Mr_SeReG@ [Off] [#] (24.06.2010 / 08:46)

С помощью Direct Access компьютер без использования традиционного VPN подключен в корпоративную сеть Microsoft. Если ноутбук с Windows 7 подключен к интернет хоть каким-либо способом, то абсолютно прозрачно поверх IPv4 или IPv6 создается защищенное соединение с корпоративной сетью. При смене способа подключения к Интернет подключение к корпоративной сети восстанавливается практически мгновенно.
Никаких настроек для этого делать не приходится, и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access. Таким образом, налицо облегчение жизни мобильному пользователю, но в тоже время сделано это не в ущерб безопасности. Перед тем, как машине будет разрешено подключиться в корпоративную сеть, она должна пройти проверку с помощью NAP, а пользователь должен авторизоваться с помощью смарт-карты. Трафик между машиной и удаленными серверами в Microsoft абсолютно прозрачно шифруется с помощью IPsec или https. Раньше при поездках по разным городам бывали проблемы с присоединением к корпоративному VPN. Происходило это из-за того, что некоторые одаренные провайдеры запрещали прохождение пакетов IPsec. Теперь же проблем нет вовсе. В общем с точки зрения конечного пользователя благодать да и только.

Казалось бы, экая невидаль – прозрачный VPN. Но на самом деле это первые признаки полной смены того, как мы строим свои сети. Представьте себе, насколько проще станет жизнь администратора, если мобильные пользователи всегда подключены в сеть. Нет необходимости поддерживать vpn-сервера и клиентов сторонних производителей. С точки зрения безопасности и управляемости тоже получаем солидные плюсы. Если моя система всегда в сети, то ее проще обновлять, мониторить и удаленно управлять ею.

Еще одно изменение, о котором стоит задуматься, состоит в том, что теперь межсетевой экран на внешнем периметре сети в его стандартном понимании становится бесполезен, т.к само понятие периметра размывается. Получается, что у вашей сети нет периметра как такового, а значит, все сетевые соединения становятся не доверенными. Подробно об этом писал Олег Ржевский в свое заметке “Время корпоративных брандмауэров заканчивается”.

Некоторые новые технологии Microsoft доступны исключительно при «правильном» сочетании клиентской и серверной операционных системах.
Одним из примеров такого «синергетического эффекта» является новая технология от Microsoft – DirectAccess, которая становится доступной при одновременном использовании в компании рабочих станций под управлением Windows 7 и серверов с ОС Windows Server 2008 R2.

Основное предназначение DirectAccess такое же, как у виртуальных частных сетей (VPN – Virtual Private Network), а именно — предоставление защищённого соединения с корпоративной сетью для удалённых пользователей, работающих через публичные сети (чаще всего — Интернет).

Основное отличие DirectAccess от VPN состоит в том, что безопасное соединение устанавливается в фоновом режиме без участия пользователя. Такой подход позволяет сделать максимально простой и удобной работу удалённых мобильных пользователей без снижения обеспечиваемого уровня безопасности. Устанавливаемое автоматически защищённое соединение не требует повторного ручного подключения, даже если связь с сетью Интернет прерывается, а групповые политики теперь могут применяться ещё до входа пользователя в ОС. Тоже самое касается и процедур установки обновлений программного обеспечения.

С помощью DirectAccess устанавливается защищённое двунаправленное соединение с использованием протоколов IPv6 (Интернет протокол версии 6 - Internet Protocol version 6) и IPSec (Безопасный интернет протокол - Internet Protocol security). Последний позволяет использовать для шифрования передаваемого трафика алгоритмы Triple Data Encryption Standard (3DES) или Advanced Encryption Standard (AES).
Принципиальная схема подключения изображена на рисунке.

Компьютер пользователя соединяется с сервером DirectAccess, который выступает в роли своеобразного шлюза для доступа к остальным корпоративным ресурсам. При этом клиент DirectAccess, являющийся частью Windows 7, устанавливает два соединения с использованием IPSec ESP (Протокол безопасного закрытия содержания - Encapsulating Security Payload) :
IPsec ESP тоннель с использованием сертификата компьютера для обеспечения соединения с корпоративным DNS сервером и контроллером домена, который позволяет применять к компьютеру групповые политики до входа пользователя в ОС;

IPsec ESP тоннель с одновременным использованием сертификата компьютера и учётных данных пользователя для предоставления доступа к внутренним корпоративным ресурсам и приложениям.

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:48)

При большом количестве внешних пользователей для серверов DirectAccess может применятся технологии кластеризации и балансировки нагрузки.

Важным преимуществом DirectAccess является возможность разделения “корпоративного” трафика и трафика, предназначенного для внешних Интернет серверов. Благодарая этому DirectAccess, в отличие от VPN, автоматически снижает нагрузку на корпоративные сервера, за счёт перенаправления интернет-трафика в обход установленных защищённых соединений.

DirectAccess производит аутентификацию компьютера ещё до входа пользователя в операционную систему, предоставляя доступ к DNS серверам и контроллерам домена. При последующей аутентификации пользователя ему предоставляются права доступа к другим внутренним ресурсам компании. При этом, помимо стандартной аутентификации пользователя по имени и паролю, для обеспечения более высокого уровня безопасности может использоваться двухфакторная аутентифкация с применением смарт-карт, что существенно снижает вероятность компрометации учётных данных пользователя.

При использовании DirectAccess смарт-карты могут применяться для аутентификации пользователя вне зависимости от используемого им компьютера, аутентификации компьютера вне зависимости от работающего за ним пользователя и дополнительной аутентификации при доступе к конкретным внутренним ресурсам.

Для использования DirectAccess желательна поддержка современного протокола IPv6, но, также допустима работа с использованием IPv4 или Teredo IPv6, которые позволяют инкапсулировать трафик IPv6 в широко распространённый сегодня IPv4.

При необходимости проверки состояния подключаемых к корпоративной сети компьютеров для снижения вероятности воздействия вредоносных программ на защищённость информационных ресурсов компании DirectAccess позволяет использовать технологии NAP (Network Access Protection — Безопасность сетевого доступа) и NAC (Network Access Control — Контроль сетевого доступа).

Так, например, для предоставления возможности подключения к корпоративной сети можно потребовать наличия на компьютере пользователя актуальных обновлений операционной системы, актуальных антивирусных баз и соответствия другим политикам безопасности. Компьютер пользователя, заражённый вирусом, не сможет получить доступа к корпоративным ресурсам, что ограничит распространение вирусной эпидемии.

Использование NAP и NAC совместно с DirectAccess не является обязательным условием, но крайне рекомендуется корпорацией Microsoft для обеспечения максимального уровня обеспечения информационной безопасности.
Таким, образом, для полноценного использования DirectAccess необходима соответствующая инфраструктура, в составе которой потребуются:
Сервер DirectAccess на базе ОС Windows Server 2008 R2;
Клиент DirectAccess на рабочей станции и Windows 7;
Два сетевых интерфейса на сервере для соединения с внешней (Интернет) и внутренней (Интранет) сетями;
Инфраструктура открытых ключей (PKI – Public Key Infrastructure;
Домен на базе Active Directory;
Поддержка протокола Ipv6;
NAC и/или NAP решения.

Такие технологии, как DirectAccess, напрямую направлены на дальнейшее развитие «облачных» вычислений, ставших столь популярными в последнее время.

Суть облачных вычислений состоит в том, чтобы предоставлять пользователю сервисы вне зависимости от его местонахождения. С учётом того, что скорости и пропускные способности каналов связи для мобильных устройств существенно выросли за последнее время и продолжают возрастать, всё больше и больше пользователей не будут замечать разницы при работе внутри стен офиса или далеко за его пределами. С помощью DirectAccess администраторы получают возможность удалённо управлять компьютерами организации вне зависимости от того, где в данный момент физически находится рабочая станция пользователя — в офисе, на другом краю света или существует в виде файла виртуальной машины в дата-центре.

Сочетание современных технологий позволит получить основные преимущества масштабируемости, мобильности и мощности вычислений.

DirectAccess – очень интересное решение. Вполне возможно, что со временем оно полностью вытеснит VPN. Действительно, возможность без дополнительной головной боли получать доступ к корпоративным файловым серверам, внутренним веб-сайтам и приложениям существенно облегчит жизнь как самим пользователям, так и администраторам — за счёт уменьшения времени, которое сейчас затрачивается на разъяснения и помощь при подключении к VPN-серверам.

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:48)

Фишки Windows 7 для Firefox

Любите Firefox и используете Windows 7? Если вы сожалеете о том, что в Firefox пока нет поддержки таких новых вещей Win7, как JumpLists, то вам поможет новый проект Winfox. Winfox — это отдельная программа, которая разработана сторонним разработчиком. Для работы ей требуется Firefox версии 3.0 или выше.

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:50)

Возможности:
* поддержка списка предыдущих вкладок;
* поддержка задач;
* поддержка закрепления вкладок;
* предпросмотр окон firefox в стиле Win7.

Скачать версию под платформы x86 и x64 можно по приведенной выше ссылке.

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:52)

Windows Touch

Отодвиньте мышь. С помощью Windows 7 и компьютера с сенсорным экраном можно просматривать газеты в Интернете, пролистывать фотоальбомы и перемещать файлы и папки одним движением пальца.
Ограниченная возможность касания одним пальцем применяется в Windows уже много лет. Однако в Windows 7 впервые полностью представлена мультисенсорная технология. Требуется увеличить масштаб объекта? Поставьте два пальца на экран ПК с поддержкой мультисенсорного ввода и раздвиньте их в стороны. Чтобы имитировать нажатие файла правой кнопкой мыши, коснитесь его одним пальцем, а экрана — вторым.

Функция Windows Touch, доступная только в выпусках Windows 7 Домашняя расширенная, Профессиональная и Максимальная, увлекательна в обучении и проста в использовании. Меню "Пуск" и панель задач теперь имеют большие и удобные для касания значки. Все популярные программы Windows 7 также поддерживают сенсорное управление. Рисовать пальцами можно даже в программе Paint!

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:56)

Play To - Воспроизвести на

Play To (Воспроизвести на) — новая функция Windows 7, которая позволяет с легкостью воспроизводить музыку и видеозаписи на других домашних ПК, телевизорах и стереосистемах, подключенных к сети. Нажмите правой кнопкой мыши записи, которые необходимо прослушать, или добавьте их в список воспроизведения проигрывателя Windows Media 12, и выберите команду Play To. Теперь вы — диджей.

Функция Play To работает с другими ПК под управлением Windows 7, а также с устройствами, имеющими эмблему «Совместимо с Windows 7».

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:57)

Удаленная потоковая передача мультимедиа

Хотелось ли вам когда-либо наслаждаться музыкой, просматривать видеозаписи или изображения на домашнем ПК, находясь вдали от дома? Теперь это возможно. Windows 7 представляет функцию удаленной потоковой передачи мультимедиа, которая обеспечивает легкий доступ к библиотеке проигрывателя Windows Media 12 через Интернет.

Чтобы использовать функцию удаленной потоковой передачи мультимедиа, оба компьютера должны работать под управлением Windows 7. Включите ее с помощью нового меню «Поток» в проигрывателе Windows Media 12, а затем свяжите оба компьютера с веб-идентификатором, таким как адрес электронной почты

Удаленная потоковая передача мультимедиа — только одна из возможностей использования материалов библиотеки мультимедиа Windows 7 в любом месте. При наличии домашней группы можно с легкостью передавать потоки мультимедиа между домашними компьютерами. Также возможно передавать файлы на стереосистему или телевизор с помощью функции PlayTo (может потребоваться дополнительное оборудование).

Mr_SeReG@ [Off] [#] (24.06.2010 / 08:59)

Windows XP Mode не требует аппаратной поддержки виртуализации

Одной из самых интересных возможностей Windows 7, призванной упростить проблемы, связанные с переходом на Windows 7 с Windows XP, является XP Mode – виртуальная Windows XP, которая может работать в Windows 7 Professional и Ultimate.

Еще несколько дней назад для работы с XP Mode пользователям пришлось бы иметь аппаратную поддержку виртуализации в виде Intel VT или AMD-V. Однако теперь это не так. Отныне для работы XP Mode аппаратная поддержка виртуализации пользователям не нужна. На днях это анонсировала компания Microsoft.
По данным Microsoft, Windows XP Mode больше не требует аппаратной поддержки технологий виртуализации. Это упрощение делает виртуализацию более доступной для компьютеров небольшого и среднего бизнеса, желающего перейти на Windows 7 Professional или более высокие издания новой операционной системы и в то же время желающего работать со своими приложениями для Windows XP.

Так-же это обновление будет доступно в 1 SP который уже анонсирован, но еще не доступен для скачивания.

M7R [Off] [#] (26.06.2010 / 17:22)

Када буит 1sp?

бозон_хиггса [Off] [#] (26.06.2010 / 17:25) царь есть азмъ!!!

дoxтyp,гг y тя фишки виндayca c aтлeтaм гyceй нa юг нe acoцыиpyютca?

Mr_SeReG@ [Off] [#] (26.06.2010 / 19:21)

M7R, Завтра! Осталось лишь запаковать, за ночь думаю управлюсь!