Suchen

Windows-7-Bordmittel für mehr Sicherheit – Teil 1 Windows 7 gewährleistet sichere VPN-Verbindungen mit DirectAccess

| Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Eine der wichtigsten Neuerungen von Windows 7 aus Security-Sicht ist DirectAccess. Diese Microsoft-Technologie erlaubt gegenüber traditionellen Virtual-Private-Network-Lösungen einen verbesserten Remote-Zugriff auf das Firmennetzwerk. Security-Insider.de hat sich mit dem VPN-Bordmittel von Windows 7 Professional und Ultimate befasst.

Firma zum Thema

Windows verbindet: DirectAccess stellt automatisch einen VPN-Tunnel zwischen Client und dem Firmennetzwerk her.
Windows verbindet: DirectAccess stellt automatisch einen VPN-Tunnel zwischen Client und dem Firmennetzwerk her.
( Archiv: Vogel Business Media )

Angesichts der Beliebtheit und Verbreitung von Home-Office-Arbeitsplätzen sind viele VPN-Lösungen (Virtual Private Network) hoffnungslos veraltet. Es lässt sich kaum abschätzen, wie viel Arbeitszeit durch hängende VPN-Verbindungen sinnlos vergeudet wird. Die neue Microsoft-Technologie DirectAccess verspricht Abhilfe für diverse Schwächen traditioneller VPNs.

Der Einsatz von DirectAccess setzt Windows Server 2008 R2 als Serverbetriebsystem und Windows 7 (Enterprise oder Ultimate) auf dem Client voraus. Es wird empfohlen, auf dem Server keine anderen Features zu aktivieren, sodass er allein die Verfügbarkeit des Direct-Access-Zugang sicherstellt.

Ferner muss im Enterprise-Netzwerk mindestens ein Domänencontroller sowie ein DNS-Server mit Windows Server 2008 oder Windows Server 2008 R2 zur Verfügung stehen. Um die Sicherheit zu gewährleisten sind ferner eine Public-Key-Infrastruktur sowie IPsec-Richtlinien notwendig. Da DirectAccess auf IPv6 basiert, kommt man derzeit nicht ohne zusätzliche Tunnelmechanismen (6over4, Teredo, ISATAP) und Übersetzungsverfahren (NAT-PT) aus.

Grundlagen

Die grundlegende Idee hinter DirectAccess ist, dass der Client-Rechner stets transparent eine Verbindung zum Firmennetzwerk herstellt. Im Gegensatz zu einem traditionellen VPN entfällt damit die User-Interaktion. Dies entlastet nicht nur den Helpdesk – etwa im Fall eines Verbindungsabbruchs, in dem der Mitarbeiter erneut die Verbindung herstellen müsste – sondern erlaubt dem Administrator mehr Kontrolle über den Client-Rechner.

Da nämlich der Tunnel jederzeit steht, kann auch der Administrator jederzeit verwaltend eingreifen. Um Software-Patches oder Updates für den Virenscanner einzuspielen, muss man also nicht darauf warten, dass der Benutzer die VPN-Verbindung herstellt. Unter der Voraussetzung einer bestehenden Internet-Verbindung reicht es aus, dass der Anwender seinen Computer einschaltet.

Ein weiteres wesentliches Feature ist die Entlastung des Enterprise-Netzwerks. In einem traditionellen VPN-Netzwerk wird – wenn es erst einmal steht – der gesamte Internet-Traffic über das Firmennetzwerk geroutet. Doch diese Architektur ist einerseits störanfällig (fällt das VPN aus, geht gar nichts mehr) und verschwendet andererseits unnötig Kapazitäten. Im DirectAccess-Modell erfolgt über den Tunnel nur der Zugriff auf Firmenressourcen, während Internetanfragen direkt bearbeitet werden.

Seite 2: Sicherheitsfunktionen von DirectAccess

(ID:2042880)