Удаленный доступ без выполнения процедуры аутентификации пользователя
Администратор может организовать удаленный доступ к корпоративной сети без необходимости выполнения аутентификации пользователя. Процедура аутентификации предполагает передачу клиентом серверу информации о полномочиях пользователя. В описываемом сценарии подобной передачи не происходит.
Имеется три способа организации удаленного доступа без выполнения процедуры аутентификации пользователя.
- Проверка подлинности при помощи службы идентификации номера (DNIS-авторизация).
- Проверка подлинности при помощи автоматического определения номера (ANI/CLI-аутентификация).
- Вход в сеть под гостевой учетной записью.
Проверка подлинности при помощи службы идентификации номера
Служба идентификации номера (Dialed Number Identification Service, DNIS) осуществляет аутентификацию попытки соединения, основываясь на номере, набранном вызывающей стороной. Сервис DNIS возвращает телефонный номер, который был набран вызывающей стороной. Так, например, компания может предоставить своим клиентам специальный номер, по которому они могут всегда получить доступ к базе данных службы технической поддержки.
Эта услуга предоставляется большинством современных телефонных компаний (в США и других странах; в России ситуация отличается). Для распознавания DNIS-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует идентификатор набранного номера (Called-Station-ID) в качестве условия авторизации клиента.
Проверка подлинности при помощи автоматического определения номера
Специальный сервис ANI/CLI (Automatic Number Identification/Calling Line Identification) позволяет выполнить аутентификацию соединения, основываясь на информации о телефонном номере вызывающей стороны. Сервис ANI/CLI возвращает номер вызывающей стороны. Так же как и в предыдущем случае, указанная услуга предоставляется большинством современных телефонных компаний (в США и других странах). Для распознавания ANI/CLI-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует идентификатор вызывающей стороны (Calling-Station-ID) в качестве условия успешной аутентификации. Эта аутентификация отличается от аутентификации по идентификатору вызывающего пользователя (Caller-ID). В случае аутентификации по идентификатору вызывающего пользователя (Caller-ID) вызывающая сторона все равно должна предоставить информацию об имени пользователя и сопоставленном ему пароле. В случае же сервиса ANI/CLI передача имени и пароля не требуется.
Вход в сеть под гостевой учетной записью
Отдельно следует отметить возможность удаленного доступа к сети без необходимости прохождения процедуры аутентификации, когда для идентификации вызывающей стороны используется гостевая учетная запись. По умолчанию в процессе установки Windows Server 2003 всегда создается заблокированная изначально учетная запись Guest, которой предоставлены минимальные полномочия в системе. При этом вызывающей стороне не требуется как-либо идентифицировать себя (другими словами, вызывающая сторона не посылает серверу удаленного доступа имя пользователя или пароль).
При необходимости администратор может использовать любую учетную запись в качестве гостевой учетной записи. Для этого требуется отредактировать системный реестр сервера удаленного доступа. Гостевая учетная запись определяется параметром HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\RemoteAccess\Policy\Default User Identity.