درک ویندوز 10 همیشه در VPN
شبکه های خصوصی مجازی (VPN) روشی رایج است که به کاربران از راه دور امکان دسترسی ایمن به منابع پشت شبکه محیطی را می دهد. و از آنجا که از کارمندان بیشتری خواسته می شود تا در خانه کار کنند ، سازمان ها باید دسترسی از راه دور موثر اما ایمن را فراهم کنند.
Microsoft Windows و Windows Server از انواع مختلف فناوری های VPN پشتیبانی می کنند. پیشرفته ترین DirectAccess و Windows 10 Always On VPN هستند. در این مقاله ، من مزایای Always On VPN را نسبت به DirectAccess بررسی می کنم و زیرساخت های مورد نیاز برای استقرار Always On VPN را شرح می دهم. به طور یکپارچه برای کاربران نهایی کار می کند. این اطمینان حاصل می کند که رایانه های مشتری همیشه به شبکه شرکتی متصل هستند. اما برخلاف VPN های سنتی ، کاربران نیازی به برقراری ارتباط با سرور با استفاده از سرویس گیرنده ندارند.
DirectAccess اولین بار در Windows Server 2008 R2 برای Windows 7 و Windows 8 Enterprise SKU ظاهر شد. مایکروسافت متعهد نشده است که پشتیبانی از DirectAccess را فراتر از چرخه حیات ویندوز سرور 2019 متعهد کند. این می گوید که Windows 10 "Always On VPN" باید به عنوان جایگزینی برای DirectAccess استفاده شود.
Windows 10 Always On VPN
On VPN 'تمام قابلیت های DirectAccess را دارد اما پیاده سازی ، مدیریت و بهبود امنیت آسان تر است. Always On VPN از ویژگی هایی مانند دسترسی مشروط و بررسی سلامت سیستم با استفاده از Network Policy Server (NPS) پشتیبانی می کند. ادغام با Windows Hello for Business و Azure Multifactor Authentication و موارد دیگر.
Windows 10 Always On VPN چگونه کار می کند؟
Always On VPN یک فناوری فقط برای ویندوز 10 است. به نسخه Windows 10 Anniversary Update (نسخه 1607) یا بالاتر نیاز دارد. اما بر خلاف DirectAccess ، Always On VPN در Pro ، Enterprise و سایر SKU های Windows 10 پشتیبانی می شود. دستگاه های ویندوز 10 نیازی به پیوستن به Windows Server Active Directory (AD) نیستند اما برای استفاده کامل از ویژگی های پیشرفته Always ON VPN ، دستگاه ها باید به Azure AD وصل شوند.
Infrastructure independent
یکی از بزرگترین ها نکاتی که درباره Always On VPN وجود دارد این است که به استفاده از Windows Server به عنوان دستگاه VPN متکی نیست. سازمانها می توانند از مسیریابی و دسترسی از راه دور Windows Server (RRAS) یا راه حل VPN شخص ثالث استفاده کنند. وظایف احراز هویت را می توان توسط Windows Server Network Policy Server (NPS) یا یک محصول شخص ثالث RADIUS مدیریت کرد.
[19659002] دستگاه VPN ، اعم از Windows Server RRAS یا محصول شخص ثالث ، نیاز به پشتیبانی از مسیریابی IKEv2 و LAN دارد. همانطور که از نامش پیداست ، Always On VPN قادر به برقراری ارتباط مداوم بین مشتریان و شبکه شرکتی است. در صورت قطع شدن اتصال شبکه ، IKEv2 می تواند به طور خودکار اتصال را بازیابی کند. اما یک عیب IKEv2 این است که ممکن است توسط فایروال ها مسدود شود. سرویس گیرنده های VPN نیاز به دسترسی خروجی به پورت های UDP 500 و 4500 دارند.
SSTP backback
Always On VPN برای کار با IKEv2 طراحی شده است. اما پروتکل تونل سازی سوکت امن (SSTP) در مواردی که سرویس گیرنده ها قادر به اتصال به دستگاه VPN با استفاده از IKEv2 نیستند ، می تواند به عنوان یک پروتکل بازگشت سرمایه پیکربندی شود. SSTP پروتکل نقطه به نقطه (PPP) را از طریق یک کانال امن با استفاده از پورت TCP 433 حمل می کند. این همان درگاهی است که برای HTTPS استفاده می شود ، بنابراین همیشه در فایروال ها به بیرون باز می شود.
اما در عمل ، استفاده از SSTP به عنوان گزینه بازگشت پروتکل با Always On VPN خیلی خوب کار نمی کند. SSTP به اندازه IKEv2 ایمن نیست. و Always On VPN هنگام استفاده با SSTP از دستگاه تونل پشتیبانی نمی کند. بعلاوه ، رفتار پیش فرض هنگام پیکربندی سرویس گیرنده های VPN برای انتخاب خودکار پروتکل VPN ، استفاده از SSTP است.
مدیریت
Always On VPN برای مدیریت با دستگاه دستگاه همراه (MDM) ، به ویژه Microsoft Intune طراحی شده است. اما می توان از سیستم عامل های شخص ثالث MDM یا Microsoft Endpoint Configuration Manager که قبلاً با نام System Center Configuration Manager (SCCM) شناخته می شد استفاده کرد. مدیریت Always On VPN با استفاده از خط مشی Active Directory Group امکان پذیر نیست.
ویژگی های پیشرفته
برخی از ویژگی های پیشرفته اختیاری وجود دارد که می توانید با Always On VPN استفاده کنید.
- فیلتر ترافیک
- برنامه فعال شده VPN
- دسترسی مشروط و انطباق دستگاه
فیلترهای ترافیک VPN کنترل برنامه هایی را که مشتریان ویندوز 10 با استفاده از Always On VPN می توانند کنترل کنند ، کنترل می کنند. خط مشی های مسیریابی جزئی هستند و به سازمان ها امکان می دهد نحوه اتصال برنامه های خط مشاغل به شبکه شرکت ها را کنترل کنند. IPv4 و IPv6 هر دو پشتیبانی می شوند. هیچ وابستگی خاصی به IPv6 وجود ندارد ، که یک مورد ضروری برای Microsoft DirectAccess بود. فیلترهای ترافیک VPN شامل قوانین مبتنی بر برنامه و مبتنی بر ترافیک هستند.
برنامه VPN با استفاده از برنامه از پروفایل های VPN استفاده می کند تا اتصال را فقط در صورت شروع برخی از برنامه ها یا انواع برنامه ها ، فعال کند. دسترسی مشروط و انطباق دستگاه را می توان به گونه ای ایجاد کرد که دستگاه های تحت مدیریت سازمان شما شرایط خاصی را داشته باشند. دسترسی مشروط به Azure Active Directory Premium نیاز دارد.
بسیاری از پیشرفت های دیگر با Always On VPN وجود دارد. از جمله شناسایی قابل اعتماد شبکه و تونل دستگاه. اگر دستگاه در شبکه شرکتی معتبری قرار دارد ، تشخیص مطمئن شبکه از اتصال VPN جلوگیری می کند. Device Tunnel به ویندوز 10 اجازه می دهد قبل از ورود کاربر ، اتصال VPN برقرار کند. User Tunnel و Device Tunnel با استفاده از پروفایل های VPN مستقل پیکربندی شده اند و می توانند به طور همزمان متصل شوند.
برای لیست کامل پیشرفت های Windows 10 Always On VPN ، وب سایت Microsoft را در اینجا ببینید.
Windows 10 Always On VPN برای کار در خانه ایده آل است
Always On VPN گزینه خوبی برای سازمانهایی است که می خواهند کارمندانشان از خانه کار کنند. ایمن تر از راه حل های VPN قدیمی است ، نیازی به کاربران برای "ایجاد" دستی ارتباطات ندارد ، مدیریت آن نسبت به DirectAccess راحت تر است و از اتصالات ضعیف شبکه قابل اطمینان تر است. سازمان ها همچنین می توانند از Always On VPN با یک دستگاه VPN شخص ثالث استفاده کنند که برخی از نیازهای اساسی را برآورده می کند.
اما اگر می خواهید کاربران بتوانند از هرجای دیگر مانند کافه ها یا اتاق های هتل کار کنند ، پس گزینه بازگشت SSTP است کمتر از ایده آل امیدوارم که مایکروسافت در نسخه های بعدی ویندوز 10 به برخی از مشکلات Always On VPN بپردازد. اما در حال حاضر ، قبل از تصمیم گیری ، به دقت در مورد اهداف خود فکر کنید و اینکه آیا استفاده از دو پروتکل با Always On VPN برای سازمان شما مفید خواهد بود یا خیر. .
