/ / Geek School: Learning Windows 7 - Remote Access

Geek School: Learning Windows 7 - Remote Access

W ostatniej części serii sprawdziliśmy, jak możesz zarządzać komputerami z systemem Windows i korzystać z nich z dowolnego miejsca, o ile jesteś w tej samej sieci. Ale co jeśli nie jesteś?

Zapoznaj się z poprzednimi artykułami z tej serii Geek School na temat systemu Windows 7:

  • Przedstawiamy How-To Geek School
  • Uaktualnienia i migracje
  • Konfigurowanie urządzeń
  • Zarządzanie dyskami
  • Zarządzanie aplikacjami
  • Zarządzanie programem Internet Explorer
  • Podstawy adresowania IP
  • Sieć
  • Sieć bezprzewodowa
  • zapora systemu Windows
  • Zdalna administracja

I czekaj na resztę serii przez cały ten tydzień.

Ochrona dostępu do sieci

Ochrona dostępu do sieci jest próbą Microsoftukontrolować dostęp do zasobów sieciowych w oparciu o kondycję klienta próbującego się z nimi połączyć. Na przykład w sytuacji, gdy jesteś użytkownikiem laptopa, może upłynąć wiele miesięcy, gdy jesteś w drodze i nie podłączasz laptopa do sieci firmowej. W tym czasie nie ma gwarancji, że Twój laptop nie zostanie zainfekowany wirusem lub złośliwym oprogramowaniem, ani że otrzymasz aktualizacje definicji antywirusowej.

W tej sytuacji, gdy wrócisz doOffice i podłącz urządzenie do sieci, NAP automatycznie określi stan urządzenia na podstawie zasad skonfigurowanych na jednym z serwerów NAP. Jeśli urządzenie podłączone do sieci nie przejdzie inspekcji stanu, zostanie automatycznie przeniesione do bardzo ograniczonej części sieci zwanej strefą naprawczą. Znajdując się w strefie naprawczej, serwery naprawcze automatycznie spróbują rozwiązać problem z komputerem. Niektóre przykłady mogą być:

  • Jeśli zapora jest wyłączona, a zasady wymagają jej włączenia, serwery naprawcze włączą zaporę dla Ciebie.
  • Jeśli Twoje zasady dotyczące zdrowia mówią, że musisz mieć najnowsze aktualizacje systemu Windows, a nie, możesz mieć serwer WSUS w strefie naprawczej, który zainstaluje najnowsze aktualizacje na twoim kliencie.

Twoje urządzenie zostanie przeniesione z powrotem do sieci korporacyjnej tylko wtedy, gdy zostanie uznane za zdrowe przez serwery NAP. Istnieją cztery różne sposoby egzekwowania NAP, z których każdy ma swoje zalety:

  • VPN - Korzystanie z metody wymuszania VPN jest przydatne wfirma, w której telepracownicy pracują zdalnie z domu, korzystając z własnych komputerów. Nigdy nie możesz być pewien, jakie złośliwe oprogramowanie ktoś może zainstalować na komputerze, nad którym nie masz kontroli. Podczas korzystania z tej metody zdrowie klienta będzie sprawdzane za każdym razem, gdy zainicjuje połączenie VPN.
  • DHCP - Podczas korzystania z metody wymuszania DHCP klient nie otrzyma prawidłowych adresów sieciowych z serwera DHCP, dopóki nie zostanie uznany za zdrowy przez infrastrukturę ochrony dostępu do sieci.
  • IPsec - IPsec to metoda szyfrowania ruchu sieciowego za pomocą certyfikatów. Chociaż niezbyt często, można również użyć protokołu IPsec do wymuszenia ochrony dostępu do sieci.
  • 802.1x - 802.1x jest również czasami nazywany uwierzytelnianiem opartym na portach i jest metodą uwierzytelniania klientów na poziomie przełącznika. Używanie 802.1x do egzekwowania zasad ochrony dostępu do sieci jest standardową praktyką w dzisiejszym świecie.

Połączenia telefoniczne

Z jakiegoś powodu w dzisiejszych czasach Microsoftnadal chce, abyś wiedział o tych prymitywnych połączeniach telefonicznych. Połączenia telefoniczne wykorzystują analogową sieć telefoniczną, znaną również jako POTS (Plain Old Telephone Service), do dostarczania informacji z jednego komputera do drugiego. Robią to za pomocą modemu, który jest kombinacją słów modulujących i demodulujących. Modem zostaje podłączony do komputera, zwykle za pomocą kabla RJ11, i moduluje cyfrowe strumienie informacji z komputera na sygnał analogowy, który można przesyłać przez linie telefoniczne. Gdy sygnał dociera do miejsca docelowego, jest demodulowany przez inny modem i zamieniany z powrotem w sygnał cyfrowy, który komputer może zrozumieć. Aby utworzyć połączenie telefoniczne, kliknij prawym przyciskiem myszy ikonę stanu sieci i otwórz Centrum sieci i udostępniania.

wizerunek

Następnie kliknij Konfiguruj nowe połączenie lub hiperłącze sieciowe.

wizerunek

Teraz wybierz Skonfiguruj połączenie telefoniczne i kliknij przycisk Dalej.

wizerunek

Stąd możesz wypełnić wszystkie wymagane informacje.

wizerunek

Uwaga: Jeśli pojawi się pytanie, które wymaga skonfigurowania połączenia dial-up na egzaminie, podadzą one odpowiednie szczegóły.

Wirtualne sieci prywatne

Wirtualne sieci prywatne to prywatne tunele, które można ustanowić w sieci publicznej, takiej jak Internet, aby można było bezpiecznie połączyć się z inną siecią.

Na przykład możesz ustanowić połączenie VPNz komputera w sieci domowej do sieci firmowej. W ten sposób wyglądałoby to tak, jakby komputer w sieci domowej był naprawdę częścią sieci firmowej. W rzeczywistości możesz nawet łączyć się z udziałami sieciowymi, na przykład jeśli zabrałeś komputer i fizycznie podłączyłeś go do swojej sieci roboczej za pomocą kabla Ethernet. Jedyną różnicą jest oczywiście szybkość: zamiast uzyskiwać prędkości Gigabit Ethernet, które byłyby, gdybyś był fizycznie w biurze, będziesz ograniczony szybkością twojego łącza szerokopasmowego.

Prawdopodobnie zastanawiasz się, jak bezpieczne są one„Prywatne tunele” są, ponieważ „tunelują” przez Internet. Czy każdy może zobaczyć twoje dane? Nie, nie mogą, a to dlatego, że szyfrujemy dane przesyłane przez połączenie VPN, stąd nazwa wirtualna „prywatna” sieć. Protokół używany do enkapsulacji i szyfrowania danych przesyłanych przez sieć jest pozostawiony użytkownikowi, a system Windows 7 obsługuje następujące elementy:

Uwaga: Niestety te definicje musisz znać na pamięć do egzaminu.

  • Point-to-Point Tunneling Protocol (PPTP) - Protokół tunelowania Point to Point pozwala na kapsułkowanie ruchu sieciowego w nagłówku IP i wysyłanie go przez sieć IP, taką jak Internet.
    • Kapsułkowanie: Ramki PPP są enkapsulowane w datagramie IP przy użyciu zmodyfikowanej wersji GRE.
    • Szyfrowanie: Ramki PPP są szyfrowane za pomocą MicrosoftSzyfrowanie punkt-punkt (MPPE). Klucze szyfrowania są generowane podczas uwierzytelniania, gdy używane są protokoły Microsoft Challenge Handshake Authentication Protocol w wersji 2 (MS-CHAP v2) lub Extensible Authentication Protocol-Transport Layer Security (EAP-TLS).
  • Protokół tunelowania warstwy 2 (L2TP) - L2TP jest bezpiecznym protokołem tunelowaniatransportowanie ramek PPP za pomocą protokołu internetowego jest częściowo oparte na PPTP. W przeciwieństwie do PPTP implementacja L2TP firmy Microsoft nie używa MPPE do szyfrowania ramek PPP. Zamiast tego L2TP używa protokołu IPsec w trybie transportu do usług szyfrowania. Połączenie L2TP i IPsec jest znane jako L2TP / IPsec.
    • Kapsułkowanie: Ramki PPP są najpierw zawijane nagłówkiem L2TP, a następnie nagłówkiem UDP. Wynik jest następnie enkapsulowany za pomocą IPSec.
    • Szyfrowanie: Wiadomości L2TP są szyfrowane za pomocą szyfrowania AES lub 3DES przy użyciu kluczy wygenerowanych z procesu negocjacji IKE.
  • Secure Socket Tunneling Protocol (SSTP) - SSTP to protokół tunelowania wykorzystujący HTTPS. Ponieważ port TCP 443 jest otwarty w większości zapór korporacyjnych, jest to świetny wybór dla krajów, które nie zezwalają na tradycyjne połączenia VPN. Jest również bardzo bezpieczny, ponieważ używa certyfikatów SSL do szyfrowania.
    • Kapsułkowanie: Ramki PPP są enkapsulowane w datagramach IP.
    • Szyfrowanie: Wiadomości SSTP są szyfrowane przy użyciu protokołu SSL.
  • Internet Key Exchange (IKEv2) - IKEv2 to protokół tunelowania, który korzysta z protokołu trybu tunelowania IPsec przez port UDP 500.
    • Kapsułkowanie: IKEv2 hermetyzuje datagramy przy użyciu nagłówków IPSec ESP lub AH.
    • Szyfrowanie: Wiadomości są szyfrowane za pomocą szyfrowania AES lub 3DES przy użyciu kluczy wygenerowanych z procesu negocjacji IKEv2.

Wymagania dotyczące serwera

Uwaga: Oczywiście możesz skonfigurować inne systemy operacyjne jako serwery VPN. Są to jednak wymagania, aby uruchomić serwer Windows VPN.

Aby umożliwić użytkownikom tworzenie połączenia VPN z siecią, musisz mieć serwer z systemem Windows Server i mieć zainstalowane następujące role:

  • Routing i dostęp zdalny (RRAS)
  • Serwer zasad sieciowych (NPS)

Będziesz także musiał skonfigurować DHCP lub przydzielić statyczną pulę IP, z której mogą korzystać komputery łączące się przez VPN.

Tworzenie połączenia VPN

Aby połączyć się z serwerem VPN, kliknij prawym przyciskiem myszy ikonę stanu sieci i otwórz Centrum sieci i udostępniania.

wizerunek

Następnie kliknij Konfiguruj nowe połączenie lub hiperłącze sieciowe.

wizerunek

Teraz wybierz połączenie z miejscem pracy i kliknij przycisk Dalej.

wizerunek

Następnie wybierz istniejące połączenie szerokopasmowe.

wizerunek
P.

Teraz musisz wprowadzić nazwę IP lub DNS serwera VPN w sieci, z którą chcesz się połączyć. Następnie kliknij przycisk Dalej.

Następnie wprowadź swoją nazwę użytkownika i hasło, a następnie kliknij Połącz.

wizerunek

Po nawiązaniu połączenia będziesz mógł sprawdzić, czy masz połączenie z VPN, klikając ikonę stanu sieci.

wizerunek

Zadanie domowe

  • Przeczytaj następujący artykuł w witrynie TechNet, który poprowadzi Cię przez planowanie bezpieczeństwa VPN.

Uwaga: dzisiejsza praca domowa jest trochę poza zakresem egzaminu 70-680, ale pozwoli ci dobrze zrozumieć, co dzieje się za kulisami, gdy połączysz się z VPN z Windows 7.

Jeśli masz jakieś pytania, możesz napisać do mnie na Twitterze @taybgibb lub po prostu zostawić komentarz.

Przeczytaj także

Geek School: Learning Windows 7 - Managing Disks
Geek School: Learning Windows 7 - Konfiguracja urządzeń
Geek School: Learning Windows 7 - Windows Firewall
Geek School: Learning Windows 7 - Remote Administration
Geek School: Nauka używania poleceń cmdlet w programie PowerShell
Geek School: Learning Windows 7 - Wireless Networking
Geek School: Learning Windows 7 - Upgrades and Migrations
Geek School: Learning Windows 7 - Backup and Recovery