directaccess可以提高企业安全性 具体如何操作?
Direct Access 称为直接访问,是Windows 7(企业版或者更高级版本)和Windows Server 2008 R2中的一项新功能,外界的网络可以不用建立VPN连接,克服了VPN的很多局限性,直接访问公司防火墙之后的资源,既高速又安全,主要是利用IPv6技术的这一特性。
更令人高兴的是:DirectAccess可以提高企业的安全性。
客户端计算机的遵从性
传统VPN连接最大的缺点之一是它难以控制最终用户如何进行VPN连接。任何具有基本计算机技能的用户都可以进行VPN的配置。这可能发生在一台企业笔记本电脑、家用电脑、朋友的电脑,甚至是一台公共电脑上。
由此产生的问题是,通过VPN连接到企业网络的计算机操作系统可能已经过时,而且从来没有采用任何安全更新。计算机甚至可能感染了恶意软件,或有其它问题。
此前,微软已经认识到这些问题,并引入了Windows Server 2008网络策略服务器来为接入到公司网络的计算机设备进行健康状况的检查。系统健康检查的目的是在允许VPN客户端连接到企业的生产网络之前执行一些基本的健康检查任务。例如,网络策略服务器需要对VPN客户端进行检查,以确保它们的Windows防火墙处于开启状态。
系统健康检查有助于提高安全性,它可以(而且应该)结合DirectAccess进行使用。但单靠健康验证只能保证有限的安全性。用户仍有可能从任何一台符合最低系统健康要求的计算机处建立VPN连接。了解到企业数据可能被存储或缓存到这样一台机器上,你就知道对用户建立VPN连接的计算机进行控制的重要性了。如果你的企业需要满足合规性要求,这种安全要求将是必须的。
DirectAccess采用了几种不同的方式来解决这个问题。首先,DirectAccess只适用于Windows 7,所以不会有人使用过时的Windows XP建立DirectAccess连接。更重要的是在DirectAccess服务器和客户端计算机之间需要相互进行验证。这种身份验证基于数字证书,这就意味着,如果客户端计算机没有部署需要的证书,它就不能与DirectAccess服务器建立连接。
客户端计算机的维护
另一种使用DirectAccess来提高安全性的方法是让客户端计算机的维护变得更加容易。在此之前,如果管理员需要对客户端计算机应用安全补丁或更新病毒库,他们必须等用户将计算机带进办公室或者连接VPN才可以进行。如果使用DirectAccess,一旦用户连接到网络,它们会自动建立一个DirectAccess连接,这可以让客户端计算机即使在用户不登录的情况下也时刻保持更新。
那些认为DirectAccess通过执行自动验证来建立连接实际上会降低企业安全性的说法毫无根据。人们的担忧可能会是,如果部署有DirectAccess功能的笔记本电脑一旦被盗,它将会把企业网络的大门敞开。然而,这根本不是DirectAccess的工作方式。
在任何Windows域的网络中都有两种类型的身份验证发生:用户验证和计算机身份验证。当Windows自动建立DirectAccess连接时,执行的是计算机身份验证。这使得组策略和更新被应用到计算机,但它并没有为访问企业资源提供用户身份。要访问企业资源,用户仍然需要通过输入自己的用户名和密码,或通过智能卡来进行身份验证。
额外的客户端限制
只有运行Windows 7并已部署所需证书的客户端计算机才能够建立一个DirectAccess连接。那么如何阻止用户将计算机证书复制到另一台计算机,然后从未经授权的计算机建立一个DirectAccess连接呢?
DirectAccess对可以建立DirectAccess连接的计算机实行完全掌控。客户端计算机不但需要一个特殊的的证书,而且必须加入域并且是具有DirectAccess权限的安全组成员。只有这样,才能确保建立DirectAccess连接的计算机是经过授权的计算机。
以上就是驱动管家为大家介绍的怎么采用DirectAccess来保护企业的网络安全教程,需要的朋友快来看看吧,想了解更多关于网络安全的教程,请继续关注驱动管家!
无线网络检测和wep解密步骤
上期为各位介绍了将自己的网卡重新安装驱动,以便使用无线网络检测及WEP解密工具。当我们把网卡驱动更新完毕后,我们再来看看如何找出已经禁用了SSID号广播的无线网络以及进行WEP解密工作。一、使用airodump抓取
详情2018-01-26 14:10:21责编:llp 来源:驱动管家电脑文件加密软件哪个好?如何选择合适的电脑文件加密软件?
无论是工作还是生活,电脑已经成为我们每天不可缺少的工具之一。我们也经常会在电脑存储一些重要的私人文件或者是公司的机密文件,这些文件的安全管理就显得十分重要。通过使用一些电脑文件加密软件对电脑文件进
详情2018-01-27 14:25:44责编:llp 来源:驱动管家卡巴斯基2010防止程序被误杀或阻止的方法
有的时候为了测试某个黑客软件或者有些正常的游戏被卡巴误杀,我们可以使用以下方法来防止我们的程序被误杀或阻止。1 请您点击桌面右下角卡巴斯基的图标打开主界面,点击右上角的“设置”,如下图:2 在设置界
详情2018-01-28 17:18:07责编:llp 来源:驱动管家fso是什么意思?fso组件怎么开启?怎么关闭?
FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO
详情2018-01-16 11:02:53责编:llp 来源:驱动管家java有哪些方法可以防止sql注入?
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因
详情2018-01-14 18:07:43责编:llp 来源:驱动管家怎么解除tcp/ip筛选限制端口?只需导出注册表进行修改就行了
有时候服务器管理员会用TCP IP筛选限制端口,让我们无法登陆3389等等需要解除这一限制,只需要导出注册表进行修改就行了:TCP IP筛选在注册表里有三处,分别是:HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Service
详情2018-02-06 14:52:36责编:llp 来源:驱动管家监视软件nagios的缓冲区溢出漏洞可能被利用控制服务器
受影响系统:Nagios Nagios 1 4 9不受影响系统:Nagios Nagios 1 4 10描述:--------------------------------------------------------------------------------BUGTRAQ ID: 25952CVE(CAN) ID: CVE-2007
详情2018-01-25 11:28:41责编:llp 来源:驱动管家网络安全密钥 怎么获取密钥生成算法?
从拷贝保护产品中剥取(ripping)算法通常是创建密钥生成程序的一种简单而行之有效的方法。其思路非常简单:定位受保护程序内计算合法序列号的函数(可能不止一个函数),并将它(们)移植到你密钥生成程序中。这
详情2018-01-13 17:21:44责编:llp 来源:驱动管家处理webmail接口漏洞的邮件服务器surgemail
受影响系统: NetWin SurgeMail beta 39a NetWin SurgeMail
详情2018-01-03 09:06:24责编:llp 来源:驱动管家木马程序的工作原理 怎么快速彻底地清除木马病毒?
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知
详情2018-01-24 11:01:23责编:llp 来源:驱动管家
- 音频转化大师好用吗?音频转化大师破解版怎么用?
- IS语音添加群分组要怎么操作?IS语音添加群分组的方法
- 尼康d900单反的主要参数与评测介绍
- 哪款索尼高清专业摄像机最好?索尼摄像机推荐
- 【游戏攻略】绝地求生VSS伤害值及使用方法
- 【游戏资讯】绝地求生2月6日更新公告:新反外挂措施不停机更新
- 如何提高上网速度?直接设置网络接口跃点数就可以了
- pdf转换成word文档你肯定没用过这个方法
- xperia t3的相关信息介绍 xperia t3支持hdr视频录制功能
- 全球最薄的7英寸屏幕平板手机:sony xperia z1
- 鼠标速度怎么调整?鼠标速度调整方法
- 电脑显示器太亮了该怎么办?电脑显示器调暗的设置在哪儿?
- 演示科讯的漏洞 怎么找到科讯的漏洞?
- 视频分割器是用来干什么的?视频分割器怎么用?
- 超级兔子为什么安装失败?超级兔子安装失败怎么办?
- 索尼walkman音乐播放器zx2评测结果
- 索尼a900单反相机的性能怎么样?索尼a900的介绍
- 彻底卸载千影浏览器的方法都有哪些
- ie浏览器打不开网页是怎么回事?ie浏览器打不开网页解决方法
- 退出U盘提示“无法停止通用卷设备”