По дате Июнь 6th, 2009

Безопасность терминальных служб в WIN 2008

Особенности, ключевые отличия от предыдущих версий:

- доверие серверу;
- MitM и DOS-атаки;
- доверие RDP-файлам;
- шифрование соединений;
- печать из приложений;
- простой вход для пользователей;

NLA - Network Level Authentification:
- окно для ввода данных - “стандартное” окно аутентификации;
- пользователь получает доступ к виртуальному рабочему столу ПОСЛЕ аутентификации! (в отличие от предыдущих версий);

Использование сертификатов для подписывания RDP-файлов;
- сертифицированный файл подписан издателем;
- при многократном запуске имеется возможность запускать без предупреждения;
- неподписанные файлы при попытке запуска вызывают предупреждение.

Технология Easy Print:
- установка драйверов только для клиентов (проблема “старого железа” и новых ОС);

Технология Single Sign On:
- при входе в систему пользователь автоматически получает доступ к терминальным серверам и приложениям без дополнительного запроса учетных данных;
- запуск терминальных служб с рабочей станции;

Несколько способов шифрования
- более современный (ключ 128 бит) - не совместим со старыми версиями RDP Client;
- “Максимально допустимый для клиента”;
- менее защищенный (ключ 52 бита) - совместим со старыми версиями;

Удаленный доступ через TS Gateway:
- ранее возможно было организовать терминальный доступ лишь одним из двух возможных способов - через порт 3389 /либо с использованием VPN;
- TS Gateway позволяет осуществлять доступ к удаленному рабочему столу через 443 порт!
- CAP - Connection Authorisation Policies - Разрешенные методы авторизации, каким пользователям и с каких компьютеров разрешено подключаться + для каких устройств разрешено перенаправление;
- RAP - Resource Authorisation Policies - “Политики ресурсов” - К каким группам компьютеров AD разрешено подключаться (или группам TSG) и через какие порты может происходить подключение

NAP - Network Access Protection
- основанная на стандартах платформа для управления доступом на основе “здоровья” конечных рабочих станций;
- TSG может быть интегрирован в расширенную структуру NAP, либо NAP может использоваться только для удаленного доступа;
- проверка статуса обновлений антивируса/файрволла/обновлений безопасности происходит при подключении к TS Gateway - TS Gateway при помощи NAP производит проверку и либо отклоняет соединение, либо “разрешает”;

Опубликовано Июнь 6, 2009 | автор: levik  |  Нет комментариев »