Școala Geek Învățarea Windows 7 - Acces la distanță
În ultima parte a seriei am analizat modul în care puteți gestiona și utiliza calculatoarele Windows de oriunde, atât timp cât vă aflați în aceeași rețea. Dar dacă nu sunteți?
Asigurați-vă că verificați articolele anterioare din seria Geek School din Windows 7:
- Introducerea How-To Geek School
- Upgrade-uri și migrații
- Configurarea dispozitivelor
- Gestionarea discurilor
- Gestionarea aplicațiilor
- Gestionarea Internet Explorer
- Adresarea bazei de date IP
- Rețele
- Rețele fără fir
- Windows Firewall
- Administrare la distanță
Și stați liniștiți pentru restul seriei toată săptămâna aceasta.
Protecția accesului la rețea
Protecția accesului la rețea este încercarea Microsoft de a controla accesul la resursele de rețea în funcție de starea de sănătate a clientului încercând să se conecteze la acestea. De exemplu, în situația în care sunteți un utilizator de laptop, pot exista mai multe luni în care vă aflați pe drum și nu conectați laptopul la rețeaua companiei. În acest timp, nu există nici o garanție că laptopul dvs. nu se infectează cu un virus sau malware sau că primiți chiar și actualizări de definiție anti-virus.
În această situație, când vă întoarceți la birou și vă conectați mașina la rețea, NAP va determina automat sănătatea mașinilor împotriva unei politici pe care ați configurat-o pe unul dintre serverele NAP. Dacă dispozitivul conectat la rețea nu reușește inspecția sanitară, acesta va fi mutat automat într-o secțiune super-restrânsă a rețelei numită zonă de remediere. Când vă aflați în zona de remediere, serverele de remediere vor încerca automat și vor remedia problema cu aparatul. Câteva exemple ar putea fi:
- Dacă paravanul de protecție este dezactivat și politica dvs. impune ca acesta să fie activat, serverele de remediere ar activa paravanul de protecție pentru dvs..
- Dacă politica dvs. de sănătate afirmă că trebuie să aveți cele mai recente actualizări Windows și nu faceți acest lucru, ați putea avea un server WSUS în zona dvs. de remediere care va instala cele mai recente actualizări pentru clientul dvs..
Aparatul dvs. va fi mutat înapoi în rețeaua corporativă doar dacă acesta este considerat sănătos de serverele NAP. Există patru moduri diferite în care puteți aplica PNA, fiecare având propriile sale avantaje:
- VPN - Utilizarea metodei de executare VPN este utilă într-o companie în care aveți telecomunicații de la distanță care lucrează de la domiciliu, folosind propriile computere. Nu puteți fi sigur niciodată ce fel de malware se poate instala pe un PC pe care nu îl aveți. Când utilizați această metodă, sănătatea unui client va fi verificată de fiecare dată când inițiază o conexiune VPN.
- DHCP - Când utilizați metoda de executare DHCP, clientului nu i se vor da adrese de rețea valide de la serverul dvs. DHCP până când acestea nu sunt considerate sănătoase de către infrastructura NAP.
- IPsec - IPsec este o metodă de criptare a traficului de rețea utilizând certificate. Deși nu este foarte comună, puteți utiliza, de asemenea, IPsec pentru a impune NAP.
- 802.1x - 802.1x este, de asemenea, numit uneori autentificare pe bază de porturi și este o metodă de autentificare a clienților la nivelul comutatoarelor. Utilizarea tehnologiei 802.1x pentru a impune o politică NAP este o practică standard în lumea de astăzi.
Conexiuni dial-up
Din anumite motive, în această zi și vârstă Microsoft încă mai dorește să știți despre aceste conexiuni primitive dial-up. Conexiunile dial-up utilizează rețeaua de telefonie analogică, cunoscută și sub denumirea de POTS (Serviciu telefonic vechi simplu), pentru a furniza informații de la un computer la altul. Ei fac acest lucru folosind un modem, care este o combinație a cuvintelor modulate și demodulate. Modemul este conectat la computer, utilizând în mod normal un cablu RJ11 și modulează fluxurile de informații digitale de pe PC într-un semnal analogic care poate fi transferat pe liniile telefonice. Când semnalul ajunge la destinație, acesta este demodulat de un alt modem și transformat înapoi într-un semnal digital pe care computerul îl poate înțelege. Pentru a crea o conexiune dial-up, faceți clic dreapta pe pictograma de stare a rețelei și deschideți Centrul de rețea și partajare.
Apoi dați clic pe Configurați o nouă conexiune sau un hyperlink de rețea.
Acum alegeți să configurați o conexiune dial-up și faceți clic pe următorul.
De aici puteți completa toate informațiile necesare.
Notă: dacă aveți o întrebare care vă cere să configurați o conexiune dial-up la examen, acestea vor furniza detaliile relevante.
Rețele virtuale private
Rețelele private virtuale sunt tuneluri private pe care le puteți stabili prin intermediul unei rețele publice, cum ar fi internetul, astfel încât să vă puteți conecta în siguranță la o altă rețea.
De exemplu, ați putea stabili o conexiune VPN de la un PC în rețeaua dvs. de domiciliu, în rețeaua dvs. corporativă. În felul acesta, ar părea că PC-ul din rețeaua dvs. de domiciliu era într-adevăr parte din rețeaua dvs. corporativă. De fapt, puteți chiar să vă conectați la acțiuni de rețea și cum ar fi dacă ați luat calculatorul și l-ați conectat fizic la rețeaua de lucru cu un cablu Ethernet. Singura diferență este, desigur, viteza: în loc să obțineți vitezele de tip Gigabit Ethernet pe care le-ați face dacă ați fi fizic în birou, veți fi limitat de viteza conexiunii dvs. în bandă largă.
Probabil că vă întrebați cât de sigure sunt aceste "tuneluri private", deoarece acestea "trec" pe internet. Poate fiecare să vă vadă datele? Nu, ei nu pot, și asta pentru că criptează datele trimise printr-o conexiune VPN, de aici numele rețelei virtuale "private". Protocolul utilizat pentru încapsularea și criptarea datelor trimise prin rețea este lăsat în revistă de dvs. și Windows 7 acceptă următoarele:
Notă: Din păcate, aceste definiții trebuie să cunoașteți cu atenție examenul.
- Protocolul tunel punct-la-punct (PPTP) - Protocolul Point to Point Tunneling permite traficului de rețea să fie încapsulat într-un antet IP și trimis într-o rețea IP, cum ar fi Internetul.
- încapsularea: Cadrele PPP sunt încapsulate într-o datagrama IP, folosind o versiune modificată a GRE.
- Criptarea: Cadrele PPP sunt criptate folosind Microsoft Point-to-Point Encryption (MPPE). Cheile de criptare sunt generate în timpul autentificării atunci când se utilizează protocoalele Microsoft Challenge Handshake Authentication Protocol versiunea 2 (MS-CHAP v2) sau Protocolul de autentificare protocol de extensie (EAP-TLS).
- Protocolul de tunelizare Layer 2 (L2TP) - L2TP este un protocol de tunel securizat folosit pentru transportul cadrelor PPP folosind Internet Protocol, parțial bazat pe PPTP. Spre deosebire de PPTP, implementarea de către Microsoft a L2TP nu utilizează MPPE pentru criptarea cadrelor PPP. În schimb, L2TP utilizează IPsec în modul Transport pentru serviciile de criptare. Combinația dintre L2TP și IPsec este cunoscută sub numele de L2TP / IPsec.
- încapsularea: Cadrele PPP sunt înfășurate mai întâi cu un antet L2TP și apoi cu un antet UDP. Rezultatul este apoi încapsulat folosind IPSec.
- Criptarea: Mesajele L2TP sunt criptate cu criptare AES sau 3DES folosind cheile generate de procesul de negociere IKE.
- Protocolul de tunelare socket securizat (SSTP) - SSTP este un protocol de tunel care utilizează HTTPS. Deoarece portul TCP 443 este deschis pe majoritatea firewall-urilor corporative, aceasta este o alegere excelentă pentru acele țări care nu permit conexiuni tradiționale VPN. De asemenea, este foarte sigur, deoarece utilizează certificate SSL pentru criptare.
- încapsularea: Cadrele PPP sunt încapsulate în datagrame IP.
- Criptarea: Mesajele SSTP sunt criptate folosind SSL.
- Schimbul de chei de Internet (IKEv2) - IKEv2 este un protocol de tunel care utilizează protocolul Modului tunelului IPsec pe portul UDP 500.
- încapsularea: IKEv2 încorporează datagrame utilizând anteturi IPSec ESP sau AH.
- Criptarea: Mesajele sunt criptate cu criptare AES sau 3DES folosind cheile generate de procesul de negociere IKEv2.
Cerințe server
Notă: În mod evident, puteți avea alte sisteme de operare configurate ca servere VPN. Cu toate acestea, acestea sunt cerințele pentru a se executa un server VPN Windows.
Pentru a permite utilizatorilor să creeze o conexiune VPN la rețeaua dvs., trebuie să aveți un server care rulează Windows Server și are următoarele roluri instalate:
- Rutarea și accesul la distanță (RRAS)
- Network Policy Server (NPS)
Va trebui, de asemenea, să configurați DHCP sau să alocați o piscină IP statică pe care mașinile care le conectează prin VPN pot folosi.
Crearea unei conexiuni VPN
Pentru a vă conecta la un server VPN, faceți clic dreapta pe pictograma de stare a rețelei și deschideți Centrul de rețea și partajare.
Apoi dați clic pe Configurați o nouă conexiune sau un hyperlink de rețea.
Acum alegeți să vă conectați la un loc de muncă și faceți clic pe următorul.
Apoi alegeți să utilizați conexiunea dvs. în bandă largă existentă.
P
Acum va trebui să introduceți numele IP sau DNS al serverului VPN în rețeaua pe care doriți să o conectați. Apoi, faceți clic pe Următorul.
Apoi, introduceți numele de utilizator și parola și faceți clic pe conectați.
După ce vă conectați, veți putea vedea dacă sunteți conectat (ă) la o rețea VPN făcând clic pe pictograma de stare a rețelei.
Teme pentru acasă
- Citiți următorul articol pe TechNet, care vă ghidează prin planificarea securității pentru o rețea VPN.
Notă: Temele de astăzi sunt puțin depășite pentru examenul 70-680, dar vă va oferi o înțelegere solidă a ceea ce se întâmplă în spatele scenei atunci când vă conectați la o rețea VPN din Windows 7.
Dacă aveți întrebări, puteți să-mi trimiteți un tweet @taybgibb sau să lăsați un comentariu.