Domovská » jak » Geek School Učení systému Windows 7 - vzdálený přístup

    Geek School Učení systému Windows 7 - vzdálený přístup

    V poslední části série jsme se zabývali tím, jak můžete spravovat a používat počítače se systémem Windows kdekoli, pokud jste ve stejné síti. Ale co když nejste?

    Nezapomeňte se podívat na předchozí články této série Geek School v systému Windows 7:

    • Představujeme Jak na to Geek School
    • Aktualizace a migrace
    • Konfigurace zařízení
    • Správa disků
    • Správa aplikací
    • Správa aplikace Internet Explorer
    • Základy adresování IP
    • Sítě
    • Bezdrátové sítě
    • Brána firewall systému Windows
    • Vzdálená správa

    A zůstaňte v klidu po zbytek série celý týden.

    Ochrana přístupu k síti

    Ochrana přístupu k síti je pokusem společnosti Microsoft řídit přístup k síťovým prostředkům na základě zdraví klienta, který se k nim připojuje. Například v situaci, kdy jste uživatel přenosného počítače, může být mnoho měsíců, kdy jste na cestě a nepřipojujte notebook k podnikové síti. Během této doby neexistuje žádná záruka, že by váš notebook nebyl infikován virem nebo škodlivým softwarem, nebo že dokonce obdržíte antivirové aktualizace.

    V této situaci, když se vrátíte do kanceláře a připojíte zařízení k síti, služba NAP automaticky určí zdravotní stav strojů podle zásad, které jste nastavili na jednom ze svých serverů NAP. Pokud se zařízení připojené k síti nezdaří zdravotní prohlídka, automaticky se přesune do velmi omezené části vaší sítě nazývané zóna sanace. Když se nacházíte v zóně nápravy, opravné servery automaticky vyřeší problém s vaším zařízením. Některé příklady by mohly být:

    • Pokud je brána firewall zakázána a vaše zásady vyžadují, aby byla povolena, opravné servery by vám umožnily firewall.
    • Pokud vaše zdravotní politika uvádí, že musíte mít nejnovější aktualizace systému Windows a nemáte, mohl by mít server WSUS v zóně nápravy, který nainstaluje nejnovější aktualizace do vašeho klienta.

    Vaše zařízení se přesune zpět do podnikové sítě pouze tehdy, pokud je server NAP považován za zdravý. Existují čtyři různé způsoby, jak můžete prosadit NAP, z nichž každý má své vlastní výhody:

    • VPN - Použití metody vynucení VPN je užitečné ve společnosti, kde máte telecommuters vzdáleně pracující z domova, pomocí vlastních počítačů. Nikdy si nemusíte být jisti, jaký malware může instalovat někdo na počítači, na který nemáte žádnou kontrolu. Při použití této metody bude kontrola stavu klienta pokaždé, když iniciujete připojení VPN.
    • DHCP - Pokud použijete metodu vynucení DHCP, klient nebude mít ze serveru DHCP platné síťové adresy, dokud nebude považován za zdravý vaší infrastrukturou NAP.
    • IPsec - IPsec je metoda šifrování síťového provozu pomocí certifikátů. Ačkoli není příliš běžné, můžete použít IPsec k vynucení NAP.
    • 802.1x - 802.1x je také někdy nazývána autentizace založená na portu a je metodou autentizace klientů na úrovni přepínače. Použití metody 802.1x k prosazování politiky NAP je běžnou praxí v dnešním světě.

    Telefonická připojení

    Z nějakého důvodu v dnešním dni společnost Microsoft stále chce, abyste o těchto primitivních dial-up připojeních věděli. Telefonická připojení využívají analogovou telefonní síť, známou také jako POTS (obyčejná telefonní služba), která poskytuje informace z jednoho počítače do druhého. Dělají to pomocí modemu, což je kombinace slov modulovaných a demodulovaných. Modem se připojuje k počítači, obvykle pomocí kabelu RJ11 a moduluje digitální informační toky z počítače do analogového signálu, který lze přenášet přes telefonní linky. Když signál dosáhne svého cíle, je demodulován jiným modemem a otočen zpět do digitálního signálu, který počítač dokáže pochopit. Chcete-li vytvořit telefonní připojení, klepněte pravým tlačítkem myši na ikonu stavu sítě a otevřete Centrum pro sdílení a sdílení.

    Poté klikněte na tlačítko Nastavit nové připojení nebo síťový hypertextový odkaz.

    Nyní zvolte Nastavení telefonického připojení a klepněte na tlačítko Další.

    Odtud můžete vyplnit všechny požadované informace.

    Poznámka: Pokud dostanete otázku, která vyžaduje, abyste na zkoušce nastavili telefonické připojení, poskytnou vám příslušné podrobnosti.

    Virtuální privátní sítě

    Virtuální privátní sítě jsou soukromé tunely, které můžete zřídit přes veřejnou síť, například internet, abyste se mohli bezpečně připojit k jiné síti.

    Můžete například vytvořit připojení VPN z počítače v domácí síti a do podnikové sítě. Tímto způsobem se zdá, že počítač ve vaší domácí síti byl opravdu součástí vaší firemní sítě. Ve skutečnosti se můžete dokonce připojit k síťovým sdílením, například když jste si vzali počítač a fyzicky ho zapojili do pracovní sítě pomocí ethernetového kabelu. Jediným rozdílem je samozřejmě rychlost: namísto dosažení rychlosti Gigabit Ethernet, kterou byste měli, kdybyste byli fyzicky v kanceláři, budete omezeni rychlostí vašeho širokopásmového připojení.

    Pravděpodobně jste se zajímali, jak bezpečně jsou tyto "soukromé tunely", protože "tunely" přes internet. Může každý vidět vaše data? Ne, nemohou, a to proto, že šifrujeme data odeslaná přes připojení VPN, a proto název virtuální "soukromá" síť. Protokol používaný k zapouzdření a šifrování dat odesílaných po síti zůstává na vás a systém Windows 7 podporuje následující:

    Poznámka: Bohužel tyto definice budete muset vědět pro zkoušku.

    • Protokol Tunneling Point-to-Point (PPTP) - Protokol Point to Point Tunneling umožňuje síťový provoz zapouzdřit do IP hlavičky a odesílat přes síť IP, například Internet.
      • Zapouzdření: PPP rámce jsou zapouzdřeny v datagramu IP, pomocí upravené verze GRE.
      • Šifrování: PPP rámce jsou zašifrovány pomocí Microsoft Point-to-Point Encryption (MPPE). Při autentizaci se generují šifrovací klíče, kde se používají protokoly Microsoft Challenge Handshake Authentication Protocol verze 2 (MS-CHAP v2) nebo protokoly EAP-TLS (Extensible Authentication Protocol).
    • Tunelovací protokol vrstvy 2 (L2TP) - L2TP je bezpečný tunelovací protokol používaný pro přenos PPP rámců pomocí protokolu Internet, je částečně založen na protokolu PPTP. Na rozdíl od PPTP implementace Microsoft L2TP nepoužívá MPPE k šifrování rámců PPP. Namísto toho L2TP používá v transportním režimu protokol IPsec pro šifrovací služby. Kombinace protokolů L2TP a IPsec je známa jako L2TP / IPsec.
      • Zapouzdření: PPP rámce jsou nejprve zabaleny s hlavičkou L2TP a potom s hlavičkou UDP. Výsledkem je zapouzdření pomocí protokolu IPSec.
      • Šifrování: Zprávy L2TP jsou šifrovány šifrováním AES nebo 3DES pomocí klíčů generovaných procesem vyjednávání IKE.
    • Protokol Secure Socket Tunneling Protocol (SSTP) - SSTP je tunelovací protokol, který používá protokol HTTPS. Vzhledem k tomu, že TCP Port 443 je otevřený na většině firemních firewallů, je to skvělá volba pro ty země, které nepovolují tradiční připojení VPN. Je také velmi bezpečný, protože používá šifrování SSL certifikátů.
      • Zapouzdření: PPP rámce jsou zapouzdřeny v IP datagramech.
      • Šifrování: SSTP zprávy jsou zašifrovány pomocí protokolu SSL.
    • Internetová výměna klíčů (IKEv2) - IKEv2 je tunelovací protokol, který používá protokol IPsec Tunnel Mode přes UDP port 500.
      • Zapouzdření: IKEv2 zapouzdřuje datagramy pomocí záhlaví IPSec ESP nebo AH.
      • Šifrování: Zprávy jsou šifrovány šifrováním AES nebo 3DES pomocí klíčů vygenerovaných z procesu vyjednávání IKEv2.

    Požadavky na server

    Poznámka: Zřejmě můžete mít jiné operační systémy nastavené jako VPN servery. To jsou však požadavky na spuštění serveru VPN systému Windows.

    Chcete-li umožnit lidem vytvářet připojení k síti VPN, musíte mít server se systémem Windows Server a máte nainstalovány následující role:

    • Směrování a vzdálený přístup (RRAS)
    • Server zásad sítě (NPS)

    Budete také muset nastavit DHCP nebo přidělit statický fond IP, který mohou používat počítače připojující přes VPN.

    Vytvoření připojení VPN

    Chcete-li se připojit k VPN serveru, klikněte pravým tlačítkem myši na ikonu stavu sítě a otevřete Centrum sítí a sdílení.

    Poté klikněte na tlačítko Nastavit nové připojení nebo síťový hypertextový odkaz.

    Nyní se připojte k pracovišti a klikněte na další.

    Poté se rozhodněte použít stávající širokopásmové připojení.

    P

    Nyní budete muset zadat název IP nebo DNS serveru VPN v síti, kterou chcete připojit. Pak klikněte na další.

    Poté zadejte své uživatelské jméno a heslo a klikněte na tlačítko Připojit.

    Po připojení budete moci zjistit, zda jste připojeni k síti VPN kliknutím na ikonu stavu sítě.

    Domácí práce

    • Přečtěte si následující článek o technologii TechNet, který vás provede plánováním zabezpečení VPN.

    Poznámka: Dnešní domácí úkol je trochu mimo rozsah pro zkoušku 70-680, ale dá vám solidní pochopení toho, co se děje za scénou při připojení k VPN z Windows 7.


    Máte-li nějaké dotazy, můžete mi píše @taybgibb, nebo zanechte komentář.