Что может дать DirectAccess пользователям Windows 7? |
|
Здравствуйте, гость ( Вход | Регистрация )
Что может дать DirectAccess пользователям Windows 7? |
23.11.2010, 14:18
Сообщение
#1
|
|
Лейтенант Группа: Пользователи Сообщений: 11648 Регистрация: 7.11.2017 Пользователь №: 20887 |
Удаленную схему работы можно считать одним из современных трендов. Достаточно часто специалисты, которые немного приболели, не вызывают врача и не берут больничный, а остаются на пару дней работать дома. Кроме того, многие менеджеры, находясь в командировке, тем не менее, должны читать корпоративную почту, писать отчеты и пр. Помимо всего прочего, некоторые компании по тем или иным причинам...
Читать статью на CNews |
|
|
23.11.2010, 14:18
Сообщение
#2
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Цитата Работает со всеми фаерволами + - Цитата С помощью DirectAccess устанавливается защищенное двунаправленное соединение с использованием протоколов IPv6 и IPSec. Хм... как-то одно с другим не вяжется.. да и IPv6 с IPSec это, вроде как, немножко из разных опер (даже OSI layer разный) |
|
|
23.11.2010, 14:32
Сообщение
#3
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Гостовское шифрование не поддерживается, оси, отличные от W7/2008, -- тоже. Можно закапывать.
|
|
|
23.11.2010, 15:31
Сообщение
#4
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
|
|
|
23.11.2010, 15:38
Сообщение
#5
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Гостовское шифрование не поддерживается И хорошо... Шифрование - не тушонка, я как слышу про "соответствие - так и настораживаюсь... Меньше всего на свете государство заинтересовано в неприкосновенности моей информации.По ГОСТ все-же лучше, чем по ТУ. :D И все-таки государство выбирает стандарт шифрования, не для того что-бы было легче его читать, а прямо с противоположными целями. |
|
|
23.11.2010, 16:00
Сообщение
#6
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
anushri государство устанавливает ГОСТЫ не для себя, а для нас... И решает при этом совсем не задачу защиты своей инфы, а как раз таки задачу доступа к нашей. Оно правильно делает - мало ли что мы задумаем. Но и мы правильно действуем - мало ли что ему хочется. Мораль автономна - правда у каждого своя.
|
|
|
23.11.2010, 16:18
Сообщение
#7
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
anushri государство устанавливает ГОСТЫ не для себя, а для нас... И решает при этом совсем не задачу защиты своей инфы, а как раз таки задачу доступа к нашей. Оно правильно делает - мало ли что мы задумаем. Но и мы правильно действуем - мало ли что ему хочется. Мораль автономна - правда у каждого своя. Совершенно неправы... Мы в отличие от государства можем выбирать, как шифровать свою информацию... Хоть по ГОСТ РФ, хоть по US, а можно по любому другому, алгоритмы многих хорошо описаны и давно реализованы. |
|
|
23.11.2010, 16:25
Сообщение
#8
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Мы в отличие от государства можем выбирать, как шифровать свою информацию... Хоть по ГОСТ РФ, хоть по US Это только до тех пор, пока мы шифруем как физичекские лица - и как частные корпорации для внутрикорпоративных нужд. А как только начинается коммерческая коммуникация с потребителями или даже просто передача личных данных - тут-то мы и попали на ГОСТ, будь он неладен. Правда, формально ограничение обходится двойной защитй: сначала шифруем по ГОСТу, затем - дополнительно для надёжности нестандартно шифруемся от самого государства, или наоборот. Для Закона нестандартно защищённая инфа - просто незащищённая, а защищённая стандартно - защищённая, даже если предварительно защищена нестандартно. |
|
|
23.11.2010, 17:56
Сообщение
#9
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Ага. Обматываем причинный орган изолентой, а свеху надеваем презерватив по ГОСТ-у. Государство меж тем блокирует поставки девайсов типа Cisco ASA с приличным шифрованием...
|
|
|
25.11.2010, 13:22
Сообщение
#10
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Ага. Обматываем причинный орган изолентой, а свеху надеваем презерватив по ГОСТ-у. Государство меж тем блокирует поставки девайсов типа Cisco ASA с приличным шифрованием... В чём проблема?! Откроет сиська, как МС, исходники IOS для сертификации -- будут сиськи работать. Или там таки есть что скрывать? К тому же, если Вы знаете сиськинские роадмапы, Вы понимаете, что как магистральные маршрутизаторы они уже не нужны, и фирма по сути дела меняет профиль деятельности... А приличное шифрование и ко вьятте привинитим, и всё будет чики-пуки... (Правда, документация у вьятты -- это такоооое говнооооооо... ) |
|
|
26.11.2010, 14:54
Сообщение
#11
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
не забываем про получение лицензии на обслуживание оборудования с шифрованием, либо заключение договора, на обслуживание этого оборудования, с конторой, у которой есть лицензия.
некоторые плюсы и минусы в табличке от МС выглядят не однозначно. Сообщение отредактировал Grimnir - 26.11.2010, 14:54 |
|
|
29.11.2010, 2:34
Сообщение
#12
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
DirectAccess vs. VPN
Особенность Direct Access OpenVPN Компьютер клиента подключается автоматически + + ( легко прописать в автозагрузку) Работает со всеми фаерволами + + ( кто то запрещает использовать TCP порт 443) Поддерживает выборочную аутентификацию и шифрование + + ( таб маршрутизации на клиенте в конфиге) Поддерживает управление клиентскими ПК + - ( в каждой ОС своё уд управление ) Совместим с Windows Vista и более ранними версиями Windows, установленными на клиентских ПК - + Поддерживает работу с другими ОС - + Работает с ПК, не связанными с сервером - + Не требует установки Windows Server 2008 на сервер - + или OpenVPN и не VPN вовсе ? Сообщение отредактировал arsis - 29.11.2010, 2:37 |
|
|
29.11.2010, 8:56
Сообщение
#13
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Поддерживает управление клиентскими ПК + - ( в каждой ОС своё уд управление ) А какое управление клиентскими ПК VPN не поддерживает? 0о или OpenVPN и не VPN вовсе ? Для мелкомягких точно не одно и то же У них до сих пор нужно жать "Установить соединение", как и 10 лет назад :-: |
|
|
30.11.2010, 12:31
Сообщение
#14
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Гостовское шифрование не поддерживается, оси, отличные от W7/2008, -- тоже. Можно закапывать. неправда ваша. или вы этим никогда не занимались и не являетесь экспертом или намеренно вводите в заблуждение всех. CryptoPro дополнения для ОС Microsoft были всегда, что нормально, поскольку она имеет львиную долю рынка. Есть и другие компании которые наоборот предоставляют такие алгоритмы, которые непроходили сертификацию в государственных органах. Далее - встроенную поддержку IPv6 имеет действительно WS 2008. Если системы к которым подключается удалённое устройство с Windows 7 (Корпоративная) другие - они не могут уже адекватно реагировать на запросы на новом для них протоколе (это скорее недостаток их, чем достоинство). Архитектрура решения позволяет обойти эти ограничения и для доступа к серверам WS2003\ Linux использовать к примеру аппаратный гейт IPv4 \ IPv6 или на границе сети ставить Microsoft Unified Access Gateway - в итоге IPv6 нужно будет с устройства только до него прокидывать - внутри сети компании - ничего не изменится. Microsoft UAG также может быть дополнен необходимыми алгоритмами по российскому ГОСТ. И ещё. Direct Access начинает установку соедениения со своими управляющими серверами ещё до входа пользователей в систему, таким образом настройки заданные для этого ПК или пользователя уже будут применены в момент его регистрации. DA может быть настроен как "включен всегда" - без нажатия каких либо кнопок со стороны пользователя - он вообще прозрачен для него. |
|
|
30.11.2010, 14:27
Сообщение
#15
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
неправда ваша. Занимаюсь бизкими вещами, сертификацией в частности.или вы этим никогда не занимались и не являетесь экспертом или намеренно вводите в заблуждение всех. Цитата CryptoPro дополнения для ОС Microsoft были всегда, что нормально, поскольку она имеет львиную долю рынка. А КриптоПро к DA привинчивается?Есть и другие компании которые наоборот предоставляют такие алгоритмы, которые непроходили сертификацию в государственных органах. Цитата Далее - встроенную поддержку IPv6 имеет действительно WS 2008. Если системы к которым подключается удалённое устройство с Windows 7 (Корпоративная) другие - они не могут уже адекватно реагировать на запросы на новом для них протоколе (это скорее недостаток их, чем достоинство). Архитектрура решения позволяет обойти эти ограничения и для доступа к серверам WS2003\ Linux использовать к примеру аппаратный гейт IPv4 \ IPv6 или на границе сети ставить Microsoft Unified Access Gateway - в итоге IPv6 нужно будет с устройства только до него прокидывать - внутри сети компании - ничего не изменится. Microsoft UAG также может быть дополнен необходимыми алгоритмами по российскому ГОСТ. Получается многокомпонентная солянка -- а с помощью дополнительного шлюза можно реализовать практически вообще что угодно в любом варианте решения, так что это не преимущество МС.Преимущество будет у того решения, в котором МС не стоит голым фейсом к Интернету (так как вменяемому клиенту надо работать, а не заниматься гамма-тестированием микрософтовских комбайнов и не набирать статистику для разработчиков антивирусов). В таком случае придётся пробрасывать DA по OpenVPN или сиське, что по сути делает DA бесмысленным. |
|
|
1.12.2010, 20:13
Сообщение
#16
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
А КриптоПро к DA привинчивается? Некорректный вопрос. Дополнительные модули от КриптоПро ставятся (привинчиваются) на ОС. Поэтому я его перефразирую: А будет работать DA именно на нужных алгоритмах если система модифицированна надстройками от КриптоПро? Сам я не пробовал. Думаю будет работать. По крайней мере DA может "заруливать" трафик через TLS, а TLS-то сделать по ГОСТ не проблема. Поэтому ни вы, ни я на 100% не знаем что DA на ГОСТовых алгоритмах работать не будет. Собственно ваш однозначный комментарий и побудил меня начать дискуссию. К слову, я думаю, что КриптоПро - как никто другой заинтересован чтобы DA работал ;) Получается многокомпонентная солянка -- а с помощью дополнительного шлюза можно реализовать практически вообще что угодно в любом варианте решения, так что это не преимущество МС. Преимущество будет у того решения, в котором МС не стоит голым фейсом к Интернету (так как вменяемому клиенту надо работать, а не заниматься гамма-тестированием микрософтовских комбайнов и не набирать статистику для разработчиков антивирусов). В таком случае придётся пробрасывать DA по OpenVPN или сиське, что по сути делает DA бесмысленным. С моей точки зрения MIcrosoft + Open VPN + Cisco + AV software + 3rd party management system и есть "многокомпонентная солянка". Неповоротливый и трудно управляемый (по части интеграции) и дорогой. Выставлять WS с DA в инет и обслуживать только запросы удалёных Win7 - глупо и малоэффективно. Ибо: - сотрудники не смогут работать на отличных от доменных Windows 7 ноутов - в случае выхода его из строя - нарушается ключевое правило DA - "всегда включен" - сам WS не предназначен для работы "голым фейсом" (мне понравилось выражение) в Инете (хотя может) Решением этих и других задач и занимается программный шлюз - Microsoft UAG. Он же и рекомендован к использованию в этих конфигурациях как полноценный МЭ с возможностью управления и контроля удалённых устройств. Идея DA в том что это встроенное решение (за которое уже заплатили в рамках лицензии ОС), которое обеспечивается поддержкой производителя, которое может быть использовано совместно с другими встроенными же компонентами платформы Microsoft (групповые политики, режим NAT, Bitlocker, Advanced Firewall, PowerShell), а управлять им ( и другими компонентами) может тот же Windows Admin. В "многокомпонентной солянке" о которой говорил я требования к знаниям, квалификации support team ( я уже не говорю об архитекторе который сделает проект или будет придумывать как его изменять потом) совершенно иные, а значит и риски. Сейчас кстати - очень мало внедрений DA. На мой взляд это связано с тем что - ИТ-стафф не успевает или не хочет учить матчасть (ибо некогда, ибо лень, ибо вообще не нужно удалённый доступ довать, поскольку в компании нет ноутов, например) - требуются серьёзные знания IPv6, которыми админы Windows не обладают (и не должны скорее всего). Причем, ладно с внутренней сетью (как я говорил: поставил UAG на входе и внутри оставил IPv4), но прежде всего подключения IPv6 с внешней стороны. |
|
|
27.2.2011, 1:52
Сообщение
#17
|
|
Группа: Сообщений: 0 Регистрация: -- Пользователь №: |
Спасибо за статью. Надо будет постестировать это дело... Имхо, удаленная работа - очень перспективное направление. С уважением, Евгений.
Не стоит нарушать Правила, ссылка приведённая Вами, никакого отношения к обсуждаемой теме не имела. Сообщение отредактировал julius - 27.2.2011, 9:54 |
|
|
Текстовая версия | Сейчас: 27.9.2024, 12:46 |