Idag är det ”jobba hemma-dagen” där många företag är med och sponsrar att anställda skall ges möjlighet att jobba hemma och kanske till och med stänga ner kontoret.

Microsoft skriver bland annat:
Vi som stöder den är företag som vill förändra synen på arbete – från en plats man går till, till något man gör. Vi ser det som vårt ansvar att gå i bräschen för en kultur där medarbetare är medmänniskor, där vi värdesätter prestation framför närvaro. Där vi erbjuder teknik som gör att vi kan arbeta när, var och hur vi vill. Så att människor får mer tid och naturen lite andrum.
http://www.microsoft.com/sverige/dna/jobba-hemma-dagen/default.aspx

Vilken teknik erbjuder då Microsoft för att jobba hemifrån eller från andra platser än själva kontoret?

Det gäller att hitta en balansgång att kunna jobba på distans så enkelt och smidigt som möjligt med hög säkerhet. Alternativen är många då det finns flera lösningar från Microsoft att kunna jobba på distans, och så gott som alla har redan produkter och licenser på plats för att få till en säker lösning för distansarbete.
Några exempel på dessa lösningar finner ni här

DirectAccess

Det absolut bästa alternativet om man har många klienter som jobbar på distans mot företagsnätverket är DirectAccess. Många ser den stora fördelen att klienten alltid är ansluten mot företaget och når de resurser den behöver så länge det finns Internetanslutning. Självklart underlättar ju detta för användaren men rent krasst går detta att åstadkomma med traditionell VPN också.
Den absolut största fördelen är att företaget alltid kan hantera sina klienter vart de än befinner sig och ha kontroll över maskiner som aldrig är på det fysiska företagsnätverket. Det är viktigt att inte glömma bort vikten av att ha kontroll över sin maskinpark och särskilt över de klienter som oftast är anslutna till Internet utanför företaget och dess säkerhetslösningar.
Det enda som behövs för att få upp en fungerande Direct Accesslösning är klienter med Windows 7 (Ultimate, Enterprise) eller Windows 8 (Enterprise) och antingen Forefront UAG eller Windows Server 2012.  Så har du detta är det inget att fundera på! Kör hårt 😉

VPN

Traditionell VPN är även det en bra metod att nå sitt företagsnätverk och med tanke på att alla Windows operativ har en inbyggd VPN klient krävs heller ingen installation på klienterna. Rekommenderade VPN-servrar är antingen Windows Server 2012, Forefront UAG eller Forefront TMG. Vill man automatisera anslutningen till företaget kan man antingen konfigurera så att klienten kopplar upp sig vid inloggning i Windows eller första gången man startar webbläsaren.
I många fall vill man att klienterna skall följa surfpolicyn även på hemmaplan och att webbläsaren då kopplar upp till TMGn och surfar ut den vägen mot Internet för att skydda klientens internet access vart den än befinner sig.
Ett alternativ för utökad säkerhet är att använda smart card för användarna, det finns även andra lösningar för flerfaktorsautentisering med tredjepartsprodukter såsom PointSharp ID.

RDP (Remote Desktop Protocol)/Fjärrskrivbord

Det är skrämmande vanligt att köra ren RDP rakt över Internet för att nå interna servrar. Relativt förståeligt då RDP protokollet med fjärrskrivbord är ett grymt användarvänligt och smidigt sätt att jobba på en server eller en klient från distans. Beroende på vilka säkerhetskrav man har på företaget så kan det här faktiskt vara ett helt ok sätt att jobba på distans.

Här kommer några råd på vägen om du använder dig av RDP.

Först och främst, använd enbart detta på nyare operativsystem som har stöd för NLA, vilket står för Network Layer Authentication, som påtvingar en autentisering som måste bli godkänd innan RDP-sessionen etableras. Utan NLA sätts RDP sessionen igång innan autentisering har skett vilket gör att maskinen är mer sårbar mot DoS attacker med mera. 

Dock är RDP fortfarande en relativt osäker metod och det blir en hel del begränsningar att nå flera maskiner bakom en brandvägg.

En bra lösning som både höjer säkerheten och ger mer flexibilitet är TS Gateway (Terminal Services Gateway) som kom i Windows Server 2008 och som i Windows Server 2012 heter RD Gateway (Remote Desktop Gateway).
Med den här tekniken löser du många problem, bland annat tunnlas trafiken över HTTPS (TCP 443) istället för standard porten 3389 vilket krypterar trafiken på ett bättre sätt och även ger möjlighet att köra RDP bakom en brandvägg som bara släpper igenom HTTP/HTTPS trafik. För att höja säkerheten kan och bör du placera din TS/RD Gateway bakom till exempel en Forefront TMG för att få till pre-autentisering så enbart autentiserad trafik kommer fram till gatewayen och därifrån kan du då styra vem som får nå vilka servrar/datorer på insidan.

Inställningar för en konfigurerad RDP klient som ansluter mot en RD Gateway

Hälsovalidera klienterna med NAP

För att komplettera säkerheten är Network Access Protection (NAP) en grym funktion där du kan hälsovalidera klienterna och då kontrollera om klienten har ett aktivt och uppdaterat antimalware, brandvägg påslagen eller de senaste windowsuppdateringarna installerade. Det går även att anpassa NAP-klienten för att kontrollera i stort sett vad som helst på en klient. Det fungerar även att kontrollera om realtidsskydd är aktiverat med de senaste definitionerna med de flesta stora antimalwareprodukterna och alltså inte bara med Microsofts egna.
Genom att kombinera NAP med någon av de ovanstående teknikerna kan du ställa krav på klienten enligt IT-policyn, så när klienten ansluter med RDP, VPN eller DA så aktiveras den lokala brandväggen med automatik och realtidsskydded slås på. Vid VPN och DA kan du även ge en begränsad access om klienten inte är godkänd enligt NAPs säkerhetskrav så klienten når antimalwareservrar och andra manageringsservrar för att bli godkänd och då med automatik flyttas ut från karantän och få tillgång till det som den behöver efter att det som saknades åtgärdats.

Här visar jag hur det kan se ut med en Windows 8 som ansluter mot en TMG med NAP: http://itsäkerhetsguiden.se/2012/06/25/demo-av-windows-8-som-vpn-klient-mot-tmg/

Portal

När vi behöver nå företagsresurser från alla typer av enheter så brukar ju den gemensamma faktorn vara att man har en webbläsare av något slag.
Med Forefront Unified Access Gateway (UAG) kan du publicera de flesta interna tjänsterna inklusive fjärrskrivbord, filutdelningar med mera som då nås via din webbläsare.
En stor fördel med UAGn är att du kan publicera de olika tjänsterna i webbportalen och ge olika typer av behörighet baserat på vem som loggar in och ifrån vilken klient. På det sättet kan du ge olika behörighet för en användare om han surfar från en företagsdator, iPad/Android-platta eller kanske från ett internetcafe i Thailand.

Läs mer om Forefront UAG på ITSäkerhetsguiden.se/UAG