Nyheter i Windows Server 2012 R2 för distansarbete

Det är mycket som händer hos Microsoft just nu och det är riktigt spännande! Än så länge finns inget på marknaden och det är inte förrän 26e juni som det publikt kommer finnas en preview (beta) att ladda hem.
Nyfikenheten är dock stor och mycket har presenterats denna vecka under TechEd i New Orleans, men det man måste ha i åtanke är att än så länge är ingenting helt färdigt men självklart måste jag skvallra lite här på ITSäkerhetsGuiden.

image

Windows Server 2012 kom med revolutionerande nyheter som förenklade och förbättrade DirectAccess, så naturligtvis är vi intresserade av att se vad som händer mer runt Remote Access för distansarbete. Trenden håller i sig, en användare skall kunna nå allt den behöver vart den än befinner sig och alltid kunna manageras. Det är också tydligt att Microsoft har tagit åt sig hur många användare är vana att arbeta idag och förbättrat dessa funktioner för att passa en verksamhet

RemoteAccess

Det har inte kommit några nyheter runt DirectAccess i Windows Server 2012 R2, mestadels för att det fungerar grymt bra i Server 2012, så vi saknar väl ingenting här heller.
Där emot kommer Windows 8.1 få en del nya features runt VPN för automatisering. Exempelvis om en applikation startas som behöver nå interna resurser startar applikationen själv en VPN tunnel för att förenkla både för användaren och IT förvaltningen

image

Web Application Proxy

Web Application Proxy Role är där emot en ny service-roll som låter oss publicera resurser (webbapplikatoner), antingen med pass through med URL-översättning där vi exempelvis lyssnar externt på en viss URL och översätter bak mot en intern URL. Tillsammans med ADFS kan vi få pre-authentication för att autentisera all trafik som skall få prata med interna resurser.
Vi ser ett helt nytt ADFS i R2 med nya autentiseringsformer, allt ifrån formulär, certifikat till flerfaktorautentisering.
Claims aware applikationer kan även publiceras med ADFS och styra på claims för att exempelvis enbart tillåta att en registrerad enhet får tillgång till en applikation eller styra på network location vart ifrån klienten kopplar upp sig.

RDS Gateway har fått en rejält ökad performance med imponerande svarstider i nuvarande beta men säkert ännu bättre inför release.

Forefront UAG?
Jag förmodar att många ställer sig frågan, så det är lika bra jag tar den direkt.
Web Application Proxy Role är INTE till för att ersätta UAG. Den är avsedd för scenarier som inte fungerar med nuvarande UAG och enbart webbaserade applikationer.
Forefront UAG SP4 är på gång för att utöka support av nya plattformar, det är fortfarande den som gäller för att exempelvis publicera icke webbaserade applikationer och ge stöd för äldre klientoperativ.

Dropboxliknande lagring med Work Folders

En av de häftigaste funktionerna som vi sett exempel på i Windows Server 2012 R2 är en funktion som heter Work Folders, den kommer ge motsvarande funktion som Dropbox eller Skydrive. Skillnaden är att vi har all central data sparat lokalt on-premise istället för i molnet. Dina filer synkroniseras med en Windows Server 2012 R2 filserver. Du konfigurerar klienterna antingen centralt via GPO eller ger dom en unik URL till sin lagringsyta.
Naturligtvis kommer det fungera på en ny Windows klient, men det pågår även arbete att få ut möjligheten till iPhone och Android.
Naturligtvis så rynkar en säkerhetsmedveten person på näsan över att synka information på det här sättet, men det låter som det kan bli riktigt bra. Kryptering av data som sköts centralt baserat på tokens där vi också kan styra så en enhet som tappas bort eller en anställd som slutar inte får tillgång till informationen längre. Med andra ord, klart mycket bättre än hur det ser ut på många ställen idag med allt ifrån Dropbox till privata Skydrive med företagsinformation.

Det här blir också en av funktionerna som man tänkt publicera mot Internet med hjälp av Web Application Proxy.
Alla filserverfunktioner som finns i dagens Windows Server 2012 kommer vara tillgängliga, där vi ser möjligheten att både få redundans och hög säkerhet.

Workplace join i Active Directory

Vi kommer få se ett nytt sätt att lägga med en enhet i domänen som kallas Workplace Joined. Till skillnad från Domain Join där IT har full kontroll på en maskin så är Workplace join ett mellanting där vi registrerar vilken device som helst i domänen, antingen en Android, iPhone, eller privat windowsdator/telefon. Likvärdigt till Exchange ActiveSync kommer vi kunna ställa vissa krav på klienten för att den skall få nå information, så som Pinkod, kryptering osv. Det ger oss också mer kontroll och spårbarhet på vilka enheter som används och kommer kunna erbjuda sömnlös 2-faktors autentisering för webbapplikationer.

Enheten är registrerad tillsammans med en användare, om en användare försöker logga in med en enhet den inte är registrerad med blir den stoppad.
Detta kommer kräva en schemauppdateringar för Active Directory med nya objektklasser för dessa enheter och det kommer även kräva både Web Application Proxy och ADFS.

 

Det här var bara några av de nyheter som presenterades på TechEd och åter igen så finns ingenting klart, och det kan även bli ändringar innan första betan släpps.
Ett tips på vägen för att bli redo för allt nytt är t.ex. se över att du har en säker och pålitlig PKI (Certifikats) infrastruktur och har du inte börjat använda DirectAccess är det hög tid för att få kontroll på dina klienter vart dom än befinner sig. Gränsen mellan internt och externt blir bara mindre och mindre vilket ställer höga krav på säkerheten!

Advertisements
Det här inlägget postades i Generell Säkerhet, Microsoft Event, Windows 8, Windows Server 2012. Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s