccess در سرور 2012 مي‌اندازيم. DirectAccess به عنوان يك نقش (Role) سرور (دسترسي از راه دور) فعال مي‌گردد كه شما مي‌توانيد از طريق داشبورد Server Manager آن را اضافه نماييد (شكل زير).
براي افزودن نقش دسترسي از راه دور، Add Roles and Features Wizard را اجرا مي‌كنيد كه به شما كمك مي‌كند نقش‌ها، سرويس‌ها و ويژگي‌ها را نصب نماييد. پس از انتخاب نوع نصب (نصب مبتني بر نقش يا مبتني بر ويژگي) و انتخاب سروري كه مي‌خواهيد اين نقش را بر روي آن نصب نماييد، بخش Remote Access را در صفحه Select Server Roles انتخاب كنيد. اين كار يك فهرست از سرويس‌ها و ويژگي‌هاي نقش را ايجاد مي‌كند كه بايد پيش از نصب DirectAccess نصب گردند. براي اين كار، بر روي Add Features كليك نماييد (شكل زير).
ممكن است شما در صفحه Features به دنبال DirectAccess بگرديد، ولي آن را مشاهده نخواهيد كرد. نگران نباشيد، ظرف چند لحظه آن را به دست خواهيم آورد. ابتدا ويژگي‌هاي پيش‌فرض را پذيرفته و بر روي دكمه Next كليك نماييد.
در صفحات بعدي پيش برويد. مطابق شكل بعدي، به گزينه‌اي براي انتخاب سرويس‌هاي نقش DirectAccess و VPN خواهيد رسيد. در حقيقت اين سرويس به شكل پيش‌فرض انتخاب شده است، در نتيجه كافي است بر روي دكمه Next كليك كنيد.
در آخرين صفحه، گزينه‌هاي نصب خود را نگاه كنيد و اطمينان حاصل كنيد كه DirectAccess and VPN (RAS) در ذيل بخش Remote Access مشاهده مي‌گردد. در صورت نياز بايد بخش مربوط به راه‌اندازي مجدد سرور مقصد به طور خودكار را انتخاب كنيد و سپس بر روي دكمه Next كليك نماييد.
ممكن است پروسه نصب كه در شكل زير نمايش داده شده است، اندكي به طول بينجامد.
پس از فعال‌سازي نقش Remote Access، نوبت به اين مي‌رسد كه DirectAccess را بر روي سرور پيكربندي نماييد. شما مي‌توانيد فقط از DirectAccess استفاده نماييد يا اين‌كه هم DirectAccess و هم VPN را به كار بگيريد، در نتيجه كلاينت‌هايي كه DirectAccess را پشتيباني نمي‌كنند (پيش از ويندوز 7) مي‌توانند از طريق يك ارتباط VPN به سرور متصل گردند.
ويزارد پيكربندي Remote Access ابتدا چك مي‌كند كه تمامي پيش‌نيازها رعايت شده باشند. سپس شما توپولوژي شبكه سرور خود را انتخاب مي‌نماييد. همچنين بايد نام عمومي يا آدرس IPv4 عمومي را كه توسط كلاينت راه دور براي اتصال به شبكه مورد استفاده قرار مي‌گيرد نيز وارد نماييد.
اين ويزارد عمده كارهاي اصلي از جمله پيكربندي پروكسي Kerberos را براي شما انجام مي‌دهد. در نتيجه نياز به زمان و فعاليت زيادي دارد. اين ويزارد گواهينامه‌هاي امضا شده را براي IP-HTTPS و Network Location Server فراهم مي‌كند. علاوه بر اين‌ها، اين ويزارد درصورت استفاده از يك محيط IPv4، NAT64 و DNS64 را نيز فعال مي‌نمايد. توجه داشته باشيد كه شما فقط مي‌توانيد از گواهينامه‌هاي امضا شده IP-HTTPS در يك پيكربندي سرور منفرد استفاد كنيد. اگر سناريوي شما چند سروري / چند سايتي باشد، به يك گواهينامه عمومي IP-HTTPS نياز خواهيد داشت.
مديريت DirectAccess در سرور 2012
اگر از DirectAccess در سرور 2008 R2 استفاده كرده باشيد، متوجه خواهيد شد كه كنسول مديريت DirectAccess در سرور 2012 از بين رفته است. به جاي آن، DirectAccess را با استفاده از كنسول مديريت Remote Access مديريت مي‌كنيد كه از داشبورد Server Manager قابل دسترسي است (شكل زير).
كنسول مديريت Remote Access بسيار شبيه به كنسول مديريت DirectAccess در سرور 2008 R2 به نظر مي‌رسد، ولي برخي ويژگي‌هاي اضافي مانند قابليت مديريت DirectAccess و VPN از راه دور را داراست.
به كارگيري DirectAccess بر روي كامپيوترهاي كلاينت
قدم بعدي شما براي نصب و اجراي DirectAccess بر روي سرور 2012، اين است كه DirectAccess را براي كامپيوترهاي كلاينت فعال نماييد. در DirectAccess Client Setup مي‌توانيد از ميان دو سناريوي به كارگيري، يكي را انتخاب كنيد: 1- Full DirectAccess (كه كلاينت‌ها را قادر مي‌سازد به شبكه داخلي متصل گردند) 2- Manage Out (براي استفاده از DirectAccess صرفا براي مديريت كامپيوترهاي كلاينت از راه دور). اين مطلب در شكل زير نمايش داده شده است.
در سرور 2008 R2 گزينه Manage Out در دسترس نبود و شما بايد براي داشتن آن از UAG استفاده مي­كرديد. در اين نسخه روش كار اين است كه به جاي داشتن دو تونل IPSec مانند آنچه كه در سناريوي عادي ارتباط كلاينت اتفاق مي‌افتد، شما فقط تونل زيرساخت را در اختيار داريد.
شما يك يا چند گروه امنيتي از كامپيوترهاي كلاينت براي فعال‌سازي DirectAccess انتخاب مي‌كنيد. همچنين تعيين مي‌كنيد كه چگونه كاربران DirectAccess خود را احراز هويت خواهيد كرد: از طريق اطلاعات حساب Active Directory يا از طريق احراز هويت دو عاملي (كارت هوشمند يا كلمات عبور يكبار مصرف) (شكل زير).
شما مي‌توانيد از يك مركز صدور گواهينامه براي ارائه گواهينامه‌هاي كامپيوتر استفاده نماييد. همچنين شما مي‌توانيد انتخاب كنيد كه كامپيوترهاي كلاينت ويندوز 7 را براي اتصال از طريق DirectAccess فعال نماييد يا اينكه استفاده از NAP را انتخاب كنيد.
شما همچنين بايد سرورهاي زيرساخت را كه كلاينت‌هاي DirectAccess پيش از اتصال به منابع شبكه داخلي به آنها متصل مي‌شوند، پيكربندي نماييد. يك سرور Network Location با قابليت دسترس‌پذيري بالا براي DirectAccess مورد نياز است و مايكروسافت توصيه مي‌كند كه اين سرور با يك زيرساخت سرور مانند كنترل كننده‌هاي دامنه، به كار گرفته شود. شما همچنين مي‌توانيد سرور Network Location را بر روي سرور DirectAccess اجرا كنيد (در حالتي كه سرور DirectAccess بايد از دسترس پذيري بالايي برخوردار باشد). ارتباط DirectAccess مي‌تواند درصورت عدم دسترس پذيري سرور Network Location، از بين برود.
گام‌هاي بعدي شامل موارد زير مي‌گردد:
  1. پيكربندي DNS
  2. پيكربندي استفاده از مديريت سرورها (HRA و SCCM)
  3. راه‌اندازي سرور Application
حالا DirectAccess آماده استفاده است. در مقالات بعدي نگاهي خواهيم انداخت به چگونگي پيكربندي سناريوهاي مختلف و حل مشكلات DirectAccess در ويندوز سرور 2012.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0