DirectAccess——一种新的Windows Server 2008 R2和Windows 7技术——紧密地将用户从任何位置连接到他们的公司网络。

　　用户可以采用同处于实际的公司园区相同的方式，访问应用程序和文件等。这个功能消除了远程用户解决多年的不合规格资源和混杂工作区问题。

　　不过，尽管DirectAccess可能是咨询人士的梦想，它也肯定被一些安全问题所困扰着。这里是4个有关安全和Windows Server 2008 R2中DirectAccess的普遍问题。

　　一、DirectAccess的核心怎么是安全？

　　DirectAccess使用像IPsec以及新的IPv6这样被熟知而且高度安全的技术和协议。IPsec用于对计算机和用户进行验证，这将中间人攻击，或其它利用不安全身份的漏洞发生的可能性减少到几乎为0。

　　这个协议也让集中的IT部门，在通过AES（Advanced Encryption Standard）和其它的加密机制为互联网传输提供加密的同时，在用户登录前设置计算机的策略。此外，通过IPsec，使用智能卡和其它的可用设备可以启用基于证书的认证。

　　二、使用DirectAccess的最大的责任是什么？

　　因为对DirectAccess的配置需要使用许多分层而且依赖的特征，建立DirectAccess可能非常困难。尽管许多公司仍然得益于将大部分的工作外包给第三方公司或者他们的互联网服务提供商，但是像Forefront Unified Access Gateway（UAG)这样的解决方案可以减轻配置和用户访问的痛苦。请记住，任何技术只有安全的安装才是安全的，所以不要在这里精打细算和有所保留。

　　三、我应该考虑，在配置好DirectAccess后，实施或者更改为什么样的策略？

　　您可能会在DirectAccess配置上采用下面的两个角度之一：

• 对移动工作人员的计算机进行升级和更新，特别是对那些往返于公司办公室，但主要还是驻扎的员工。
• 允许对长期在外工作员工的计算机进行访问。

　　将以前没有受到管理的计算机加入到一个干净的网络存在许多缺陷和潜在的障碍，所以认真地对待这一步是很重要的。在您的DirectAccess配置完成之前，需要查看多个策略，如硬件和软件更新、端点安全、密码/认证、以及预期的支持。

　　四、总之，是否DirectAccess是一个便利的工具或者管理一个更安全的企业的方法？

　　DirectAccess初一看是一个便利用户的工具，实际上是一个安全工具，一种因为观念通常相互排斥而极少存在的双重性。

　　让员工能无缝地进入您公司的网络，使得您可以有更好的机会去管理任何系统，无论是否是打补丁、维持安全策略或者推行升级和更新。断开连接的机器是一个定时炸弹，所以不论身在何处，都可以联系到用户和计算机的能力对整个网络安全带来了巨大的好处。