Geek School Learning Windows 7 - Fjernadgang
I sidste del af serien så vi på, hvordan du kan styre og bruge dine Windows-computere fra hvor som helst, så længe du er på samme netværk. Men hvad hvis du ikke er det?
Sørg for at tjekke de tidligere artikler i denne Geek School-serie på Windows 7:
- Introduktion til How-To Geek School
- Opgraderinger og migreringer
- Konfiguration af enheder
- Håndtering af diske
- Administration af applikationer
- Administration af Internet Explorer
- IP-adresseringsgrundlag
- Netværk
- Trådløst netværk
- Windows Firewall
- Fjernadministration
Og hold dig indstillet til resten af serien hele ugen.
Beskyttelse af netværksadgang
Netværksadgangsbeskyttelse er Microsofts forsøg på at kontrollere adgangen til netværksressourcer baseret på klientens helbred, der forsøger at oprette forbindelse til dem. For eksempel i tilfælde, hvor du er en bærbar bruger, kan der være mange måneder, hvor du er på vej, og du må ikke forbinde din bærbare computer til dit virksomhedsnetværk. I løbet af denne tid er der ingen garanti for, at din bærbare computer ikke bliver inficeret med en virus eller malware, eller at du endda modtager opdateringer til antivirus-definitioner.
I denne situation, når du kommer tilbage til kontoret og tilslutter maskinen til netværket, bestemmer NAP automatisk maskinens sundhed mod en politik, du har oprettet på en af dine NAP-servere. Hvis den enhed, der er tilsluttet til netværket, fejler sundhedskontrollen, bliver den automatisk flyttet til et super-begrænset afsnit af dit netværk kaldet remediation zone. Når i afhjælpningszonen forsøger afhjælpningsserverne automatisk og afhjælper problemet med din maskine. Nogle eksempler kan være:
- Hvis din firewall er deaktiveret, og din politik kræver, at den skal være aktiveret, vil reparationsservicerne aktivere din firewall til dig.
- Hvis din sundhedspolitik angiver, at du skal have de nyeste Windows-opdateringer, og du ikke gør det, kan du have en WSUS-server i din saneringszone, der installerer de nyeste opdateringer på din klient.
Din maskine bliver kun flyttet tilbage til virksomhedens netværk, hvis det anses for at være sundt af dine NAP-servere. Der er fire forskellige måder, du kan håndhæve NAP, hver har sine egne fordele:
- VPN - Brug af VPN håndhævelsesmetode er nyttig i et firma, hvor du har fjernbetjeninger fjerntliggende at arbejde hjemmefra ved hjælp af deres egne computere. Du kan aldrig være sikker på, hvilken malware nogen kan installere på en pc, som du ikke har kontrol over. Når du bruger denne metode, vil en kundes helbred blive kontrolleret, hver gang de starter en VPN-forbindelse.
- DHCP - Når du bruger DHCP håndhævelsesmetoden, vil en klient ikke blive givet en gyldig netværksadresse fra din DHCP-server, før de er blevet anset for sunde af din NAP-infrastruktur.
- IPsec - IPsec er en metode til kryptering af netværkstrafik ved hjælp af certifikater. Selvom det ikke er meget almindeligt, kan du også bruge IPsec til at håndhæve NAP.
- 802.1x - 802.1x kaldes også nogle gange portbaseret godkendelse og er en metode til autentificering af klienter på switchniveauet. Brug af 802.1x til at håndhæve en NAP-politik er standard praksis i dagens verden.
Opkaldsforbindelser
Af en eller anden grund i denne dag og alder ønsker Microsoft stadig, at du skal vide om de primitive opkaldsforbindelser. Opkaldsforbindelser bruger det analoge telefonnetværk, også kendt som POTS (Plain Old Telephone Service), til at levere oplysninger fra en computer til en anden. De gør dette ved hjælp af et modem, som er en kombination af ordene modulere og demodulere. Modemet bliver tilsluttet til din pc, normalt ved hjælp af et RJ11-kabel, og modulerer de digitale informationsstrømme fra din pc til et analogt signal, der kan overføres på tværs af telefonlinjerne. Når signalet når sin destination demoduleres det af et andet modem og vender tilbage til et digitalt signal, som computeren kan forstå. For at oprette en opkaldsforbindelse skal du højreklikke på statusstatusikonet og åbne netværk og delingscenter.
Klik derefter på Opsæt en ny forbindelse eller et netværk hyperlink.
Nu vælger du Opsætning af en opkaldsforbindelse og klikker på Næste.
Herfra kan du udfylde alle nødvendige oplysninger.
Bemærk: Hvis du får et spørgsmål, der kræver, at du opretter en opkaldsforbindelse på eksamen, vil de give de relevante oplysninger.
Virtuelle private netværk
Virtuelle private netværk er private tunneler, du kan etablere via et offentligt netværk, såsom internettet, så du sikkert kan oprette forbindelse til et andet netværk.
For eksempel kan du oprette en VPN-forbindelse fra en pc på dit hjemmenetværk til dit virksomhedsnetværk. På den måde ser det ud til, at pc'en på dit hjemmenetværk virkelig var en del af dit virksomhedsnetværk. Faktisk kan du endda forbinde til netværksandele, og hvis du f.eks. Havde taget din pc og fysisk tilsluttet den til dit arbejdsnetværk med et Ethernet-kabel. Den eneste forskel er selvfølgelig hastighed: i stedet for at få Gigabit Ethernet-hastigheder, som du ville, hvis du var fysisk på kontoret, vil du blive begrænset af hastigheden af din bredbåndsforbindelse.
Du spekulerer sikkert på, hvor sikre disse "private tunneler" er, da de "tunnel" over internettet. Kan alle se dine data? Nej, det kan de ikke, og det skyldes, at vi krypterer de data, der sendes via en VPN-forbindelse, dvs. navnet virtuelle "private" netværk. Protokollen, der bruges til at indkapslere og kryptere de data, der sendes via netværket, står op til dig, og Windows 7 understøtter følgende:
Bemærk: Desværre er disse definitioner, du skal kende ved hjerte til eksamen.
- Point-to-Point Tunneling Protocol (PPTP) - Point-to-Point Tunneling-protokollen tillader netværkstrafik at indkapsles i en IP-header og sendes over et IP-netværk, såsom internettet.
- Indkapsling: PPP rammer er indkapslet i et IP datagram, ved hjælp af en modificeret version af GRE.
- Kryptering: PPP-rammer krypteres ved hjælp af Microsoft Point-to-Point Encryption (MPPE). Krypteringsnøgler genereres under godkendelse, hvor protokollerne for Microsoft Challenge Handshake Authentication Protocol 2 (MS-CHAP v2) eller Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) anvendes..
- Layer 2 Tunneling Protocol (L2TP) - L2TP er en sikker tunnelingprotokol, der bruges til at transportere PPP-rammer ved hjælp af Internet Protocol, den er delvis baseret på PPTP. I modsætning til PPTP bruger Microsoft-implementeringen af L2TP ikke MPPE til at kryptere PPP-rammer. I stedet bruger L2TP IPsec i transporttilstand til krypteringstjenester. Kombinationen af L2TP og IPsec er kendt som L2TP / IPsec.
- Indkapsling: PPP-rammer er først pakket sammen med en L2TP-header og derefter en UDP-header. Resultatet indkapsles derefter ved hjælp af IPSec.
- Kryptering: L2TP-meddelelser krypteres med enten AES- eller 3DES-kryptering ved hjælp af nøgler, der genereres fra IKE-forhandlingsprocessen.
- Secure Socket Tunneling Protocol (SSTP) - SSTP er en tunnelprotokol, der bruger HTTPS. Da TCP Port 443 er åben på de fleste corporate Firewalls, er dette et godt valg for de lande, der ikke tillader traditionelle VPN-forbindelser. Det er også meget sikkert, da det bruger SSL-certifikater til kryptering.
- Indkapsling: PPP rammer er indkapslet i IP datagrammer.
- Kryptering: SSTP-meddelelser krypteres ved hjælp af SSL.
- Internet Key Exchange (IKEv2) - IKEv2 er en tunnelprotokol, der bruger IPsec Tunnel Mode-protokollen over UDP port 500.
- Indkapsling: IKEv2 indkapsler datagrammer ved hjælp af IPSec ESP eller AH overskrifter.
- Kryptering: Meddelelser krypteres med enten AES- eller 3DES-kryptering ved hjælp af nøgler, der genereres fra IKEv2-forhandlingsprocessen.
Serverkrav
Bemærk: Du kan naturligvis have andre operativsystemer oprettet til VPN-servere. Men disse er kravene til at få en Windows VPN-server til at køre.
For at give folk mulighed for at oprette en VPN-forbindelse til dit netværk, skal du have en server, der kører Windows Server, og har følgende roller installeret:
- Routing og Remote Access (RRAS)
- Network Policy Server (NPS)
Du skal også oprette DHCP eller tildele en statisk IP-pool, som maskiner, der forbinder over VPN, kan bruge.
Oprettelse af en VPN-forbindelse
For at oprette forbindelse til en VPN-server skal du højreklikke på statusstatusikonet og åbne netværk og delingscenter.
Klik derefter på Opsæt en ny forbindelse eller et netværk hyperlink.
Nu vælger du at oprette forbindelse til en arbejdsplads og klikke på næste.
Vælg derefter at bruge din eksisterende bredbåndsforbindelse.
P
Nu skal du indtaste IP-adressen eller DNS-navnet på VPN-serveren på det netværk, du vil oprette forbindelse til. Klik derefter på næste.
Indtast derefter dit brugernavn og din adgangskode, og klik på Opret forbindelse.
Når du har tilsluttet, vil du kunne se, om du er tilsluttet en VPN ved at klikke på statusstatusikonet.
Lektier
- Læs den følgende artikel om TechNet, som guider dig gennem planlægning af sikkerhed til en VPN.
Bemærk: Dagens lektier er lidt ude af stand til 70-680 eksamen, men det giver dig en solid forståelse af, hvad der foregår bag scenen, når du opretter forbindelse til en VPN fra Windows 7.
Hvis du har spørgsmål, kan du tweet mig @taybgibb, eller bare forlade en kommentar.