Terminal Services Gateway

Brama Usług Terminalowych

Opublikowano: 8 listopada 2007

Zawartość strony

	Wstęp
	Wymagania i ograniczenia
	Zasady uwierzytelniania CAP
	Możliwości monitorowania

Wstęp

Terminal Services Gateway (brama usług terminalowych) to usługa roli serwera, która pozwala upoważnionym użytkownikom zdalnie łączyć się z dowolnego urządzenia, mającego dostęp do Internetu z serwerem usług terminalowych w sieci korporacyjnej. Połączenia takie są szyfrowane (protokołem HTTPS) dla zapewnienia bezpiecznej łączności odległych użytkowników z ich aplikacjami biznesowymi, udostępnianymi zdalnie przez serwery usług terminalowych.

Terminal Services Gateway pozwala na:

• łączenie z Internetu z sieciami wewnętrznymi firm bez konieczności zestawiania wirtualnej sieci prywatnej (VPN)

• zdalne korzystanie z serwerów terminalowych oraz funkcji zdalnego pulpitu, nawet, jeśli sieć firmowa jest chroniona zaporami firewall i/lub translatorami adresów NAT.

  Zabezpieczenia stosowane w poprzednich wersjach systemów operacyjnych Windows, uniemożliwiały użytkownikom dostęp z zewnątrz do sieci firmowych chronionych zaporami firewall i/lub translatorami adresów NAT, gdyż port 3389 wykorzystywany w połączeniach RDP (Remote Desktop Protocol) ze względu na bezpieczeństwo, był standardowo blokowany. W Windows Server 2008, TS Gateway transmituje ruch RDP do portu 443, wykorzystując tunel TLS (HTTP Transport Layer Security). Oznacza to, że cały ruch przekazywany przez Internet między klientem a serwerem jest szyfrowany.

• konfigurowanie wymogów, jakie muszą być spełnione przez odległych użytkowników, żądających zdalnego dostępu do zasobów sieci firmowej poprzez TS Gateway Management. Dla przykładu można zdefiniować:

  • określone grupy użytkowników, którzy będą posiadać prawo zdalnego korzystania z zasobów sieci firmowej
  • określone zasoby, z którymi użytkownicy ci będą się mogli połączyć zdalnie
  • wymóg, aby zdalnie mogły łączyć się wyłącznie komputery będące członkami którejś z domen
  • wymóg, aby zdalnie mogły się łączyć wyłącznie komputery będące członkami określonych grup Windows.

 Do początku strony

Wymagania i ograniczenia

Warunki wstępne do wdrożenia Terminal Services Gateway są następujące:

• Serwer musi być kontrolowany przez system operacyjny Windows Server 2008.

• Brama może być konfigurowana wyłącznie przez członków grupy Administratorzy danego komputera.

• Brama musi współpracować z serwerem Network Policy Server (NPS to implementacja firmy Microsoft serwera RADIUS, tj. Remote Authentication Dial-In User Service).

  Serwer NPS umożliwi centralne magazynowanie zasad działania bramy, centralne zarządzanie zasadami oraz centralną ich walidację. Jeśli przed zainstalowaniem bramy serwer NPS nie był w danej organizacji wykorzystywany, to zostanie on automatycznie zainstalowany w trybie lokalnym na tej samej maszynie, co brama.

• Jeśli serwer bramy nie posiada certyfikatu, musi go otrzymać. Standardowo komunikacja między bramą TS Gateway a klientami w Internecie opiera się na szyfrowaniu TLS 1.0 (Transport Layer Security), które wymaga, aby serwer TS Gateway był certyfikowany. Certyfikat ten powinien spełniać następujące kryteria:

  • musi być certyfikatem komputera
  • jego celem winno być uwierzytelnienie serwera
  • musi on posiadać swój prywatny klucz.

 Do początku strony

Zasady uwierzytelniania CAP

Zasady uwierzytelniania Connection Authorization Policies (CAP) pozwalają wyspecyfikować użytkowników i ich grupy (a opcjonalnie także grupy komputerów), które będą uprawnione do łączenia się z serwerem TS Gateway. Zasady CAP definiuje się za pomocą narzędzia TS Gateway Management.

Dlaczego zasady CAP są ważne?

Zasady CAP ułatwiają proces administrowania oraz zwiększają bezpieczeństwo umożliwiając lepszą kontrolę nad dostępem odległych komputerów do sieci firmowej.

Posługując się zasadami CAP można ograniczyć krąg uprawnionych do łączenia się z serwerem TS Gateway tylko do tych użytkowników, ich grup bądź grup komputerów, które spełniają określone warunki. Warunki te można specyfikować indywidualnie w poszczególnych zasadach. Na przykład, istnieje możliwość wprowadzania obowiązku uwierzytelniania się inteligentną kartą przez użytkownika, chcącego nawiązać zdalną sesję przez bramę usług terminalowych.

Użytkownik otrzyma dostęp do serwera TS Gateway tylko wtedy, jeśli spełni wymagania zdefiniowane w zasadzie CAP odnoszącej się do jego grupy.

Grupy zasobów i zasady RAP

Po zdefiniowaniu zasad CAP należy zdefiniować grupy zasobów sieci firmowej oraz zasady RAP uwierzytelniania zdalnych użytkowników i udzielania im dostępu z serwera TS Gateway do tych grup. Zasady CAP i RAP definiuje się za pomocą narzędzia TS Gateway Management.

Dlaczego grupy zasobów i zasady RAP są ważne?

Mechanizm grup zasobów i zasad RAP pozwala zarządzać dostępem zdalnych użytkowników do określonych komputerów/zasobów sieci firmowej.

Zdalny użytkownik łączący się z siecią za pośrednictwem bramy TS Gateway otrzyma dostęp do określonych komputerów w sieci tylko wówczas, jeśli spełni wymagania wyspecyfikowane co najmniej dla jednej zasady RAP.

 Do początku strony

Możliwości monitorowania

Narzędzie TS Gateway Management może być użyte do monitorowania aktywnych sesji zdalnej łączności nawiązanych za pośrednictwem bramy TS Gateway. Monitorowane informacje obejmują: adres IP klienta, nazwę zalogowanego do niego użytkownika, nazwę odległego komputera, z którym klient zdalnie połączył się oraz czas bezczynności w sesji (jeśli występuje). Istnieje też możliwość wyznaczenia typów zdarzeń, które mają być rejestrowane, po czym przeglądania logów tych zdarzeń w Event Viewer.

Aby nowe usługi terminalowe mogły pracować, wymagane jest oprogramowanie Remote Desktop Connection w wersji 6.0. Jest ono częścią systemu Windows Vista oraz Windows Server 2008

Do początku strony