A sorozat utolsó részében megvizsgáltuk, hogyan kezelheti és használhatja Windows számítógépeit bárhonnan, amennyiben ugyanazon a hálózaton van. De mi van, ha nem vagy?
Feltétlenül nézze meg a Geek School sorozat korábbi cikkeit a Windows 7 rendszeren:
- Bemutatjuk a How-To Geek iskolát
- Frissítések és migrációk
- Eszközök konfigurálása
- Lemezek kezelése
- Alkalmazások kezelése
- Az Internet Explorer kezelése
- IP-címzés alapjai
- Hálózatépítés
- Vezeték nélküli hálózat
- Windows tűzfal
- Távoli adminisztráció
És maradj velünk a sorozat többi részén ezen a héten.
Hálózati hozzáférés védelme
A Hálózati hozzáférés védelme a Microsoft kísérlete a hálózati erőforrásokhoz való hozzáférés ellenőrzésére a hozzájuk csatlakozni próbáló kliens állapota alapján. Például abban az esetben, ha laptopot használ, sok hónap lehet, amikor úton van, és nem csatlakoztatja laptopját a vállalati hálózathoz. Ez idő alatt nincs garancia arra, hogy a laptop nem fertőződik meg vírussal vagy rosszindulatú programmal, vagy akár vírusirtó definíció frissítéseket is kap.
Ebben a helyzetben, amikor visszatér az irodába, és csatlakoztatja a gépet a hálózathoz, a NAP automatikusan meghatározza a gépek állapotát az egyik NAP-kiszolgálón beállított házirend alapján. Ha a hálózathoz csatlakozó eszköz nem teljesíti az állapotfelmérést, akkor automatikusan áthelyezi a hálózat szűken korlátozott szakaszába, az úgynevezett kármentesítési zónába. A helyreállítási zónában tartózkodva a helyreállító szerverek automatikusan megpróbálják kijavítani a gép problémáját. Néhány példa lehet:
- Ha a tűzfal le van tiltva, és az Ön házirendje megköveteli annak engedélyezését, akkor a helyreállító szerverek engedélyezik a tűzfalat az Ön számára.
- Ha az egészségügyi házirend előírja, hogy a legfrissebb Windows-frissítésekre van szüksége, és mégsem, akkor a helyreállítási zónában lehet egy WSUS-kiszolgáló, amely telepíti a legújabb frissítéseket az ügyfelére.
A géped csak akkor kerül vissza a vállalati hálózathoz, ha a NAP-kiszolgálók egészségesnek ítélik meg. A NAP kikényszerítésének négy különböző módja van, mindegyiknek megvannak a maga előnyei:
- VPN - A VPN-végrehajtási módszer használata hasznos egy olyan vállalatnál, ahol távmunkások dolgoznak otthonról távolról, saját számítógépeik használatával. Soha nem lehet biztos abban, hogy milyen rosszindulatú programokat telepíthet valaki egy PC-re, amelyek felett Ön nem rendelkezik irányítással. Ha ezt a módszert használja, az ügyfél egészségi állapotát minden alkalommal ellenőrzik, amikor VPN-kapcsolatot indítanak.
- DHCP - Amikor a DHCP-végrehajtási módszert használja, az ügyfél nem kap érvényes hálózati címeket a DHCP-kiszolgálótól, amíg a NAP-infrastruktúra nem tartja őket egészségesnek.
- IPsec - Az IPsec egy módszer a hálózati forgalom titkosításához tanúsítványok segítségével. Bár nem túl gyakori, használhatja az IPsec-et is a NAP kikényszerítésére.
- 802.1x - A 802.1x-et néha port alapú hitelesítésnek is nevezik, és ez egy módszer az ügyfelek kapcsolati szintű hitelesítésére. A 802.1x használata a NAP-irányelvek érvényesítésére a mai világban bevett gyakorlat.
Telefonos kapcsolatok
Valamilyen oknál fogva ebben a korban a Microsoft továbbra is azt akarja, hogy tudjon ezekről a primitív betárcsázós kapcsolatokról. A betárcsázós kapcsolatok az analóg telefonhálózatot, más néven POTS (Plain Old Telephone Service) használják az információk egyik számítógépről a másikra történő továbbításához. Ezt egy modem segítségével teszik meg, amely a moduláció és a demodulálás szavak kombinációja. A modem bekapcsolódik a számítógépbe, általában RJ11 kábellel, és a számítógépéről érkező digitális információáramlást analóg jellé alakítja, amely átvihető a telefonvonalakon. Amikor a jel eléri a rendeltetési helyét, egy másik modem demodulálja és újra digitális jellé alakítja, amelyet a számítógép megérthet. Telefonos kapcsolat létrehozásához kattintson a jobb gombbal a hálózati állapot ikonra, és nyissa meg a Hálózati és megosztási központot.
Ezután kattintson az Új kapcsolat vagy hálózati hivatkozás beállítása elemre.
Most válassza a Telefonos kapcsolat beállítása lehetőséget, majd kattintson a Tovább gombra.
Innen kitöltheti az összes szükséges információt.
Megjegyzés: Ha olyan kérdést kap, amely megköveteli, hogy telefonos kapcsolatot létesítsen a vizsgán, akkor megadja a vonatkozó részleteket.
Virtuális magánhálózatok
A virtuális magánhálózatok olyan privát alagutak, amelyeket nyilvános hálózaton, például az interneten keresztül hozhat létre, hogy biztonságosan csatlakozhasson egy másik hálózathoz.
Létrehozhat például egy VPN-kapcsolatot otthoni hálózatában lévő számítógépről a vállalati hálózatra. Így úgy tűnik, mintha az otthoni hálózaton lévő számítógép valóban a vállalati hálózat része lenne. Tulajdonképpen akár hálózati megosztásokhoz is csatlakozhat, például ha számítógépét Ethernet-kábellel fizikailag csatlakoztatta a munkahálózathoz. Az egyetlen különbség természetesen a sebesség: ahelyett, hogy megkapná a Gigabit Ethernet sebességet, mint amit fizikailag az irodában tartózkodna, korlátozni fogja a szélessávú kapcsolat sebessége.
Valószínűleg arra kíváncsi, mennyire biztonságosak ezek a „magánalagutak”, mivel „alagutak” az interneten keresztül. Láthatja mindenki az adatait? Nem, nem tehetik, és ez azért van, mert titkosítjuk a VPN-kapcsolaton keresztül küldött adatokat, ezért a virtuális „privát” hálózat neve. A hálózaton keresztül küldött adatok beágyazására és titkosítására használt protokoll rád maradt, és a Windows 7 a következőket támogatja:
Megjegyzés: Sajnos ezeket a meghatározásokat fejből kell ismernie a vizsga során.
-
Pont-pont alagút protokoll (PPTP)
- A Point to Point Tunneling Protocol lehetővé teszi a hálózati forgalom IP-fejlécbe történő beillesztését és az IP-hálózaton, például az Interneten keresztül történő elküldését.
- Egységbezárás : A PPP keretek egy IP datagramba vannak beágyazva, a GRE módosított változatának felhasználásával.
- Titkosítás : A PPP kereteket a Microsoft Pont-Pont Titkosítás (MPPE) segítségével titkosítják. A titkosítási kulcsok a hitelesítés során jönnek létre, amikor a Microsoft Challenge Handshake Authentication Protocol 2. verzió (MS-CHAP v2) vagy az Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) protokollokat használják.
-
2. réteg alagút protokoll (L2TP)
- Az L2TP egy biztonságos alagútprotokoll, amelyet a PPP keretek szállítására használnak az Internet Protocol segítségével, részben PPTP-n alapul. A PPTP-vel ellentétben az L2TP Microsoft-implementációja nem használja az MPPE-t a PPP-keretek titkosításához. Ehelyett az L2TP titkosítási szolgáltatásokhoz az IPsec-et használja a Transport módban. Az L2TP és az IPsec kombinációja L2TP / IPsec néven ismert.
- Egységbezárás : A PPP kereteket először egy L2TP, majd egy UDP fejléccel csomagolják. Az eredményt azután IPSec segítségével kapszulázzák.
- Titkosítás : Az L2TP üzeneteket AES vagy 3DES titkosítással titkosítják az IKE tárgyalási folyamat során létrehozott kulcsok segítségével.
-
Secure Socket Tunneling Protocol (SSTP)
- Az SSTP egy alagútprotokoll, amely HTTPS-t használ. Mivel a legtöbb vállalati tűzfalon a 443 TCP port nyitva van, ez nagyszerű választás azoknak az országoknak, amelyek nem engedélyezik a hagyományos VPN-kapcsolatokat. Nagyon biztonságos, mivel SSL tanúsítványokat használ a titkosításhoz.
- Egységbezárás : A PPP keretek IP datagrammakba vannak beágyazva.
- Titkosítás : Az SSTP-üzeneteket SSL-re titkosítják.
-
Internetes kulcscsere (IKEv2)
- Az IKEv2 egy alagútprotokoll, amely az IPsec Tunnel Mode protokollt használja az 500-as UDP-porton keresztül.
- Egységbezárás : Az IKEv2 IPSec ESP vagy AH fejlécek segítségével kapszulázza a datagrammokat.
- Titkosítás : Az üzeneteket AES vagy 3DES titkosítással titkosítják az IKEv2 tárgyalási folyamat során létrehozott kulcsok segítségével.
Szerver követelmények
Megjegyzés: Nyilvánvalóan más operációs rendszereket is beállíthat VPN-kiszolgálóként. A Windows VPN-kiszolgáló futtatásához azonban ezekre van szükség.
Annak érdekében, hogy az emberek VPN-kapcsolatot hozzanak létre a hálózathoz, rendelkeznie kell egy Windows Server rendszert futtató szerverrel, és a következő szerepköröket kell telepítenie:
- Útválasztás és távelérés (RRAS)
- Hálózati házirend-kiszolgáló (NPS)
Vagy be kell állítania a DHCP-t, vagy el kell osztania egy statikus IP-készletet, amelyet a VPN-en keresztül csatlakozó gépek használhatnak.
VPN-kapcsolat létrehozása
VPN-kiszolgálóhoz való csatlakozáshoz kattintson a jobb gombbal a hálózati állapot ikonra, és nyissa meg a Hálózati és megosztási központot.
Ezután kattintson az Új kapcsolat vagy hálózati hivatkozás beállítása elemre.
Most válassza a csatlakozást egy munkahelyhez, és kattintson a Tovább gombra.
Ezután válassza a meglévő szélessávú kapcsolat használatát.
P
Most meg kell adnia a VPN-kiszolgáló IP- vagy DNS-nevét azon a hálózaton, amelyhez csatlakozni szeretne. Ezután kattintson a következő gombra.
Ezután írja be felhasználónevét és jelszavát, majd kattintson a Csatlakozás gombra.
Miután csatlakozott, a hálózati állapot ikonjára kattintva láthatja, hogy csatlakozik-e VPN-hez.
Házi feladat
- Olvassa el a következő cikk a TechNet-en, amely végigvezeti Önt a VPN biztonságának megtervezésén.
Megjegyzés: A mai házi feladat kissé kívül esik a 70-680-as vizsga hatókörén, de szilárd megértést ad arról, hogy mi történik a színfalak mögött, amikor VPN-hez csatlakozik a Windows 7-ből.
Ha kérdése van, tweetelhet @taybgibb , vagy csak hagyjon megjegyzést.
