シリーズの最後の部分では、同じネットワーク上にいる限り、どこからでもWindowsコンピューターを管理および使用する方法を検討しました。しかし、そうでない場合はどうなりますか?
Windows 7のこのGeek Schoolシリーズの以前の記事を必ずチェックしてください。
- How-To Geek Schoolの紹介
- アップグレードと移行
- デバイスの構成
- ディスクの管理
- アプリケーションの管理
- Internet Explorerの管理
- IPアドレッシングの基礎
- ネットワーキング
- 無線ネットワーク
- Windowsファイアウォール
- リモート管理
そして、今週中もシリーズの残りをお楽しみに。
ネットワークアクセス保護
ネットワークアクセス保護はマイクロソフトの試みです接続しようとしているクライアントの状態に基づいて、ネットワークリソースへのアクセスを制御します。たとえば、あなたがラップトップユーザーである状況では、外出先でラップトップを企業ネットワークに接続しないで何ヶ月もかかることがあります。この間、ラップトップがウイルスやマルウェアに感染しないという保証はありません。また、ウイルス定義の更新を受け取ることさえありません。
この状況では、に戻ったときオフィスに接続してマシンをネットワークに接続すると、NAPは、NAPサーバーの1つに設定したポリシーに対してマシンの状態を自動的に判断します。ネットワークに接続したデバイスが正常性検査に失敗した場合、修復ゾーンと呼ばれるネットワークの非常に制限されたセクションに自動的に移動します。修復ゾーンにある場合、修復サーバーはマシンの問題を自動的に修正しようとします。以下に例を示します。
- ファイアウォールが無効になっていて、ポリシーで有効にする必要がある場合、修復サーバーはファイアウォールを有効にします。
- 正常性ポリシーで、最新のWindows更新プログラムが必要であるがそうでないことが示されている場合、クライアントに最新の更新プログラムをインストールするWSUSサーバーを修復ゾーンに配置できます。
マシンは、NAPサーバーによって正常と見なされた場合にのみ、企業ネットワークに戻されます。 NAPを実施できる4つの異なる方法があり、それぞれ独自の利点があります。
- VPN – VPN実施方法の使用は、自分のコンピューターを使用して在宅勤務者が自宅からリモートで作業している会社。あなたが制御できないPCに誰かがどのマルウェアをインストールするかについては、決して確信が持てません。この方法を使用すると、クライアントがVPN接続を開始するたびにクライアントのヘルスがチェックされます。
- DHCP – DHCP強制方法を使用する場合、NAPインフラストラクチャによって正常と見なされるまで、クライアントにはDHCPサーバーから有効なネットワークアドレスが与えられません。
- IPsec – IPsecは、証明書を使用してネットワークトラフィックを暗号化する方法です。あまり一般的ではありませんが、IPsecを使用してNAPを強制することもできます。
- 802.1x – 802.1xはポートベース認証とも呼ばれ、スイッチレベルでクライアントを認証する方法です。 802.1xを使用してNAPポリシーを実施することは、今日の世界では標準的な慣行です。
ダイヤルアップ接続
なんらかの理由で、この日とマイクロソフトの年齢まだそれらの原始的なダイヤルアップ接続について知ってほしい。ダイヤルアップ接続では、POTS(Plain Old Telephone Service)とも呼ばれるアナログ電話ネットワークを使用して、あるコンピューターから別のコンピューターに情報を配信します。モデムを使用してこれを行います。モデムは、変調と復調の単語の組み合わせです。モデムは、通常RJ11ケーブルを使用してPCに接続され、PCからのデジタル情報ストリームを電話回線を介して転送できるアナログ信号に変調します。信号が宛先に到達すると、別のモデムによって復調され、コンピューターが理解できるデジタル信号に戻ります。ダイヤルアップ接続を作成するには、ネットワークステータスアイコンを右クリックして、ネットワークと共有センターを開きます。
次に、[新しい接続またはネットワークのセットアップ]ハイパーリンクをクリックします。
ここで、ダイヤルアップ接続をセットアップすることを選択し、[次へ]をクリックします。
ここから、必要なすべての情報を入力できます。
注:試験でダイヤルアップ接続を設定する必要がある質問を受け取った場合、関連する詳細が提供されます。
仮想プライベートネットワーク
仮想プライベートネットワークは、インターネットなどのパブリックネットワークを介して確立できるプライベートトンネルで、別のネットワークに安全に接続できます。
たとえば、VPN接続を確立できますホームネットワーク上のPCから企業ネットワークへ。そうすれば、ホームネットワーク上のPCが実際に企業ネットワークの一部であるかのように見えます。実際、ネットワーク共有に接続することもできます。たとえば、PCを取り出して、イーサネットケーブルを使用して職場のネットワークに物理的に接続した場合などです。唯一の違いは、もちろん速度です。オフィスに物理的にいる場合にギガビットイーサネットの速度を取得する代わりに、ブロードバンド接続の速度によって制限されます。
あなたはおそらくこれらがどれほど安全か疑問に思っています「プライベートトンネル」は、インターネットを介して「トンネル」するためです。誰もがあなたのデータを見ることができますか?いいえ、できません。VPN接続を介して送信されるデータを暗号化するため、仮想「プライベート」ネットワークと呼ばれます。ネットワーク経由で送信されるデータのカプセル化と暗号化に使用されるプロトコルはユーザーに任されており、Windows 7は以下をサポートしています。
注:残念ながら、これらの定義は試験のために暗記する必要があります。
- ポイントツーポイントトンネリングプロトコル(PPTP) –ポイントツーポイントトンネリングプロトコルにより、ネットワークトラフィックをIPヘッダーにカプセル化し、インターネットなどのIPネットワークを介して送信できます。
- カプセル化:PPPフレームは、GREの修正バージョンを使用して、IPデータグラムにカプセル化されます。
- 暗号化:PPPフレームはMicrosoftを使用して暗号化されますポイントツーポイント暗号化(MPPE)。暗号化キーは、Microsoftチャレンジハンドシェイク認証プロトコルバージョン2(MS-CHAP v2)または拡張認証プロトコル-トランスポート層セキュリティ(EAP-TLS)プロトコルが使用される認証中に生成されます。
- レイヤー2トンネリングプロトコル(L2TP) – L2TPは、以下に使用される安全なトンネリングプロトコルです。インターネットプロトコルを使用してPPPフレームを転送する場合、PPTPに部分的に基づいています。 PPTPとは異なり、MicrosoftによるL2TPの実装では、MPPEを使用してPPPフレームを暗号化しません。代わりに、L2TPは暗号化サービスにトランスポートモードのIPsecを使用します。 L2TPとIPsecの組み合わせは、L2TP / IPsecとして知られています。
- カプセル化:PPPフレームは最初にL2TPヘッダーでラップされ、次にUDPヘッダーでラップされます。結果は、IPSecを使用してカプセル化されます。
- 暗号化:L2TPメッセージは、IKEネゴシエーションプロセスから生成されたキーを使用して、AESまたは3DES暗号化で暗号化されます。
- セキュアソケットトンネリングプロトコル(SSTP) – SSTPは、HTTPSを使用するトンネリングプロトコルです。 ほとんどの企業ファイアウォールではTCPポート443が開いているため、これは従来のVPN接続を許可していない国に最適な選択肢です。また、暗号化にSSL証明書を使用するため、非常に安全です。
- カプセル化:PPPフレームはIPデータグラムにカプセル化されます。
- 暗号化:SSTPメッセージはSSLを使用して暗号化されます。
- インターネットキー交換(IKEv2) – IKEv2は、UDPポート500でIPsecトンネルモードプロトコルを使用するトンネリングプロトコルです。
- カプセル化:IKEv2は、IPSec ESPまたはAHヘッダーを使用してデータグラムをカプセル化します。
- 暗号化:メッセージは、IKEv2ネゴシエーションプロセスから生成されたキーを使用して、AESまたは3DES暗号化で暗号化されます。
サーバー要件
注:明らかに、他のオペレーティングシステムをVPNサーバーとして設定することができます。ただし、これらはWindows VPNサーバーを実行するための要件です。
ユーザーがネットワークへのVPN接続を作成できるようにするには、Windows Serverを実行するサーバーが必要であり、次の役割がインストールされている必要があります。
- ルーティングとリモートアクセス(RRAS)
- ネットワークポリシーサーバー(NPS)
また、DHCPをセットアップするか、VPN経由で接続するマシンが使用できる静的IPプールを割り当てる必要があります。
VPN接続の作成
VPNサーバーに接続するには、ネットワークステータスアイコンを右クリックして、ネットワークと共有センターを開きます。
次に、[新しい接続またはネットワークのセットアップ]ハイパーリンクをクリックします。
次に、職場への接続を選択して、[次へ]をクリックします。
次に、既存のブロードバンド接続を使用することを選択します。
次に、接続するネットワーク上のVPNサーバーのIPまたはDNS名を入力する必要があります。次へをクリックします。
次に、ユーザー名とパスワードを入力し、接続をクリックします。
接続したら、ネットワークステータスアイコンをクリックして、VPNに接続しているかどうかを確認できます。
宿題
- TechNetの次の記事をお読みください。VPNのセキュリティの計画について説明しています。
注:今日の宿題は70-680試験の範囲外ですが、Windows 7からVPNに接続したときに舞台裏で何が起こっているかをしっかりと理解できます。
ご質問がある場合は、@ taybgibbにツイートするか、コメントを残してください。