Geek šola učenje Windows 7 - oddaljeni dostop
V zadnjem delu serije smo pogledali, kako lahko upravljate in uporabljate računalnike z operacijskim sistemom Windows od koder koli, dokler ste na istem omrežju. Kaj pa, če nisi?
Bodite prepričani, da preverite prejšnje članke v tej seriji Geek School na Windows 7:
- Predstavljamo How-To Geek School
- Nadgradnje in migracije
- Konfiguriranje naprav
- Upravljanje diskov
- Upravljanje aplikacij
- Upravljanje Internet Explorerja
- Osnove IP naslova
- Mreženje
- Brezžično omrežje
- Požarni zid Windows
- Oddaljeno upravljanje
In ostanite z nami do konca tega tedna.
Zaščita dostopa do omrežja
Zaščita dostopa do omrežja je Microsoftov poskus nadzora dostopa do omrežnih virov, ki temelji na zdravju stranke, ki se skuša povezati z njimi. Na primer, v primeru, ko ste uporabnik prenosnega računalnika, lahko obstaja več mesecev, ko ste na poti in ne povezujete prenosnega računalnika z omrežjem podjetja. V tem času ni nobenega zagotovila, da se vaš prenosni računalnik ne okuži z virusom ali zlonamerno programsko opremo ali da celo prejmete posodobitve protivirusnih definicij.
V tem primeru, ko se vrnete v pisarno in povežete napravo z omrežjem, bo NAP samodejno določil stanje računalnika pred pravilnikom, ki ste ga nastavili na enem od vaših strežnikov NAP. Če naprava, ki je povezana z omrežjem, ne pregleda zdravstvenega pregleda, se samodejno premakne v oddaljeni del omrežja, ki se imenuje območje sanacije. V sanacijskem območju bodo strežniki za sanacijo samodejno poskusili odpraviti težavo z vašim računalnikom. Nekateri primeri so lahko:
- Če je požarni zid onemogočen in če pravilnik zahteva, da je omogočen, bodo popravni strežniki omogočili vaš požarni zid.
- Če vaše zdravstveno pravilo navaja, da morate imeti najnovejše posodobitve za sistem Windows in ne, lahko v svojem območju za sanacijo imate strežnik WSUS, ki bo namestil najnovejše posodobitve v vašo stranko.
Vaš računalnik se bo preselil nazaj v omrežje podjetja, če ga vaši strežniki NAP štejejo za zdravo. NAP lahko uveljavite na štiri različne načine: vsak ima svoje prednosti:
- VPN - Uporaba metode uveljavljanja VPN je uporabna v podjetju, kjer imate oddaljeno delo od doma z uporabo svojih računalnikov. Nikoli ne morete biti prepričani, katera zlonamerna programska oprema bi lahko namestila na osebni računalnik, na katero nimate nadzora. Ko uporabite to metodo, bo zdravje odjemalca preverjeno vsakič, ko vzpostavijo povezavo VPN.
- DHCP - Ko uporabite način uveljavljanja DHCP, odjemalec ne bo prejel veljavnih omrežnih naslovov od vašega strežnika DHCP, dokler jih vaša infrastruktura NAP ne šteje za zdravo..
- IPsec - IPsec je način šifriranja omrežnega prometa z uporabo potrdil. Čeprav ni zelo pogosta, lahko uporabite tudi IPsec za uveljavitev NAP.
- 802.1x - 802.1x se včasih imenuje tudi overjanje s pristaniščem in je metoda preverjanja pristnosti odjemalcev na ravni stikala. Uporaba 802.1x za uveljavljanje politike NAP je običajna praksa v današnjem svetu.
Klicne povezave
Iz tega razloga Microsoft še vedno želi, da veste o tistih primitivnih klicnih povezavah. Klicne povezave uporabljajo analogno telefonsko omrežje, znano tudi kot POTS (Plain Old Telephone Service), da posredujejo informacije iz enega računalnika v drugega. To naredijo z uporabo modema, ki je kombinacija besed, ki se modulirajo in demodulirajo. Modem je priklopljen na računalnik, običajno s kablom RJ11, in digitalne tokove informacij iz računalnika modulira v analogni signal, ki ga je mogoče prenesti prek telefonskih linij. Ko signal doseže cilj, se demodulira z drugim modemom in se vrne v digitalni signal, ki ga računalnik razume. Če želite ustvariti klicno povezavo, z desno miškino tipko kliknite ikono stanja omrežja in odprite Središče za omrežje in skupno rabo.
Nato kliknite Nastavitev nove povezave ali hiperpovezave omrežja.
Zdaj izberite možnost Nastavitev klicne povezave in kliknite Naprej.
Tukaj lahko izpolnite vse zahtevane informacije.
Opomba: Če se na izpitu pojavi vprašanje, ki zahteva, da vzpostavite povezavo na klic, bodo zagotovile ustrezne podrobnosti.
Virtualna zasebna omrežja
Navidezna zasebna omrežja so zasebni tuneli, ki jih lahko vzpostavite prek javnega omrežja, kot je internet, tako da se lahko varno povežete z drugim omrežjem.
Na primer, lahko vzpostavite povezavo VPN iz računalnika v domačem omrežju z omrežjem podjetja. Na ta način se zdi, da je računalnik v domačem omrežju dejansko del vašega poslovnega omrežja. Pravzaprav se lahko povežete tudi z omrežnimi vmesniki, na primer, če ste vzeli računalnik in ga fizično priključili v delovno omrežje s kablom Ethernet. Edina razlika je seveda hitrost: namesto da bi dobili hitrost Gigabit Ethernet, ki bi jih, če bi bili fizično v pisarni, boste omejeni s hitrostjo vaše širokopasovne povezave.
Verjetno se sprašujete, kako varni so ti »zasebni predori«, ker »tunelijo« preko interneta. Ali lahko vsak vidi vaše podatke? Ne, ne morejo, in to zato, ker šifriramo podatke, ki smo jih poslali preko povezave VPN, zato je ime virtualno »zasebno« omrežje. Protokol, ki se uporablja za zapiranje in šifriranje podatkov, poslanih prek omrežja, je prepuščen vam, Windows 7 pa podpira naslednje:
Opomba: Žal te definicije morate vedeti na pamet za izpit.
- PPTP (PPTP) - Protokol za tuneliranje od točke do točke omogoča, da se omrežni promet vstavi v glavo IP in pošlje prek omrežja IP, kot je internet.
- Inkapsulacija: Okviri PPP so zajeti v datagram IP, z uporabo spremenjene različice GRE.
- Šifriranje: Okviri PPP so šifrirani z Microsoftovim šifriranjem od točke do točke (MPPE). Ključi za šifriranje se generirajo med preverjanjem pristnosti, kadar se uporabljajo protokoli Microsoft Challenge Handshake Authentication Protocol 2 (MS-CHAP v2) ali protokoli Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)..
- Protokol za tuneliranje plasti 2 (L2TP) - L2TP je varen protokol za predore, ki se uporablja za prenos okvirjev PPP z uporabo internetnega protokola, delno pa temelji na PPTP. Za razliko od PPTP, Microsoftova implementacija L2TP ne uporablja MPPE za šifriranje okvirjev PPP. Namesto tega L2TP uporablja storitve IPsec v načinu prevoza za storitve šifriranja. Kombinacija L2TP in IPsec je znana kot L2TP / IPsec.
- Inkapsulacija: PPP okvirji se najprej ovijejo z glavo L2TP in nato z glavo UDP. Rezultat se nato kapsulira z IPSec.
- Šifriranje: Sporočila L2TP so šifrirana s šifriranjem AES ali 3DES z uporabo ključev, ustvarjenih iz pogajalskega procesa IKE.
- Protokol za varno tuneliranje vtičnic (SSTP) - SSTP je tunelni protokol, ki uporablja HTTPS. Ker je TCP Port 443 odprt za večino korporativnih požarnih zidov, je to odlična izbira za tiste države, ki ne dovoljujejo tradicionalnih povezav VPN. Prav tako je zelo varen, saj uporablja SSL certifikate za šifriranje.
- Inkapsulacija: Okviri PPP so zajeti v datagrame IP.
- Šifriranje: Sporočila SSTP so šifrirana z uporabo SSL.
- Internetna izmenjava ključev (IKEv2) - IKEv2 je protokol za tuneliranje, ki uporablja protokol IPsec Tunnel Mode preko UDP vrat 500.
- Inkapsulacija: IKEv2 zajema datagrame z uporabo glav IPSec ESP ali AH.
- Šifriranje: Sporočila so šifrirana s šifriranjem AES ali 3DES z uporabo ključev, ustvarjenih iz pogajalskega procesa IKEv2.
Zahteve strežnika
Opomba: Očitno lahko imate druge operacijske sisteme, ki so nastavljeni za strežnike VPN. Vendar pa so to zahteve za zagon strežnika VPN za Windows.
Da bi omogočili ljudem, da ustvarijo povezavo VPN z vašim omrežjem, morate imeti strežnik z operacijskim sistemom Windows Server in namestiti naslednje vloge:
- Usmerjanje in oddaljeni dostop (RRAS)
- Strežnik pravilnikov omrežja (NPS)
Prav tako boste morali nastaviti DHCP ali pa dodeliti statični IP bazen, ki ga lahko uporabljajo naprave, ki povezujejo prek VPN.
Ustvarjanje povezave VPN
Če se želite povezati s strežnikom VPN, z desno miškino tipko kliknite ikono stanja omrežja in odprite Središče za omrežje in skupno rabo.
Nato kliknite Nastavitev nove povezave ali hiperpovezave omrežja.
Zdaj izberite povezavo z delovnim mestom in kliknite Naprej.
Nato izberite obstoječo širokopasovno povezavo.
P
Sedaj boste morali vnesti IP ali DNS ime strežnika VPN v omrežje, s katerim se želite povezati. Nato kliknite Naprej.
Nato vnesite uporabniško ime in geslo ter kliknite povezava.
Ko se povežete, boste lahko videli, ali ste povezani z VPN, tako da kliknete ikono stanja omrežja.
Domača naloga
- Preberite naslednji članek o TechNet, ki vas vodi skozi varnost načrtovanja za VPN.
Opomba: Današnja domača naloga je malo izven obsega za izpit 70-680, vendar vam bo dala dobro razumevanje, kaj se dogaja za sceno, ko se povežete z VPN iz Windows 7.
Če imate kakršnakoli vprašanja, me lahko tweetate @taybgibb ali pa pustite komentar.