Geek School Learning Windows 7 - Удаленный доступ
В последней части серии мы рассмотрели, как вы можете управлять своими компьютерами Windows и использовать их из любой точки мира, если вы находитесь в одной сети. Но что, если вы не?
Обязательно ознакомьтесь с предыдущими статьями этой серии Geek School по Windows 7:
- Представляем How-To Geek School
- Обновления и Миграции
- Конфигурирование устройств
- Управляющие Диски
- Управление приложениями
- Управление Internet Explorer
- Основы IP-адресации
- сетей
- Беспроводная сеть
- Брандмауэр Windows
- Удаленное администрирование
И оставайтесь с нами до конца сериала всю эту неделю.
Защита доступа к сети
Защита доступа к сети - это попытка Microsoft контролировать доступ к сетевым ресурсам на основе работоспособности клиента, пытающегося подключиться к ним. Например, в ситуации, когда вы пользуетесь ноутбуком, может быть много месяцев, когда вы находитесь в дороге и не подключаете свой ноутбук к корпоративной сети. В течение этого времени нет никакой гарантии, что ваш ноутбук не заразится вирусом или вредоносным ПО или что вы даже получите обновления антивирусных определений..
В этой ситуации, когда вы вернетесь в офис и подключите компьютер к сети, NAP автоматически определит работоспособность компьютеров в соответствии с политикой, настроенной вами на одном из ваших серверов NAP. Если устройство, подключенное к сети, не проходит проверку работоспособности, оно автоматически перемещается в раздел с ограниченным доступом в вашей сети, называемый зоной исправления. Находясь в зоне исправления, серверы исправления автоматически попытаются устранить проблему с вашим компьютером. Некоторые примеры могут быть:
- Если ваш брандмауэр отключен и ваша политика требует его включения, серверы исправлений включат ваш брандмауэр для вас..
- Если в вашей политике здоровья указано, что вам нужны последние обновления Windows, а у вас нет, в вашей зоне исправлений может быть установлен сервер WSUS, который будет устанавливать последние обновления на вашем клиенте..
Ваша машина будет перемещена обратно в корпоративную сеть только в том случае, если ваши серверы NAP сочтут ее работоспособной. Существует четыре различных способа применения NAP, каждый из которых имеет свои преимущества:
- VPN - Использование метода принудительного применения VPN полезно в компании, где удаленные сотрудники работают удаленно из дома, используя свои собственные компьютеры. Вы никогда не можете быть уверены в том, какую вредоносную программу кто-то может установить на ПК, который вы не можете контролировать. Когда вы используете этот метод, здоровье клиента будет проверяться каждый раз, когда он инициирует VPN-соединение..
- DHCP - При использовании метода принудительного применения DHCP клиенту не будут предоставляться действительные сетевые адреса с вашего DHCP-сервера, пока они не будут признаны работоспособными вашей инфраструктурой NAP..
- IPsec - IPsec - это метод шифрования сетевого трафика с использованием сертификатов. Хотя это не очень распространено, вы также можете использовать IPsec для принудительного применения NAP.
- 802.1x - 802.1x также иногда называют аутентификацией на основе портов и является методом аутентификации клиентов на уровне коммутатора. Использование 802.1x для реализации политики NAP является стандартной практикой в современном мире..
Dial-Up соединения
По какой-то причине в наше время Microsoft все еще хочет, чтобы вы знали об этих примитивных коммутируемых соединениях. Коммутируемые соединения используют аналоговую телефонную сеть, также известную как POTS (простая телефонная служба), для передачи информации с одного компьютера на другой. Они делают это с помощью модема, который является комбинацией слов модулировать и демодулировать. Модем подключается к вашему ПК, обычно с помощью кабеля RJ11, и модулирует потоки цифровой информации с вашего компьютера в аналоговый сигнал, который может передаваться по телефонным линиям. Когда сигнал достигает места назначения, он демодулируется другим модемом и превращается в цифровой сигнал, который может понять компьютер. Чтобы создать подключение удаленного доступа, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом..
Затем нажмите «Установить новое соединение» или «Гиперссылка на сеть»..
Теперь выберите Настроить модемное соединение и нажмите «Далее»..
Отсюда вы можете заполнить всю необходимую информацию.
Примечание. Если вы получите вопрос, требующий настройки коммутируемого соединения на экзамене, он предоставит соответствующую информацию..
Виртуальные частные сети
Виртуальные частные сети - это частные туннели, которые вы можете установить через общедоступную сеть, такую как Интернет, чтобы вы могли безопасно подключиться к другой сети..
Например, вы можете установить VPN-подключение с ПК в вашей домашней сети к вашей корпоративной сети. Таким образом, может показаться, что компьютер в вашей домашней сети действительно является частью вашей корпоративной сети. На самом деле, вы даже можете подключиться к общим сетевым ресурсам, например, если вы взяли свой компьютер и физически подключили его к рабочей сети с помощью кабеля Ethernet. Разница, конечно, в скорости: вместо того, чтобы получать скорости Gigabit Ethernet, которые были бы, если бы вы были физически в офисе, вы будете ограничены скоростью вашего широкополосного соединения..
Вы, вероятно, задаетесь вопросом, насколько безопасны эти «частные туннели», поскольку они «туннелируют» через Интернет. Может ли каждый увидеть ваши данные? Нет, они не могут, и это потому, что мы шифруем данные, передаваемые по VPN-соединению, отсюда и название виртуальной «частной» сети. Протокол, используемый для инкапсуляции и шифрования данных, передаваемых по сети, остается на ваше усмотрение, а Windows 7 поддерживает следующее:
Примечание: к сожалению, эти определения вам нужно будет знать наизусть для экзамена.
- Туннельный протокол точка-точка (PPTP) - Протокол двухточечного туннелирования позволяет инкапсулировать сетевой трафик в заголовок IP и отправлять его по IP-сети, например через Интернет..
- Инкапсуляция: Кадры PPP инкапсулированы в дейтаграмму IP с использованием модифицированной версии GRE.
- шифрование: PPP-кадры зашифрованы с использованием Microsoft Point-to-Point Encryption (MPPE). Ключи шифрования генерируются во время проверки подлинности, когда используются протоколы проверки подлинности рукопожатия Microsoft версии 2 (MS-CHAP v2) или протоколы расширенной проверки подлинности и безопасности транспортного уровня (EAP-TLS)..
- Протокол туннелирования уровня 2 (L2TP) - L2TP - это безопасный протокол туннелирования, используемый для транспортировки кадров PPP с использованием Интернет-протокола, он частично основан на PPTP. В отличие от PPTP, реализация L2TP от Microsoft не использует MPPE для шифрования кадров PPP. Вместо этого L2TP использует IPsec в транспортном режиме для служб шифрования. Комбинация L2TP и IPsec известна как L2TP / IPsec..
- Инкапсуляция: Кадры PPP сначала оборачиваются заголовком L2TP, а затем заголовком UDP. Затем результат инкапсулируется с использованием IPSec..
- шифрование: Сообщения L2TP шифруются с использованием шифрования AES или 3DES с использованием ключей, сгенерированных в процессе согласования IKE.
- Протокол туннелирования защищенного сокета (SSTP) - SSTP - это протокол туннелирования, использующий HTTPS. Поскольку TCP-порт 443 открыт на большинстве корпоративных брандмауэров, это отличный выбор для тех стран, которые не разрешают традиционные VPN-подключения. Это также очень безопасно, так как он использует SSL-сертификаты для шифрования.
- Инкапсуляция: Кадры PPP инкапсулированы в дейтаграммы IP.
- шифрование: Сообщения SSTP шифруются с использованием SSL.
- Обмен ключами в Интернете (IKEv2) - IKEv2 - это протокол туннелирования, использующий протокол IPsec Tunnel Mode через UDP-порт 500.
- Инкапсуляция: IKEv2 инкапсулирует дейтаграммы с использованием заголовков IPSec ESP или AH.
- шифрование: Сообщения шифруются с использованием шифрования AES или 3DES с использованием ключей, созданных в процессе согласования IKEv2.
Требования к серверу
Примечание. Очевидно, что другие операционные системы могут быть настроены в качестве серверов VPN. Тем не менее, это требования для запуска сервера Windows VPN.
Чтобы разрешить пользователям создавать VPN-подключения к вашей сети, вам необходимо иметь сервер под управлением Windows Server, на котором установлены следующие роли:
- Маршрутизация и удаленный доступ (RRAS)
- Сервер сетевой политики (NPS)
Вам также нужно будет настроить DHCP или выделить статический пул IP, который могут использовать машины, подключающиеся через VPN..
Создание VPN-соединения
Чтобы подключиться к VPN-серверу, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом..
Затем нажмите «Установить новое соединение» или «Гиперссылка на сеть»..
Теперь выберите подключение к рабочему месту и нажмите кнопку Далее.
Затем выберите использовать существующее широкополосное соединение.
п
Теперь вам нужно будет ввести IP или DNS-имя VPN-сервера в сети, к которой вы хотите подключиться. Затем нажмите «Далее».
Затем введите имя пользователя и пароль и нажмите «Подключиться»..
После подключения вы сможете увидеть, подключены ли вы к VPN, щелкнув значок состояния сети..
Домашнее задание
- Прочитайте следующую статью на TechNet, которая поможет вам при планировании безопасности VPN.
Примечание. Сегодняшнее домашнее задание немного выходит за рамки экзамена 70-680, но оно даст вам четкое представление о том, что происходит за кулисами при подключении к VPN из Windows 7..
Если у вас есть какие-либо вопросы, вы можете написать мне @taybgibb или оставить комментарий.