Домашняя » как » Geek School Learning Windows 7 - Удаленный доступ

    Geek School Learning Windows 7 - Удаленный доступ

    В последней части серии мы рассмотрели, как вы можете управлять своими компьютерами Windows и использовать их из любой точки мира, если вы находитесь в одной сети. Но что, если вы не?

    Обязательно ознакомьтесь с предыдущими статьями этой серии Geek School по Windows 7:

    • Представляем How-To Geek School
    • Обновления и Миграции
    • Конфигурирование устройств
    • Управляющие Диски
    • Управление приложениями
    • Управление Internet Explorer
    • Основы IP-адресации
    • сетей
    • Беспроводная сеть
    • Брандмауэр Windows
    • Удаленное администрирование

    И оставайтесь с нами до конца сериала всю эту неделю.

    Защита доступа к сети

    Защита доступа к сети - это попытка Microsoft контролировать доступ к сетевым ресурсам на основе работоспособности клиента, пытающегося подключиться к ним. Например, в ситуации, когда вы пользуетесь ноутбуком, может быть много месяцев, когда вы находитесь в дороге и не подключаете свой ноутбук к корпоративной сети. В течение этого времени нет никакой гарантии, что ваш ноутбук не заразится вирусом или вредоносным ПО или что вы даже получите обновления антивирусных определений..

    В этой ситуации, когда вы вернетесь в офис и подключите компьютер к сети, NAP автоматически определит работоспособность компьютеров в соответствии с политикой, настроенной вами на одном из ваших серверов NAP. Если устройство, подключенное к сети, не проходит проверку работоспособности, оно автоматически перемещается в раздел с ограниченным доступом в вашей сети, называемый зоной исправления. Находясь в зоне исправления, серверы исправления автоматически попытаются устранить проблему с вашим компьютером. Некоторые примеры могут быть:

    • Если ваш брандмауэр отключен и ваша политика требует его включения, серверы исправлений включат ваш брандмауэр для вас..
    • Если в вашей политике здоровья указано, что вам нужны последние обновления Windows, а у вас нет, в вашей зоне исправлений может быть установлен сервер WSUS, который будет устанавливать последние обновления на вашем клиенте..

    Ваша машина будет перемещена обратно в корпоративную сеть только в том случае, если ваши серверы NAP сочтут ее работоспособной. Существует четыре различных способа применения NAP, каждый из которых имеет свои преимущества:

    • VPN - Использование метода принудительного применения VPN полезно в компании, где удаленные сотрудники работают удаленно из дома, используя свои собственные компьютеры. Вы никогда не можете быть уверены в том, какую вредоносную программу кто-то может установить на ПК, который вы не можете контролировать. Когда вы используете этот метод, здоровье клиента будет проверяться каждый раз, когда он инициирует VPN-соединение..
    • DHCP - При использовании метода принудительного применения DHCP клиенту не будут предоставляться действительные сетевые адреса с вашего DHCP-сервера, пока они не будут признаны работоспособными вашей инфраструктурой NAP..
    • IPsec - IPsec - это метод шифрования сетевого трафика с использованием сертификатов. Хотя это не очень распространено, вы также можете использовать IPsec для принудительного применения NAP.
    • 802.1x - 802.1x также иногда называют аутентификацией на основе портов и является методом аутентификации клиентов на уровне коммутатора. Использование 802.1x для реализации политики NAP является стандартной практикой в ​​современном мире..

    Dial-Up соединения

    По какой-то причине в наше время Microsoft все еще хочет, чтобы вы знали об этих примитивных коммутируемых соединениях. Коммутируемые соединения используют аналоговую телефонную сеть, также известную как POTS (простая телефонная служба), для передачи информации с одного компьютера на другой. Они делают это с помощью модема, который является комбинацией слов модулировать и демодулировать. Модем подключается к вашему ПК, обычно с помощью кабеля RJ11, и модулирует потоки цифровой информации с вашего компьютера в аналоговый сигнал, который может передаваться по телефонным линиям. Когда сигнал достигает места назначения, он демодулируется другим модемом и превращается в цифровой сигнал, который может понять компьютер. Чтобы создать подключение удаленного доступа, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом..

    Затем нажмите «Установить новое соединение» или «Гиперссылка на сеть»..

    Теперь выберите Настроить модемное соединение и нажмите «Далее»..

    Отсюда вы можете заполнить всю необходимую информацию.

    Примечание. Если вы получите вопрос, требующий настройки коммутируемого соединения на экзамене, он предоставит соответствующую информацию..

    Виртуальные частные сети

    Виртуальные частные сети - это частные туннели, которые вы можете установить через общедоступную сеть, такую ​​как Интернет, чтобы вы могли безопасно подключиться к другой сети..

    Например, вы можете установить VPN-подключение с ПК в вашей домашней сети к вашей корпоративной сети. Таким образом, может показаться, что компьютер в вашей домашней сети действительно является частью вашей корпоративной сети. На самом деле, вы даже можете подключиться к общим сетевым ресурсам, например, если вы взяли свой компьютер и физически подключили его к рабочей сети с помощью кабеля Ethernet. Разница, конечно, в скорости: вместо того, чтобы получать скорости Gigabit Ethernet, которые были бы, если бы вы были физически в офисе, вы будете ограничены скоростью вашего широкополосного соединения..

    Вы, вероятно, задаетесь вопросом, насколько безопасны эти «частные туннели», поскольку они «туннелируют» через Интернет. Может ли каждый увидеть ваши данные? Нет, они не могут, и это потому, что мы шифруем данные, передаваемые по VPN-соединению, отсюда и название виртуальной «частной» сети. Протокол, используемый для инкапсуляции и шифрования данных, передаваемых по сети, остается на ваше усмотрение, а Windows 7 поддерживает следующее:

    Примечание: к сожалению, эти определения вам нужно будет знать наизусть для экзамена.

    • Туннельный протокол точка-точка (PPTP) - Протокол двухточечного туннелирования позволяет инкапсулировать сетевой трафик в заголовок IP и отправлять его по IP-сети, например через Интернет..
      • Инкапсуляция: Кадры PPP инкапсулированы в дейтаграмму IP с использованием модифицированной версии GRE.
      • шифрование: PPP-кадры зашифрованы с использованием Microsoft Point-to-Point Encryption (MPPE). Ключи шифрования генерируются во время проверки подлинности, когда используются протоколы проверки подлинности рукопожатия Microsoft версии 2 (MS-CHAP v2) или протоколы расширенной проверки подлинности и безопасности транспортного уровня (EAP-TLS)..
    • Протокол туннелирования уровня 2 (L2TP) - L2TP - это безопасный протокол туннелирования, используемый для транспортировки кадров PPP с использованием Интернет-протокола, он частично основан на PPTP. В отличие от PPTP, реализация L2TP от Microsoft не использует MPPE для шифрования кадров PPP. Вместо этого L2TP использует IPsec в транспортном режиме для служб шифрования. Комбинация L2TP и IPsec известна как L2TP / IPsec..
      • Инкапсуляция: Кадры PPP сначала оборачиваются заголовком L2TP, а затем заголовком UDP. Затем результат инкапсулируется с использованием IPSec..
      • шифрование: Сообщения L2TP шифруются с использованием шифрования AES или 3DES с использованием ключей, сгенерированных в процессе согласования IKE.
    • Протокол туннелирования защищенного сокета (SSTP) - SSTP - это протокол туннелирования, использующий HTTPS. Поскольку TCP-порт 443 открыт на большинстве корпоративных брандмауэров, это отличный выбор для тех стран, которые не разрешают традиционные VPN-подключения. Это также очень безопасно, так как он использует SSL-сертификаты для шифрования.
      • Инкапсуляция: Кадры PPP инкапсулированы в дейтаграммы IP.
      • шифрование: Сообщения SSTP шифруются с использованием SSL.
    • Обмен ключами в Интернете (IKEv2) - IKEv2 - это протокол туннелирования, использующий протокол IPsec Tunnel Mode через UDP-порт 500.
      • Инкапсуляция: IKEv2 инкапсулирует дейтаграммы с использованием заголовков IPSec ESP или AH.
      • шифрование: Сообщения шифруются с использованием шифрования AES или 3DES с использованием ключей, созданных в процессе согласования IKEv2.

    Требования к серверу

    Примечание. Очевидно, что другие операционные системы могут быть настроены в качестве серверов VPN. Тем не менее, это требования для запуска сервера Windows VPN.

    Чтобы разрешить пользователям создавать VPN-подключения к вашей сети, вам необходимо иметь сервер под управлением Windows Server, на котором установлены следующие роли:

    • Маршрутизация и удаленный доступ (RRAS)
    • Сервер сетевой политики (NPS)

    Вам также нужно будет настроить DHCP или выделить статический пул IP, который могут использовать машины, подключающиеся через VPN..

    Создание VPN-соединения

    Чтобы подключиться к VPN-серверу, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом..

    Затем нажмите «Установить новое соединение» или «Гиперссылка на сеть»..

    Теперь выберите подключение к рабочему месту и нажмите кнопку Далее.

    Затем выберите использовать существующее широкополосное соединение.

    п

    Теперь вам нужно будет ввести IP или DNS-имя VPN-сервера в сети, к которой вы хотите подключиться. Затем нажмите «Далее».

    Затем введите имя пользователя и пароль и нажмите «Подключиться»..

    После подключения вы сможете увидеть, подключены ли вы к VPN, щелкнув значок состояния сети..

    Домашнее задание

    • Прочитайте следующую статью на TechNet, которая поможет вам при планировании безопасности VPN.

    Примечание. Сегодняшнее домашнее задание немного выходит за рамки экзамена 70-680, но оно даст вам четкое представление о том, что происходит за кулисами при подключении к VPN из Windows 7..


    Если у вас есть какие-либо вопросы, вы можете написать мне @taybgibb или оставить комментарий.