» Home » Verschiedenes » Sicherheit » Endpoint Security » Direct Access 2012

Direct Access 2012 und Windows 8

Auf der Seite DirectAccess habe ich umfangreich die Grundlagen zu DirectAccess beschrieben. Mit dem Release von Windows 2012 hat sich bei DirectAccess einiges getan. DirectAccess liegt nun in der Version 2.0 vor (1.5 war Win2008R2, 1.0 war Win2008) und räumt mit vielen Einschränkungen der vorherigen Versionen auf. Man muss aber auch dazu sagen, dass erst mit Windows 8 auf dem Client viele Dinge richtig elegant funktionieren.

TechEd Australia 2012: Windows 2012 Direct Access
http://channel9.msdn.com/Events/TechEd/Australia/2012/WSV333

Beachten Sie dazu auch DirectAccess

Für den Einsatz von DA ist ein grundlegendes Verständnis von IPV6 erforderlich.
Lesen Sie daher bitte vorher die Seiten IPV6 und insbesondere IPv6 im LAN.

Die wesentlichen Änderungen in Kürze:

• Tunnel nur über IPHTTPS, Kein Teredo, 6to4 o.ä.
  Microsoft setzt als Tunnel einzig noch auch IP über HTTPS. Alle anderen Transition-Technologien über direkt IP, UDP, TCP-Connections sind entfallen. Anscheinend hat das mehr Probleme verursacht denn gelöst.
• Single IP-Adresse
  Durch den Wegfall mehrere Tunneltechnologien ist es nicht mehr erforderlich, zwei aufeinanderfolgende öffentliche IP-Adressen bereit zu stellen
• Keine PKI erforderlich
  Der Zwang für eine eigenen PKI mit Computerzertifikaten entfällt. Zum einen nutzt DA ein "Selbstsigniertes" Zertifikat, welches es über die Gruppenrichtlinie auf die Clients als "Trusted Root" bringt. Für die Anmeldung kommt "Kerberos" zum Einsatz, wobei der DA-Server dabei als Kerberos-Proxy agiert , d.h. der externe Client kann über den den DA-Server mit dem KDC auf einem DC sprechen und so ein Ticket für die Verschlüsselung erhalten.
• Kein Native IPv6 intern
  bei Windows 2008/2008R2 mussten Sie intern zumindest auf der ersten Teilstrecke ein IPv6-Netzwerk aufbauen. Das ist nicht schwer und vielleicht aus anderen Gründen interessant aber mit Windows 2012 DA nicht mehr erforderlich
• DNS64/NAT64
  Brauchte man bei Windows 2008 DA noch zwingend das relativ teure UAG um auch interne IPv4-Ressourcen zu erreichen, so ist diese Funktion in Windows 2012 DA nun enthalten.
• Windows 8 DA-Client
  Was in Windows 7 der "Direct Access Connectivity Assistant" war, ist in Windows 8 einfach vorhanden. DirectAccess erscheint als Netzwerkverbindung und der Anwender sieht sofort den Status. Allerdings muss "Windows 8 Enterprise" eingesetzt werden
• Entfernte Einrichtung
  Für die Einrichtung eines Clients unter Windows 2008 DA musste dieser quasi "intern" sein, damit er z.B. ein Computerzertifikat der PKI und die Einstellungen über die Gruppenrichtlinien bekommt. Mit dem Programm "DJOIN" ist es möglich, dass der Administrator eine ASCII-Codierte Binärdatei erstellt, die ein Anwender z.B. per Mail erhält und auf einem nagelneuen Windows 8 PC mit DJOIN aktiviert. Danach ist der Client in der Domäne und per DirectAccess eingebunden

Es wurden also ganz viele Punkte verbessert, die bislang DirectAccess als schwer umsetzbar behindert haben.

Installation

Wie bei Windows 2012 üblich aktivieren Sie Windows 2012 Direct Access als zusätzliches Feature. Per Default installiert DirectAccess noch weitere Features, die für die Funktion erforderlich sind.

So gehört z.B. auch ein IIS in sehr abgespeckter Version dazu, damit die Clients später intern so prüfen können, ob sie intern sind.

Es wird auch automatisch ein 5 Jahre gültiges Selbstzertifikat installiert, was für DirectAccess sogar ausreichend ist.

Die Installation der Rollen schaltet auch die entsprechenden Ports auf der Windows 2012 Firewall frei. Zugegeben ist Windows 2012 schon um einiges "sicherer", aber sie sollten dennoch die Konfiguration erst "intern" machen, d.h. da externe Netzwerk noch nicht aufstecken, bis Sie alles "gesichert" haben.

So können Sie auf der externen Karte die Datei/Druckfreigabe und dem Microsoft Client deaktivieren. Auch die Registrierung dieser externen IP-Adresse im DNS kann unterbleiben. Auch bei der Windows Firewall sollten Sie mal vorbei schauen, dass diese z.B. eine aktivierte "Remote Desktop Verwaltung" nicht aus dem Internet erlaubt, wenn Sie dies nicht wollen.

Initial Konfiguration

Nach der Installation der Features fordert Sie Windows schon alleine auf, die erforderlichen Einrichtungsschritte durch zu laufen. Das ist mit wenigen Fenstern auch getan. Zuerst bestimmen Sie den Umfang.

Microsoft selbst schlägt die Nutzung beider Optionen vor. Sie können davon aber abweichen.

Bei der Auswahl der Topologie kann der Server selbst mit einem Bein im Internet und ein Beim im internen LAN stehen. Wenn Sie den Service hinter einer Firewall platzieren, dann muss sie eingehende Pakete auf Port 443 per Reverse-NAT zum DA-Server senden.

ACHTUNG:
Wenn Sie den Windows 2012 DA-Server mit einem Bein in das Internet stellen und keinen Filter davor haben, dann ist z.B. der IIS8 als auch eine aktivierter RDP-Zugang auch aus dem Internet erreichbar. passen Sie die Firewall-Einstellungen entsprechend an, wenn Sie diese Dienste nicht von außen erreichen wollen. Auch wenn das System vielleicht sicher ist, könnte per RDP jemand Kennwort ausprobieren und ihr Konto sperren.
Eine Überwachung des Servers und Vorgänge auf dem Server ist natürlich angeraten.

Sie müssen im Fenster dann einfach noch den Namen oder die IP-Adresse des DirectAccess-Servers eintragen und im nächten Fenster könnten Sie schon "Fertig" sagen.

TUN SIE DAS BITTE NICHT.
Schauen Sie sich über den kleinen "here"-Link die Einstellungen an. Sie werden diese sicher anpassen wollen!

Der Assistent legt nämlich zwei Gruppenrichtlinien an und bindet die Client Richtlinie an die Gruppe "DomänenComputer".

Vielleicht sollten Sie hier erst mal eine Testgruppe mit Pilotclients vorsehen, ehe alle Clients umgehend für DirectAccess konfiguriert werden. Sie können auch die DirectAccess-"Prüfpunkte" anpassen, über die der Client ermittelt, ob er im internen Netzwerk ist.

Hinweis: DirectAccess legt einen DNS-Eintrag "DirectAcccess-WebProbehost.<domain>" an, den er auch im DNS registriert und per GPO verteilt. Insofern funktioniert DA auch ohne diese Einträge, wenn eine automatische DNS-registrierung möglich ist. 

Da macht der Client weiterhin über einen Testzugriff auf einen Webserver. Ist dieser erreichbar, geht der Client davon aus, dass er "intern" ist. Ansonsten aktiviert er DirectAccess zur Firma über IPHTTPS.

Wenn Sie ihre Konfiguration wie gewünscht angepasst haben, dann können Sie mit einem Apply die Einstellungen speicher.

Bedenken Sie, dass gerade Gruppenrichtlinien erst auf die DCs repliziert und von den Clients heruntergeladen und angewendet werden müssen. Wenn Sie mit Mitgliedschaften in Sicherheitsgruppen zur Steuerung der GPO arbeiten, dann greifen neue Mitgliedschaften erst nach einer Neuanmeldung des Benutzers bzw. Neustart des Computers.

Nachkonfiguration

Über die Tools im Servermanager erhalten Sie Zugriff auf die beiden Konfigurationsprogramme:

Der Assistent richtet auch RRAS ein. Mittlerweile kann PPTP als Protokoll als "unsicher" gelten. Dennoch ist es bei Windows 2012 nicht nur dabei, sondern per Default auch aktiv. Hier sollten Sie vielleicht auf PPTP verzichten.

Überwachen

Windows 2008 DA hat darunter gelitten, dass es nicht einen Status für Direkt Access Clients gegeben hat. Erst UAG hat einige Funktionen in Form einer Webseite mitgebracht, die einen Überblick erlauben. Mit Windows 2012 ist der RRAS-Status und DirectAccess-Status zusammengewachsen in eine Applikation. Sie erlaubt den Zugriff auf die Konfiguration aber zeigt auch den Status der einzelnen Komponenten an:

Auch das Fenster "Remote Client Status" ist hilfreich, um die aktuell verbundenen Client auf einen Blick anzuzeigen.

Auswerten

Windows 2012 DA erlaubt auch ein "Reporting". Allerdings ist diese Reporting auch per Default nicht angeschaltet. Sie haben die Wahl, ob die Daten an einen RADIUS-Accounting-Server gesendet oder in der lokalen Windows Datenbank hinterlegt werden. In der Remote Acccess Management Console gibt es dazu links den Punkt Reporting zur Konfiguration und zum Start von Auswertungen:

Hier ist natürlich noch nicht viel los gewesen. Die Installation war ja auch sehr jung.

Windows 8 Client

Auf die beschränkten Konfigurationseinstellungen und Diagnosemöglichkeiten von Windows 7 möchte ich hier nicht weiter eingehen. Interessanter ist natürlich Windows 8 und wie dort DirectAccess "sichtbar" wird. Auf dem Client kann eigentlich nichts selbst konfiguriert werden. Alle Einstellungen bezüglich DirectAccess kommen über Gruppenrichtlinien und der Client agiert ohne zutun des Benutzers, indem er bei jeder Änderung des Netzwerkstatus versucht, die konfigurierten "Network Location Server" zu erreichen. Nur wenn der NLS-Service nicht erreicht werden kann, wird eine DirectAccess-Verbindung automatisch gestartet. Wie der Client verbunden ist, kann der Anwender auf Windows 8 mittlerweile auch im Netzwerkstatus sehen, wo die DirectAccess-Verbindung nun wie eine RAS-Verbindung erscheint

Intern im LAN	Unterwegs per WiFi am Android Telefon

Und auch die Eigenschaften können nun angezeigt werden

Auf der Kommandozeilen zeigt ein IPConfig, dass der Adapter "IPHTTPSinterface" verbunden ist.

Damit dies funktioniert, muss aber der Dienst "Network Connectivity Assistant (NCASvc)" auf dem Windows 8 Client aktiviert sein. Dieser wird normalerweise automatisch gestartet, wenn der PC in einer Domäne ist.

C:\> sc.exe qtriggerinfo NcaSvc [SC] QueryServiceConfig2 SUCCESS
 
SERVICE_NAME: NcaSvc
 
        START SERVICE
          GROUP POLICY                 : 659fcae6-5bdb-4da9-b1ff-ca2a178d46e0 [MACHINE POLICY PRESENT]
        START SERVICE
          DOMAIN JOINED STATUS         : 1ce20aba-9851-4421-9430-1ddeb766e809 [DOMAIN JOINED]
        STOP SERVICE
          DOMAIN JOINED STATUS         : ddaf516e-58c2-4866-9574-c3b615d42ea1 [NOT DOMAIN JOINED]

Die Beschreibung "Provides DirectAccess status notification for UI components" würde nur auf eine Anzeige hinweisen aber wenn er nicht läuft scheint auch Direct Access nicht zu funktionieren.

• Windows 7 Trigger Start Service
  http://www.codeproject.com/Articles/50140/Windows-7-Trigger-Start-Service
• Service Trigger Events
  http://msdn.microsoft.com/en-us/library/dd405513(VS.85).aspx
• MSDN Article on TriggerStart Service
  http://support.microsoft.com/kb/975425
• Understanding Windows Trigger Start Service
  http://www.addictivetips.com/windows-tips/understanding-trigger-start-services-in-windows-7/

Interessant kann aber auch die Powershell auf dem Client sein. Es gibt nämlich einige Einstellungen, die per Powershell einfach ermittelt werden können:

• Get-DAConnectionStatus
  http://technet.microsoft.com/en-us/library/hh848618.aspx
  Anzeige des aktuellen Direct Access Status
• Get-DNSClientNrptPolicy
  http://technet.microsoft.com/en-us/library/jj590779.aspx
  Anzeige der DNS Name Resolution Policy Table (NRPT) zum Routen von Anfragen nach Intern und Extern

Get-DAConnectionStatus meldet ihnen auch, wenn der für die Funktion erforderliche "Network Connectivity Assistant service" nicht gestartet sein sollte.

Weitere Links

• DirectAccess
• IPV6
• IPv6 im LAN.
• TechEd Australia 2012: Windows 2012 Direct Access
  http://channel9.msdn.com/Events/TechEd/Australia/2012/WSV333

Keywords:

DirectAccess Win2012

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Ex 2013
• Unified Communication
• Lync/UC
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Office 365
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Sicherheit
    • DoS mit Account Lockout
    • MSBlaster
    • DoS mit DNS
    • Endpoint Security
      • Client Management
      • Bitlocker
      • Devicelock
      • Smartcard
      • Security
      • 802.1x
      • DirectAccess
      • Direct Access 2012
      • IPSec
    • Privat PC Sicherheit
    • PrivatPC Backup
    • Wurmmails
  • Bastelbude
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Domaintrust
  • Kerberos
  • 65535 Port-Limit
  • Schattenkopien
  • Imagebackup
  • Update/Patch
  • Bluescreen
  • WSUS
  • Key Management Service
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Event 2887
  • TCPChimney und RSS
  • Exit-Management
  • Large File Exchange
  • Podcast
  • Vom Konsumenten zum Kreativen
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Filesync
  • Contoso
  • GUIDAccess
  • Meine erste Facharbeit
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages