BitLocker To Go на страже мобильных носителей
Дальнейшим развитием технологии BitLocker стала появившаяся в Windows 7 функция BitLocker To Go, обеспечивающая надёжную защиту данных на съёмных носителях (флэшках и внешних жёстких дисках) даже в том случае, если устройство оказывается потерянным или украденным
При этом важной особенностью является то, что новый механизм шифрования взаимодействует не только с портативными носителями, отформатированными в NTFS, но и с FAT, FAT32 и ExFAT-разделами. С защищёнными средствами BitLocker To Go дисками можно работать в предыдущих версиях операционных систем Microsoft — Windows XP и Vista
Правда, только в режиме чтения.
Confirm Group Policy Settings
DirectAccess clients get their DirectAccess client settings via Group Policy. So if Group Policy isn’t applied to the DirectAccess client, then the DirectAccess client isn’t going to be able to act like a DirectAccess client. There are many ways you can confirm the Group Policy settings on the DirectAccess client, but my favorite way is to just check the Windows Firewall for the Connection Security Rules that DirectAccess clients use to connect to the UAG DirectAccess server. These rules are assigned by Group Policy, so if they’re there, then Group Policy has been assigned.
You can type wf.msc in the Search box on the Windows 7 computer to open the Windows Firewall with Advanced Security console. In the left pane of the console, click on the Connection Security Rules node.
Figure 1
If you see the three rules shown in Figure 1: UAG DirectAccess Client – Clients Access Enabling Tunnel – All, UAG DirectAccess Clients – Clients Corp Tunnel and UAG DirectAccess Clients – Example NLA, then you know that Group Policy has been applied.
2019: Шифрование по ГОСТу: кому оно показано и как применять
Ситуация с рисками информационной безопасности (ИБ) во всем мире развивается таким образом, что специальная защита корпоративных каналов связи становится объективной необходимостью — вопрос только в выборе наиболее удобных и экономически выгодных ИБ-решений. Дополнительными стимулами в этом направлении стали программа «Цифровая экономика» и стратегия импортозамещения в сфере ИТ. Как регулируется VPN-шифрование в нашей стране, почему в целом растет популярность ГОСТ-криптографии и в каких случаях целесообразно приобретать ее как сервис — разбираемся вместе с руководителем направления ГОСТ VPN компании «Ростелеком-Солар» Александром Веселовым. Подробнее здесь.
Недостаточные возможности управления сетью или приложениями
Модель безопасности на основе периметра, которую предлагает VPN, проста, но лишает вас и вашу группу безопасности гибкости в управлении. При использовании VPN не хватает детального контроля над рядом ключевых областей, что создает множество проблем. Вот лишь некоторые из них:
- управление авторизацией и доступом на уровне сети не позволяет организовать детальный контроль;
- потенциальный риск атаки через боковое перемещение и обнаружение конфиденциальных активов;
- отсутствие централизованного управления приложениями;
- отсутствие встроенных в приложения элементов контроля над действиями пользователей (разрешения на чтение, запись, редактирование и т.д.).
Потребность в мобильности
Корпоративные ИТ-департаменты отличаются консервативным прагматизмом. Принцип «работает, ну и ничего не трогай» представляется вполне логичным. Но лишь до тех пор, пока запросы и требования пользователей не достигнут определенной критической отметки. Именно по такому сценарию развивается ситуация вокруг мобильных устройств. Они проникали в корпоративную среду различными путями и независимо от воли ИТ-департаментов. Во многом проникновение планшетов в корпоративную среду было инициировано топ-менеджерами. Практически одновременно стали использовать их в деловых целях и рядовые сотрудники. Игнорировать это движение уже невозможно, поэтому вместе с другими подобными тенденциями оно получило название «консьюмеризация ИТ» (Consumerization of IT, CoIT). А явление использования личных устройств в работе даже получило аббревиатуру BYOD – Bring Your Own Device, что дословно переводится как «принеси свое устройство».
Сегодня iPad, планшеты на базе Android и смартфоны уже не просто модные гаджеты, привнесенные в компанию топ-менеджерами. Новые устройства все чаще и чаще используются как реальные мобильные рабочие места. И это связано с двумя основными факторами:
1. Возможности и зрелость технологий. Безусловно, по возможностям работы с документами, электронными таблицами iPad-и Android-планшеты не сопоставимы с возможностями традиционных ноутбуков. И нельзя использовать планшет в том же самом сценарии, что и обычный персональный компьютер. Однако в большинстве случаев функциональности и эргономики планшетов достаточно, чтобы не только ознакомиться с документами, но и внести какие-то коррективы, не связанные с серьезным форматированием. Главное же достоинство мобильных устройств – возможность оперативно знакомиться с содержанием документов и принимать те или иные решения. Технически и эргономически смартфон и планшет оказались соответствующими созревшим потребностям (в отличие от ушедших с рынка КПК).
2. Потребности бизнеса. Потребность деловых людей работать в удаленном режиме появилась давно. Долгое время возможности технологий не могли удовлетворить ее в должной мере. Опрос более 150 руководителей ИТ, ИБ и бизнес-подразделений, проведенный «Центром корпоративной мобильности «АйТи»1, показал, что использование работниками компаний смартфонов и планшетов – это следствие реальных потребностей (рис. 1). Такие технологии способствуют улучшению коммуникаций при мобильной работе (81%). Кроме того, новые возможности мобильных технологий позволяют оптимизировать существующие бизнес-процессы (61%), а также строить новые (50%). По сути дела, тот отложенный спрос на мобильность, который образовался благодаря неуспеху предыдущей технологии (КПК), сейчас выплескивается на рынок.
Эти факторы, повышающие оперативность работы с информацией, а значит и принятия решений, и вызвали взрыв использования мобильных устройств в корпоративной среде. В результате планшеты претендуют на то, чтобы стать тем оптимальным устройством в портфеле делового человека, который заменит папки с бумагами и одновременно обеспечит возможность повсеместных деловых коммуникаций и доступа к актуальной информации. Займут ли они это место (и в каком объеме), говорить пока рано, однако с текущей ситуацией ИТ-директору уже нельзя не считаться.
Рис. 1. Основные причины, по которым организация планирует использовать мобильные технологии.
Корпоративная социальная сеть
Создание инструмента для передачи сообщений и обмена информацией внутри одной компании даёт сотрудникам возможность поддерживать контакт между департаментами в реальном времени
При этом, в основе продукта лежит принцип работы обычных социальных сетей с «урезанным» функционалом, что не отвлекает внимание работников от профессиональных обязанностей
Как правило, доступ к корпоративной социальной сети имеют сотрудники компании, находящиеся в офисе или работающие удалённо, при этом обсуждение конфиденциальных рабочих вопросов производится по защищённым протоколам связи. Это обеспечивает оперативную и безопасную коммуникацию отделов компании без отрыва от производства и угрозы утечки данных.
Доступ в Интернет
Организация связи ЛВС через Интернет получает все большее распространение вместе с доступностью самой сети.
Каждый офис компании в настоящее время имеет (или может легко получить) собственное подключение к Интернету по выделенному каналу. После этого между ЛВС офисов организуется зашифрованный канал VPN, по которому передаются данные (Рис. 5).
Сейчас качество предоставления доступа в Интернет в крупных городах достаточно высоко для передачи между офисами компании данных, не чувствительных к задержкам.
Рис. 5. Организация КСПД через VPN’каналы в Интернет
Основным минусом подключения через Интернет, с корпоративной точки зрения, является отсутствие каких либо гарантий относительно полосы пропускания, задержек и потерь пакетов.
Плюсы данного подключения следующие:
- высокая доступность услуги подключения к Интернету и, как следствие, быстрое время развертывания канала;
- низкая стоимость подключения;
- низкая стоимость владения такими каналами (центральный офис в любом случае имеет доступ в Интернет, остается подключиться только отдельным офисам).
Как следствие этих факторов, подключение через Интернет можно применить в следующих случаях:
- мобильные пользователи, у которых нет необходимости или возможности использовать другие способы подключения. В крайнем случае возможно осуществлять подключение по VPN-каналу после подключения к Интернету через GPRS-модем;
- домашние пользователи или малые офисы, которым нет необходимости постоянно передавать большие объемы данных;
- как временное решение, если в точке открытия нового офиса нет других каналов, кроме доступа в Интернет. Тогда на время организации постоянного канала офис работает с корпоративными данными через Интернет;
- организация относительно дешевого резервного канала, когда VPN-канал через Интернет организуется одновременно с выделенным каналом связи и используется в случае выхода из строя последнего.
Особое внимание при использовании интернет-подключений следует уделять вопросам безопасности, поскольку существует вероятность как перехвата передаваемых данных, так и проникновения в корпоративную сеть через Интернет. Поэтому обязательно использование межсетевых экранов
В некоторых случаях даже при подключении офисов через Интернет применяется модель корпоративной СПД с централизованным доступом в Интернет. В этом случае весь интернет-трафик удаленного офиса проходит через прокси-сервер, установленный в центральном офисе.
Direct Access Error 0X0 Истоки проблем
Проблемы Direct Access Error 0X0 вызваны поврежденным или отсутствующим Direct Access Error 0X0, недопустимыми ключами реестра, связанными с DirectAccess, или вредоносным ПО.
В основном, осложнения Direct Access Error 0X0 связаны с:
- Поврежденная или недопустимая запись реестра Direct Access Error 0X0.
- Вирус или вредоносное ПО, которые повредили файл Direct Access Error 0X0 или связанные с DirectAccess программные файлы.
- Direct Access Error 0X0 злонамеренно удален (или ошибочно) другим изгоем или действительной программой.
- Direct Access Error 0X0 конфликтует с другой программой (общим файлом).
- DirectAccess (Direct Access Error 0X0) поврежден во время загрузки или установки.
Продукт Solvusoft
Совместима с Windows 2000, XP, Vista, 7, 8, 10 и 11
Цифровая выделенная линия (синхронный канал) в сети оператора связи («clear channel»)
Для постоянной надежной связи удаленных офисов часто используются выделенные цифровые каналы передачи данных. В этом случае оборудование заказчика подключается синхронными портами (V.35, X.21, E1) к оборудованию провайдера связи, а провайдер организует передачу данных по своей сети (обычно TDM-сеть). При этом на канальном уровне модели ISO OSI оборудование заказчика на одном конце канала «видит» оборудование, установленное на другом конце канала, из-за чего такой канал и называют чистым.
Данный способ объединения ЛВС офисов удобен пользователям, поскольку практически не зависит от расстояния между офисами, отличается крайне малыми задержками (обычно в пределах сотни микросекунд, т.е. на 2-3 порядка меньше, чем в пакетных сетях передачи данных). При предоставлении интерфейса E1 заказчик получает возможность разделить канал на несколько независимых каналов (установкой своего мультиплексора).
Однако, согласно современным требованиям, скорость передачи данных по таким каналам относительно низка (обычно в пределах 2 Мбит/с, хотя возможно арендовать канал E3, T3 или STM-1). При увеличении скорости передачи данных резко возрастает и стоимость данного канала, она значительно выше стоимости аренды L3 VPN-каналов той же скорости.
Организация связи через выделенные каналы «точка-точка» требует использования для каждого такого канала отдельного порта, что уменьшает гибкость и масштабируемость решения в случае объединения большого количества удаленных объектов (Рис. 3). Следует также иметь в виду, что стоимость синхронного порта передачи данных на скорости ниже 2 Мбит/с превосходит стоимость 100-мегабитного порта Ethernet, и рост стоимости порта происходит быстрее его скорости.
Рис. 3. Организация СПД на основе выделенных каналов связи
В настоящее время применение таких каналов может быть обусловлено в первую очередь необходимостью передачи голосового трафика по TDM-каналам в «чистом виде», и, возможно, какими-то специфическими приложениями. Их целесообразно использовать и в случаях, когда компания в состоянии обеспечить постоянную загрузку канала на скорости, близкой к максимальной.
Перспектив использования таких каналов для корпоративной передачи данных скорее всего не будет. На существующих сетях операторов связи они еще предоставляются, но активно развиваются уже другие технологии (такие как MPLS VPN).
Организация передачи данных в каналах, основанных на мультиплексировании сигнала с разделением по времени, не позволяет информации одного клиента попадать в сети другого клиента без нарушения исходной связи. Однако надо иметь в виду, что передаваемые данные всегда доступны операторам, предоставляющим канал. Поэтому многие компании склонны защищать любой внутрикорпоративный трафик, который передается по внешним (арендованным физическим или виртуальным) каналам.
Основное преимущество цифровой выделенной линии: заказчик получает «чистый» канал, который может использоваться по его усмотрению. Могут передаваться данные любых канальных протоколов. Дальность подобного канала фактически неограниченна. Задержки на таких каналах измеряются десятками микросекунд.
Недостатки: относительно низкая скорость передачи данных, более высокая стоимость канала по сравнению с L3 VPN той же пропускной способности.
Сотрудники забирают рабочие компьютеры домой
Самый простой способ. Сотрудники забирают компьютеры по домам и работают в режиме домашнего офиса. Потребуются дополнительные настройки на компьютерах, возможно, на домашних маршрутизаторах сотрудников.
Если пользователям нужен доступ к информационным системам в локальной сети организации (например, 1С, корпоративный портал и т. д., которые нельзя использовать через браузер) — необходим VPN для безопасного подключения.
Кому подойдёт: небольшим компания (примерно до 50 человек).
Преимущества: быстро.
Недостатки: низкий уровень безопасности данных, отсутствие контроля по физическому доступу к устройству.
Корпоративная спутниковая сеть
Функционирование данного типа корпоративной локальной сети строится на использовании мощностей HUB – спутникового терминала, расположенного в центрах управления сетью.
Каждый участник получает доступ к сети с помощью IP-адреса и спутника-ретранслятора, передающего сигнал для других пользователей.
Этот вариант организации корпоративной сети позволяет:
- оперативно подключать новых пользователей к существующей сети;
- удалённо отслеживать её функционирование, соблюдение участниками политики безопасности;
- гарантировать сохранность данных и тонкую настройку приватности.
Спутниковые сети – наиболее стабильный, дорогостоящий и технологичный способ организации обмена данными между сотрудниками одной структуры.
Step Two: Remote Access Server
The next step is to configure the Remote Access server. In our example we will have an edge server (firewall) with two network cards, so we need to select – Behind an edge device (with two network adapters), one of which is on the corporate network and the other is connected directly to the Internet or DMZ subnet. You also need to provide the external DNS name or IP address on the Internet (which is where port 443 is pinged to the external interface of the DirectAccess server) that the DA clients should connect to.
Network Topology Options
Then you must specify which NIC will be considered Internal (LAN) and which External (DMZ).
Now we need to generate a DA server certificate. To do this, create a new mmc snap-in, and add the Certificates console that manages local computer certificates.
Computer Certificates Snap-in
In the Certificate Management Console, request a new personal certificate by clicking on Certificates (Local Computer) ⇒ Personal ⇒ Certificates and selecting All Tasks ⇒ Request New Certificate…
Request New Certificate
Request a certificate through the Active Directory Enrollment Policy. We are interested in a certificate based on the Web Servers template.
In the new certificate request settings on the Subject tab, let’s fill out the fields that identify our company and on the Private Key tab, let’s specify that the certificate private key can be exported (Make private key exportable).
Certificate Creation Options
Save the changes and request a new certificate from CA. Request and generate a new certificate.
Return to the DirectAccess server settings window and click the Browse button to select the generated certificate. Specify our certificate.
In the next step of the wizard, we’ll select a method for authenticating Direct Access clients. Specify that authentication with Active Directory credentials (username/password) is used. Select the checkbox of Use computer certificates and Use an intermediate certificate. Click the Browse button to specify the certificate authority that will be responsible for issuing client certificates.
DirectAccess Client Authentication Settings
Корпоративная мультисервисная сеть
Особенность мультисервисной сети состоит в возможности передачи текстовой, графической, видео- и аудиоинформации с использованием одних и тех же каналов связи. Как правило, компании, предоставляющие услуги по построению мультисервисных сетей, создают решения под ключ, позволяющие передавать по IP-адресам все необходимые типы информации.
В техническом плане создаются отдельные подсистемы, предназначенные для передачи определённых видов информации, при этом для передачи данных используют коммутаторы, маршрутизаторы и усилители сигнала. Таким образом, сеть более стабильна, хорошо переносит высокий уровень нагрузок и позволяет периферийным устройствам максимально быстро обращаться к центральному серверу.
Центр поддержки Windows 7
Владельцы компьютеров с Vista наверняка успели оценить удобство центра обеспечения безопасности Windows. В новой версии операционной системы специалисты компании Microsoft существенно расширили возможности этого инструмента и присвоили ему новое говорящее название — центр поддержки. В отличие от «Висты», обновленный компонент информирует пользователя не только о проблемах безопасности Windows 7, но и обо всех других событиях, степень значимости которых можно оценивать по цветовой окраске сообщений. С помощью центра поддержки не составит труда убедиться, что система функционирует без ошибок, брандмауэр включен, антивирусные приложения обновлены и компьютер настроен для автоматической установки обновлений и резервного копирования важных данных. В случае выявления неполадок центр обновления Windows 7 выполнит поиск доступных решений в Интернете и приведёт ссылки на программные средства для устранения возникших ошибок.
Коммутируемый доступ
Коммутируемый доступ является, вероятно, одним из первых общедоступных способов удаленного подключения к сетям передачи данных.
Классическая схема организации такого доступа довольно проста – компания покупает один или несколько телефонных номеров и необходимое количество соединительных линий (аналоговых или в цифровом потоке E1) у оператора классической телефонной связи, устанавливает модемный пул, настраивает сервер доступа и может подключать пользователей.
В настоящее время данный способ доступа в сеть практически потерял свою привлекательность из-за низкой устойчивости соединений и скорости доступа и высоких затрат на выделенные телефонные номера, покупку входящего телефонного трафика и т.п. Вместо него все чаще используется подключение через Интернет по защищенному VPN-туннелю, поскольку сегодня подключение к Интернету порой найти проще, чем аналоговый городской телефон.
До сих пор используется некоторыми компаниями для подключения своих мобильных сотрудников к корпоративной сети передачи данных, а в некоторых случаях таким способом подключаются небольшие офисы.
К основным плюсам данного подключения следует отнести возможность мобильного подключения пользователей из любой географической точки, возможность контролировать доступ в сеть и «непередача» корпоративной информации по сетям передачи данных общего пользования. Хотя данные, передаваемые по телефонной сети общего пользования, обычно также нуждаются в дополнительной защите.
Сейчас услугу коммутируемого доступа в корпоративную сеть предлагают многие операторы связи. При этом все пользователи используют единый телефонный номер для доступа в свои корпоративные сети, а определение их принадлежности к той или иной компании осуществляется на основе уникального имени и пароля. Управление именем и паролем может быть делегировано оператором в компанию-заказчик услуги.
Пройдя авторизацию, пользователь через транспортную сеть оператора попадает в свою корпоративную сеть. По уровню безопасности такой доступ, с одной стороны, мало чем отличается от доступа в корпоративную сеть через Интернет, с другой стороны, в том, что сотрудники компании не соприкасаются с Интернетом, тоже есть немалое преимущество.
Таким же образом может осуществляться подключение небольших филиалов, которым требуется только периодический доступ к корпоративным ресурсам.
Для мобильных пользователей, а также для организации доступа из мест, где нет фиксированной телефонной связи и доступа в Интернет, возможна схема подключения к корпоративной сети с использованием GPRS. В этом случае пользователь подключается по GPRS к Интернету, а затем с помощью VPN-клиента подключается к корпоративной сети.
Рис. 2. Варианты организации коммутируемого доступа к КСПД
Основной недостаток коммутируемого доступа – низкая скорость передачи данных. Это зачастую делает некомфортной или даже невозможной работу с корпоративными приложениями. Лишает возможности удаленной работы с большими объемами данных. При необходимости доступа к приложениям на низких скоростях, такую функцию обычно закладывают заранее, используя специально написанные «тонкие» клиенты. В случае необходимости удаленной работы с приложениями, требующими больших объемов передачи данных, прибегают к использованию терминальных серверов (сейчас для этих целей в основном используется Citrix MetaFrame или Microsoft Terminal Server). В таких случаях удаленный пользователь сначала устанавливает соединение с терминальным сервером, а уже с него работает с необходимыми приложениями. При этом все данные приложения передается по высокоскоростным каналам между сервером приложений и терминальным сервером, а пользователь получает только копии экрана терминального сервера. Кстати говоря, использование терминальных серверов дает сетевым администраторам дополнительную единую точку контроля удаленного доступа к корпоративным приложениям.
Схемы с вариантами подключения приведены на Рис. 2.
Introduction
DirectAccess is the new Microsoft remote access technology that allows you to always be connected to your company network no matter where you are. In addition, DirectAccess allows corporate IT to always be connected to their managed assets, so that those systems are always managed, always up to date, always compliant and always under the control of corporate IT. DirectAccess is enabled by the combination of Windows 7 and Windows Server 2008 R2, and it’s perfected when you add the Unified Access Gateway (UAG) 2010 to the mix. While DirectAccess is possible without UAG, it really isn’t a viable enterprise-ready solution without it.
I’ve been using DirectAccess for quite a while now and I don’t know what I would do without it. It’s an amazing thing to always be connected. I don’t have to think about starting a VPN connection, don’t have to worry about whether the VPN connection will work, and I don’t have to deal with crummy web-based applications that are reachable through an SSL VPN gateway. With DirectAccess, I get to use my rich desktop applications on my rich client platform to put out quality work without ever thinking about connectivity. I’m just connected. From the user point of view, it’s a dream come true.
However, as an admin, you might have to troubleshoot DirectAccess connections from time to time. While DirectAccess connections are pretty reliable, nothing is perfect and there are going to be the occasional times when clients can’t connect and you have to figure out what the problem is. That’s what we’re going to discuss in this article today: some basic steps you can take to troubleshoot DirectAccess client connections.
Based on both Microsoft’s documentation and my own trial and error, here is my seven step plan to troubleshooting DirectAccess client connectivity:
- Confirm that the DirectAccess clients have received their Group Policy Settings
- Confirm that the client knows that it’s not on the intranet
- Confirm the NRPT settings on the DirectAccess client
- Confirm the IPv6 address on the DirectAccess client
- Confirm authentication for the DirectAccess tunnels
- Confirm that connectivity to DNS and domain controllers is working
Now let’s look at each of these steps in more detail.