Политика удаленного доступа windows
Управление политикой удаленного доступа.
Политики удаленного доступа — это упорядоченный набор правил, определяющих порядок авторизации подключения или отказа в подключении. Для каждого правила имеется одно или несколько условий, набор параметров профиля и настройка разрешений удаленного доступа.
На следующем рисунке показан алгоритм обработки попыток подключения с использованием политики удаленного доступа.
Для управления политикой удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Все настроенные политики удаленного доступа отображаются в списке справа.
На сервере удаленного доступа может быть установлено несколько политик. В этом случае порядок их анализа и применения определяется числом, указанным в колонке Порядок. Вы можете изменять порядок применения политик, используя команды Вверх и Вниз контекстного меню, вызываемого при нажатии правой кнопки мыши на имени политики. Политики анализируются в порядке возрастания числа в колонке Порядок.
Добавление новой политики удаленного доступа.
Для добавления новой политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Создать политику удаленного доступа. Будет запущен Мастер создания политики удаленного доступа.
На первом шаге мастера вы должны указать имя политики, которое будет использоваться для ее отображения в списке политик. К тому же вы можете выбрать стандартный набор правил создаваемой политики или создать свой, установив переключатель Каким образом следует установить эту политику в соответствующее положение.
На следующем шаге мастера вы должны задать способ доступа к серверу, для которого создается новая политика.
Имеется два способа предоставления авторизации с помощью политик удаленного доступа:
- Для отдельных пользователей.
- Для групп.
На следующем шаге мастера вы должны указать, способ предоставления авторизации.
Список Имя группы содержит имена групп, на которые будет распространяться действие данной политики. Добавить или удалить группу из списка можно нажав соответствующую кнопку.
На данном шаге мастера вы можете выбрать методы проверки подлинности удаленного подключения. Методы проверки подлинности обычно используют протокол проверки подлинности, который согласовывается в процессе установления соединения.
Протокол EAP, по соображениям безопасности, следует использовать только при работе со смарт-картами. Если проверка подлинности выполняется по протоколу MS-CHAP, используйте MS-CHAP версии 2.
Следующий шаг мастера позволяет установить уровень шифрования.
MPPE и IPSec используют следующие ключи шифрования: 40-битный (простое шифрование), 56-битный (сильное шифрование) или 128-битный (стойкое шифрование).
При подключении к старым операционным системам, не поддерживающим шифрование с 56-битным или 128-битным ключом, следует использовать 40-битные ключи шифрования. В других случаях применяйте 56-битные ключи шифрования. Ключи шифрования определяются во время подключения. MPPE требует использования протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP.
На последнем шаге мастера выводится сводная информация о создаваемой политике. При необходимости можно изменить параметры создаваемой политики, щелкая кнопку Назад.
После щелчка по кнопке Готово новая политика удаленного доступа будет создана и добавлена в список политик.
Настройка параметров политики удаленного доступа.
Для настройки параметров политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Свойства.
На вкладке Параметры вы можете настроить параметры выбранной политики удаленного доступа.
В списке Укажите условия, которым должны удовлетворять запросы на подключение вы должны указать одно или более условий, которые должны выполняться для того, чтобы к клиентам удаленного доступа применялась указанная политика доступа. Новое условие можно добавить щелкнув кнопку Добавить. Условие можно изменить, щелкнув кнопку Изменить, или удалить, щелкнув кнопку Удалить. Окно настройки условия зависит от типа условия.
При помощи переключателя Если запрос на подключение удовлетворяет указанным условиям вы можете настроить поведение сервера удаленного доступа после выполнения клиентом необходимых условий. Вы можете выбрать один из вариантов:
- Предоставить право удаленного доступа – пользователю будет предоставлено право использования удаленного доступа;
- Отказать в праве удаленного доступа – пользователю будет отказано в праве использования удаленного доступа. Если для конкретного пользователя переопределены права доступа в параметрах его учетной записи, то доступ будет предоставлен в соответствии с параметрами учетной записи.
Щелкнув кнопку Изменить профиль, вы можете изменить параметры профиля пользователя удаленного доступа, который будет использоваться для каждого удаленного пользователя, удовлетворяющего условиям политики.
На вкладке Ограничения по входящим звонкам вы можете настроить ограничения для входящих соединений.
Для того, чтобы установить ограничение на время простоя при удаленном соединении, установите флажок Время простоя сервера до разъединения и введите необходимое количество минут. Для того, чтобы ограничить продолжительность любого сеанса удаленного пользователя, установите флажок Время, в течение которого клиент может быть подключен и введите необходимое количество минут.
Установив флажок Разрешить доступ только в определенное время, вы можете настроить дни недели и часы, в которые пользователь может подключаться к серверу удаленного доступа. Для изменения графика используйте кнопку Изменить.
Для того, чтобы разрешить подключение пользователя только с определенного телефонного номера, установите флажок Разрешить вход только по этому номеру и введите нужный номер. Вы также можете ограничить набор средств, которыми пользователь может подключаться к серверу удаленного доступа. Для этого установите флажок Разрешить доступ только через эти носители и установите пометки рядом с нужными параметрами в списке.
На вкладке IP вы можете настроить параметры IP-адреса клиента.
При помощи переключателя Назначение IP-адресов вы можете выбрать один из следующих вариантов поведения:
- IP-адрес должен быть назначен сервером – IP-адрес клиенту всегда выделяется сервером удаленного доступа;
- Клиент может запросить IP-адрес – клиент может использовать как статический IP-адрес, так и динамический, который он запрашивает у сервера удаленного доступа;
- IP-адрес определяют параметры сервера – порядок настройки IP-адреса клиента определяется настройками сервера удаленного доступа и параметрами учетной записи пользователя.
- Статический IP-адрес пользователя — устанавливается администратором вручную.
При помощи кнопок Фильтры входа и Фильтры выхода вы можете настроить фильтрацию IP-пакетов, применяемых сервером удаленного доступа при подключении клиента.
На вкладке Многоканальное подключение настраивается возможность использования клиентом многоканальных подключений.
При помощи переключателя Параметры многоканального подключения вы можете выбрать один из следующих вариантов поведения:
- Определяются сервером – возможность использования многоканальных подключений определяется настройками сервера удаленного доступа;
- Не разрешать многоканальные подключения – клиент удаленного доступа может использовать только один порт для подключения;
- Разрешать многоканальные подключения – клиенту разрешено использование указанного (поле Максимальное число портов) или меньшего количества портов для подключения.
Ниже вы можете настроить параметры протокола BAP, используемого при многоканальных подключениях. Для отключения дополнительных линий при снижении нагрузки на соединение в целом, установите необходимые значения в поле Процент загрузки. В этом случае линии будут отключаться по одной при снижении общей нагрузки до указанного уровня в течение указанного периода времени. Установив флажок Требовать BAP для динамических многоканальных запросов, вы укажете, что клиент должен использовать протокол BAP для динамического подключения или отключения дополнительных линий. В противном случае после отключения дополнительных линий при снижении нагрузки клиент не сможет подключить их обратно, когда нагрузка на канал возрастет.
На вкладке Проверка подлинности вы можете настроить поддержку различных протоколов проверки подлинности и шифрования при обмене данных с клиентом удаленного доступа.
Устанавливая флажки рядом с соответствующими протоколами, убедитесь, что эти протоколы поддерживаются и клиентом удаленного доступа и сервером удаленного доступа.
Установка флажка Разрешить подключение клиентов без согласования метода проверки подлинности ускорит процесс регистрации клиентов удаленного доступа, однако должна использоваться только в том случае, когда и клиент и сервер удаленного доступа поддерживают одинаковые протоколы проверки подлинности. Обычно этот флажок имеет смысл устанавливать только при настройке подключения по требованию между двумя маршрутизаторами.
На вкладке Шифрование вы можете настроить уровни шифрования, которые могут использоваться клиентом удаленного доступа. Рекомендуется установить все флажки для того, чтобы уровень шифрования определялся клиентом удаленного доступа.
На вкладке Дополнительно вы можете настроить дополнительные атрибуты, которые будут передаваться серверу удаленного доступа после установления подключения. В основном здесь указываются параметры, которые могут использоваться при взаимодействии с сервером RADIUS.
Для добавления параметра щелкните кнопку Добавить и выберите нужный параметр из списка. Щелкнув кнопку Изменить, вы можете указать значение параметра, которое будет передано серверу удаленного доступа.
Удаление политики удаленного доступа.
Для удаления политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения политика удаленного доступа будет удалена. Клиенты, подключенные с использованием удаленной политики отключены не будут и продолжат работу в соответствии с параметрами, полученными во время подключения.
Для нормальной работы сервера удаленного доступа рекомендуется не удалять политику удаленного доступа, установленную и настроенную по умолчанию. При необходимости вы можете добавить и настроить свою собственную политику удаленного доступа, назначив ей более высокий приоритет.
Иллюстрированный самоучитель по Microsoft Windows 2003
Политики удаленного доступа
В Windows Server 2003 в качестве основного механизма однообразного конфигурирования отдельных компонентов системы используется механизм политик. Для управления удаленным доступом в Windows Sewer 2003 используются политики удаленного доступа (remote access policy). Под политикой удаленного доступа понимается набор условий и параметров соединения, которые предоставляют сетевому администратору больше возможностей в настройке разрешений удаленного доступа и атрибутов соединения. Фактически политика удаленного доступа представляет собой совокупность параметров, определяющих конфигурацию сетевого подключения.
При помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы объектов, к которой принадлежит объект, ассоциированный с учетной записью звонящего пользователя, типа требуемого подключения (коммутируемое или VPN-подключение). Можно определить параметры настройки подключения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику ВАР и фильтрацию IP-пакетов.
Важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). Если параметры настройки при попытке соединения не соответствуют ни одной из политик удаленного доступа, попытка соединения отклоняется независимо от свойств учетной записи пользователя. На серверах удаленного доступа под управлением Windows Server 2003 политика удаленного доступа конфигурируется с помощью оснастки Routing and Remote Access. На серверах IAS в среде Windows Server 2003 политика удаленного доступа управляется из оснастки Internet Authentication Service.
Элементы политики удаленного доступа
Политика удаленного доступа регламентирует две стороны процесса удаленного доступа к корпоративной сети: задает критерии, по которым происходит предоставление удаленного доступа к сети, а также определяет конфигурацию удаленного доступа. Эта задача выполняется посредством трех элементов политики удаленного доступа: условий, разрешений (прав) удаленного доступа, а также профилей. Рассмотрим эти элементы более подробно.
- Условия (policy conditions). Под условием политики удаленного доступа понимаются определенные значения одного или нескольких атрибутов, сравниваемые с параметрами попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике. При попытке установить удаленное соединение служба маршрутизации и удаленного доступа последовательно просматривает список условий, определенных в рамках политики удаленного доступа (рис. 14.3). Значение атрибута, определенного в условии, сравнивается с аналогичным атрибутом клиента, устанавливающего соединение. В зависимости от того, выполнены или нет все перечисленные условия политики удаленного доступа, право удаленного доступа будет предоставлено или, наоборот, аннулировано. Список поддерживаемых атрибутов приведен в табл. 14.3.
Рис. 14.3. Добавление условия политики удаленного доступа
