/ / Geek School: Aprendendo o Windows 7 - Acesso Remoto

Geek School: Aprendendo o Windows 7 - Acesso Remoto

Na última parte da série, vimos como você pode gerenciar e usar seus computadores Windows de qualquer lugar, desde que esteja na mesma rede. Mas e se você não for?

Não deixe de conferir os artigos anteriores desta série Geek School no Windows 7:

  • Apresentando a How-To Geek School
  • Atualizações e migrações
  • Configurando dispositivos
  • Gerenciando discos
  • Gerenciando aplicativos
  • Gerenciando o Internet Explorer
  • Fundamentos de endereçamento IP
  • Trabalho em rede
  • Rede sem fio
  • Firewall do Windows
  • Administração Remota

E fique ligado no resto da série toda essa semana.

Proteção de acesso à rede

Proteção de acesso à rede é a tentativa da Microsoftcontrolar o acesso aos recursos da rede com base na integridade do cliente que está tentando se conectar a eles. Por exemplo, na situação em que você é usuário de laptop, pode haver muitos meses em que você está na estrada e não conecta seu laptop à rede corporativa. Durante esse período, não há garantia de que seu laptop não seja infectado por um vírus ou malware ou que você receba atualizações de definições de antivírus.

Nesta situação, quando você voltar aoescritório e conectar a máquina à rede, a NAP determinará automaticamente a integridade das máquinas de acordo com uma política que você configurou em um de seus servidores NAP. Se o dispositivo conectado à rede falhar na inspeção de integridade, ele será automaticamente movido para uma seção super restrita da sua rede chamada zona de correção. Quando estiverem na zona de correção, os servidores de correção tentarão corrigir automaticamente o problema com sua máquina. Alguns exemplos podem ser:

  • Se o firewall estiver desativado e sua política exigir que ela seja ativada, os servidores de correção ativariam o firewall para você.
  • Se sua política de integridade declarar que você precisa das atualizações mais recentes do Windows e não, você pode ter um servidor WSUS na sua zona de correção que instalará as atualizações mais recentes no seu cliente.

Sua máquina só será movida de volta para a rede corporativa se for considerada íntegra por seus servidores NAP. Existem quatro maneiras diferentes de aplicar a NAP, cada uma com suas próprias vantagens:

  • VPN - O uso do método de imposição de VPN é útil em umempresa em que você tem telecomutadores trabalhando remotamente em casa, usando seus próprios computadores. Você nunca pode ter certeza sobre o malware que alguém pode instalar em um PC sobre o qual você não tem controle. Quando você usa esse método, a integridade de um cliente é verificada toda vez que ele inicia uma conexão VPN.
  • DHCP - Quando você usa o método de imposição de DHCP, um cliente não recebe endereços de rede válidos do servidor DHCP até que eles sejam considerados íntegros por sua infraestrutura NAP.
  • IPsec - IPsec é um método de criptografar o tráfego de rede usando certificados. Embora não seja muito comum, você também pode usar o IPsec para aplicar a NAP.
  • 802.1x - Às vezes, o 802.1x também é chamado de autenticação baseada em porta e é um método de autenticação de clientes no nível do comutador. Usar o 802.1x para impor uma política NAP é uma prática padrão no mundo de hoje.

Conexões dial-up

Por algum motivo hoje em dia, a Microsoftainda deseja que você conheça essas conexões discadas primitivas. As conexões dial-up usam a rede telefônica analógica, também conhecida como POTS (Serviço Telefônico Antigo Simples), para fornecer informações de um computador para outro. Eles fazem isso usando um modem, que é uma combinação das palavras modular e desmodular. O modem é conectado ao seu PC, normalmente usando um cabo RJ11, e modula os fluxos de informações digitais do seu PC em um sinal analógico que pode ser transferido pelas linhas telefônicas. Quando o sinal chega ao seu destino, é desmodulado por outro modem e transformado novamente em um sinal digital que o computador pode entender. Para criar uma conexão dial-up, clique com o botão direito do mouse no ícone de status da rede e abra o Centro de Rede e Compartilhamento.

imagem

Em seguida, clique no link Configurar uma nova conexão ou rede.

imagem

Agora escolha Configurar uma conexão dial-up e clique em Avançar.

imagem

A partir daqui, você pode preencher todas as informações necessárias.

imagem

Nota: Se você receber uma pergunta que exige que você configure uma conexão dial-up no exame, eles fornecerão os detalhes relevantes.

Redes Privadas Virtuais

As redes privadas virtuais são túneis particulares que você pode estabelecer em uma rede pública, como a Internet, para poder se conectar com segurança a outra rede.

Por exemplo, você pode estabelecer uma conexão VPNde um PC na sua rede doméstica, para a sua rede corporativa. Dessa forma, pareceria que o PC da sua rede doméstica realmente fazia parte da sua rede corporativa. Na verdade, você pode até conectar-se a compartilhamentos de rede e, por exemplo, se você tivesse pegado seu PC e fisicamente o conectado à sua rede de trabalho com um cabo Ethernet. A única diferença é, obviamente, a velocidade: em vez de obter as velocidades Gigabit Ethernet que você faria se estivesse fisicamente no escritório, você será limitado pela velocidade da sua conexão de banda larga.

Você provavelmente está se perguntando o quão seguro esses"Túneis privados" são porque "tunelam" pela internet. Todos podem ver seus dados? Não, eles não podem, e isso porque criptografamos os dados enviados por uma conexão VPN, daí o nome rede virtual "privada". O protocolo usado para encapsular e criptografar os dados enviados pela rede fica a seu critério, e o Windows 7 oferece suporte ao seguinte:

Nota: Infelizmente, essas definições você precisará conhecer de cor para o exame.

  • Protocolo de encapsulamento ponto a ponto (PPTP) - O protocolo de encapsulamento ponto a ponto permite que o tráfego da rede seja encapsulado em um cabeçalho IP e enviado por uma rede IP, como a Internet.
    • Encapsulamento: Os quadros PPP são encapsulados em um datagrama IP, usando uma versão modificada do GRE.
    • Criptografia: Os quadros PPP são criptografados usando o MicrosoftCriptografia ponto a ponto (MPPE). As chaves de criptografia são geradas durante a autenticação em que são usados ​​os protocolos Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2) ou Extensible Authentication Protocol-Transport Layer Security (EAP-TLS).
  • Protocolo de encapsulamento da camada 2 (L2TP) - L2TP é um protocolo de encapsulamento seguro usado paratransportando quadros PPP usando o Protocolo da Internet, é parcialmente baseado em PPTP. Ao contrário do PPTP, a implementação do L2TP da Microsoft não usa o MPPE para criptografar quadros PPP. Em vez disso, o L2TP usa IPsec no modo de transporte para serviços de criptografia. A combinação de L2TP e IPsec é conhecida como L2TP / IPsec.
    • Encapsulamento: Os quadros PPP são agrupados primeiro com um cabeçalho L2TP e, em seguida, um cabeçalho UDP. O resultado é então encapsulado usando IPSec.
    • Criptografia: As mensagens L2TP são criptografadas com criptografia AES ou 3DES usando chaves geradas no processo de negociação IKE.
  • Protocolo de encapsulamento seguro de soquete (SSTP) - SSTP é um protocolo de encapsulamento que usa HTTPS. Como a porta TCP 443 é aberta na maioria dos firewalls corporativos, essa é uma ótima opção para os países que não permitem conexões VPN tradicionais. Também é muito seguro, pois usa certificados SSL para criptografia.
    • Encapsulamento: Os quadros PPP são encapsulados em datagramas IP.
    • Criptografia: As mensagens SSTP são criptografadas usando SSL.
  • Troca de chaves da Internet (IKEv2) - IKEv2 é um protocolo de encapsulamento que usa o protocolo IPsec Tunnel Mode na porta UDP 500.
    • Encapsulamento: O IKEv2 encapsula datagramas usando os cabeçalhos IPSec ESP ou AH.
    • Criptografia: As mensagens são criptografadas com criptografia AES ou 3DES usando as chaves geradas no processo de negociação IKEv2.

Requisitos do servidor

Nota: Você pode obviamente ter outros sistemas operacionais configurados para serem servidores VPN. No entanto, esses são os requisitos para executar um servidor VPN do Windows.

Para permitir que as pessoas criem uma conexão VPN com a sua rede, você precisa de um servidor executando o Windows Server e as seguintes funções instaladas:

  • Roteamento e acesso remoto (RRAS)
  • Servidor de diretivas de rede (NPS)

Você também precisará configurar o DHCP ou alocar um pool de IP estático que as máquinas que se conectam pela VPN possam usar.

Criando uma conexão VPN

Para se conectar a um servidor VPN, clique com o botão direito do mouse no ícone de status da rede e abra o Centro de Rede e Compartilhamento.

imagem

Em seguida, clique no link Configurar uma nova conexão ou rede.

imagem

Agora escolha conectar-se a um local de trabalho e clique em Avançar.

imagem

Em seguida, escolha usar sua conexão de banda larga existente.

imagem
P

Agora você precisará digitar o nome IP ou DNS do servidor VPN na rede à qual deseja se conectar. Depois clique em Avançar.

Em seguida, digite seu nome de usuário e senha e clique em conectar.

imagem

Depois de se conectar, você poderá ver se está conectado a uma VPN clicando no ícone de status da rede.

imagem

Dever de casa

  • Leia o seguinte artigo no TechNet, que o orienta no planejamento da segurança de uma VPN.

Observação: a lição de casa de hoje está um pouco fora do escopo para o exame 70-680, mas fornecerá uma sólida compreensão do que está acontecendo nos bastidores quando você se conecta a uma VPN do Windows 7.

Se você tiver alguma dúvida, pode me twittar @taybgibb ou apenas deixar um comentário.

Leia também

Geek School: Aprendendo o Windows 7 - Gerenciando discos
Geek School: Aprendendo o Windows 7 - Configurando dispositivos
Geek School: Aprendendo o Windows 7 - Firewall do Windows
Geek School: Aprendendo o Windows 7 - Administração Remota
Escola Geek: aprendendo a usar cmdlets no PowerShell
Geek School: Aprendendo o Windows 7 - Rede sem fio
Geek School: Aprendendo o Windows 7 - Atualizações e Migrações
Geek School: Aprendendo o Windows 7 - Backup e Recuperação