Skip to main content

Geek School: Læring Windows 7 - Fjerntilgang

Geek School: Læring Windows 7 - Fjerntilgang

Geoffrey Carr

I den siste delen av serien så vi på hvordan du kan administrere og bruke Windows-datamaskiner fra hvor som helst så lenge du er på samme nettverk. Men hva om du ikke er?

Husk å sjekke ut de forrige artiklene i denne Geek School-serien på Windows 7:

  • Introduserer How-To Geek School
  • Oppgraderinger og overføringer
  • Konfigurere enheter
  • Administrere disker
  • Administrere applikasjoner
  • Administrere Internet Explorer
  • IP-adressering grunnleggende
  • Nettverk
  • Trådløst nettverk
  • Windows brannmur
  • Fjernadministrasjon

Og hold deg innstilt for resten av serien hele denne uken.

Nettverkstilgangsbeskyttelse

Nettverkstilgangsbeskyttelse er Microsofts forsøk på å kontrollere tilgangen til nettverksressurser basert på helsen til klienten som prøver å koble seg til dem. For eksempel, i situasjonen hvor du er en bærbar bruker, kan det være mange måneder hvor du er på veien, og ikke koble den bærbare datamaskinen til bedriftsnettverket ditt. I løpet av denne tiden er det ingen garanti for at den bærbare datamaskinen ikke blir smittet med virus eller skadelig programvare, eller at du til og med mottar antivirus-oppdateringsoppdateringer.

I denne situasjonen, når du kommer tilbake til kontoret og kobler maskinen til nettverket, bestemmer NAP automatisk maskinens helse mot en policy du har satt opp på en av dine NAP-servere. Hvis enheten som er koblet til nettverket, mislykkes i helseinspeksjonen, blir den automatisk flyttet til en super-begrenset del av nettverket ditt, kalt rettssone. Når i reparasjonssonen, forsøker reparasjonsserverne automatisk å rette opp problemet med maskinen. Noen eksempler kan være:

  • Hvis brannmuren er deaktivert og retningslinjene krever at den aktiveres, vil deaktiveringsservere aktivere brannmuren for deg.
  • Hvis helsepolitikken sier at du trenger de nyeste Windows-oppdateringene, og du ikke gjør det, kan du ha en WSUS-server i rensningsområdet som installerer de nyeste oppdateringene på klienten.

Maskinen din blir bare flyttet tilbake til bedriftsnettverket dersom det anses sunt for NAP-serverne. Det er fire forskjellige måter du kan håndheve NAP, hver med sine egne fordeler:

  • VPN - Ved å bruke VPN-håndhevelsesmetoden er det nyttig i et selskap hvor du har fjerntliggende arbeidstakerne hjemmefra, ved hjelp av egne datamaskiner. Du kan aldri være sikker på hva malware noen kan installere på en PC som du ikke har kontroll over. Når du bruker denne metoden, vil en kundes helse bli sjekket hver gang de starter en VPN-tilkobling.
  • DHCP - Når du bruker DHCP-håndhevelsesmetoden, vil en klient ikke bli gitt en gyldig nettverksadresse fra DHCP-serveren din til de er ansett sunn av din NAP-infrastruktur.
  • IPsec - IPsec er en metode for kryptering av nettverkstrafikk ved hjelp av sertifikater. Selv om det ikke er veldig vanlig, kan du også bruke IPsec til å håndheve NAP.
  • 802.1x - 802.1x kalles også noen ganger portbasert autentisering og er en metode for autentisering av klienter på bryternivået. Bruk av 802.1x for å håndheve en NAP-policy er standard praksis i dagens verden.

Oppringte tilkoblinger

Av en eller annen grunn i denne dag og alder ønsker Microsoft fortsatt at du skal vite om de primitive oppringingsforbindelsene. Oppringte forbindelser bruker det analoge telefonnettverket, også kjent som POTS (vanlig gammel telefonservice), for å levere informasjon fra en datamaskin til en annen. De gjør dette ved hjelp av et modem, som er en kombinasjon av ordene modulere og demodulere. Modemet blir koblet til din PC, vanligvis ved hjelp av en RJ11-kabel, og modulerer de digitale informasjonsstrømmene fra PCen til et analogt signal som kan overføres over telefonlinjene. Når signalet når målet, demoduleres det av et annet modem og vender tilbake til et digitalt signal som datamaskinen kan forstå. For å opprette en oppringt tilkobling, høyreklikk på statusstatusikonet og åpne Nettverks- og delingssenter.

Deretter klikker du på Konfigurer en ny tilkobling eller nettverkshyperkobling.

Nå velger du Konfigurer en ekstern tilkobling og klikker på neste.

Herfra kan du fylle ut all nødvendig informasjon.

Merk: Hvis du får et spørsmål som krever at du oppretter en oppringt forbindelse på eksamen, vil de gi de relevante detaljene.

Virtuelle private nettverk

Virtuelle private nettverk er private tunneler du kan etablere over et offentlig nettverk, for eksempel internett, slik at du sikkert kan koble til et annet nettverk.

For eksempel kan du etablere en VPN-tilkobling fra en PC på ditt hjemmenettverk, til bedriftens nettverk. På den måten virker det som om PCen på hjemmenettverket ditt virkelig var en del av bedriftsnettverket ditt. Faktisk kan du til og med koble til nettverksaksjer og for eksempel hvis du hadde tatt PCen din og fysisk koblet den til arbeidsnettverket ditt med en Ethernet-kabel. Den eneste forskjellen er selvsagt hastighet: i stedet for å få Gigabit Ethernet-hastighetene som du ville hvis du var fysisk på kontoret, vil du bli begrenset av hastigheten på bredbåndstilkoblingen din.

Du lurer sikkert på hvor trygg disse "private tunneler" er siden de "tunnel" over internett. Kan alle se dine data? Nei, det kan de ikke, og det er fordi vi krypterer dataene som sendes via en VPN-tilkobling, derav navnet virtuelt "privat" nettverk. Protokollen som brukes til å inkapslere og kryptere dataene som sendes over nettverket, står opp til deg, og Windows 7 støtter følgende:

Merk: Uheldigvis er disse definisjonene du trenger å vite ved hjerte for eksamen.

  • Point-to-Point Tunneling Protocol (PPTP) - Point-to-Point Tunneling-protokollen tillater nettverkstrafikk å bli innkapslet i en IP-header og sendt over et IP-nettverk, for eksempel Internett.
    • innkapsling: PPP rammer er innkapslet i et IP datagram, ved hjelp av en modifisert versjon av GRE.
    • kryptering: PPP-rammer krypteres ved hjelp av Microsoft Point-to-Point Encryption (MPPE). Krypteringsnøkler genereres under autentisering hvor protokollene for Microsoft Challenge Handshake Authentication Protocol 2 (MS-CHAP v2) eller Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) brukes.
  • Layer 2 Tunneling Protocol (L2TP) - L2TP er en sikker tunneling protokoll som brukes til å transportere PPP rammer ved hjelp av Internet Protocol, er den delvis basert på PPTP. I motsetning til PPTP, bruker Microsoft-implementeringen av L2TP ikke MPPE til å kryptere PPP-rammer. I stedet bruker L2TP IPsec i transportmodus for krypteringstjenester. Kombinasjonen av L2TP og IPsec er kjent som L2TP / IPsec.
    • innkapsling: PPP-rammer blir først pakket inn med en L2TP-header og deretter en UDP-header. Resultatet er deretter innkapslet ved hjelp av IPSec.
    • kryptering: L2TP-meldinger krypteres med enten AES eller 3DES-kryptering ved hjelp av nøkler generert fra IKE-forhandlingsprosessen.
  • Sikker Socket Tunneling Protocol (SSTP) - SSTP er en tunneling protokoll som bruker HTTPS. Siden TCP Port 443 er åpen på de fleste bedriftens brannmurer, er dette et godt valg for de landene som ikke tillater tradisjonelle VPN-tilkoblinger. Det er også veldig sikkert siden det bruker SSL-sertifikater for kryptering.
    • innkapsling: PPP rammer er innkapslet i IP datagrammer.
    • kryptering: SSTP meldinger krypteres ved hjelp av SSL.
  • Internett-nøkkelutveksling (IKEv2) - IKEv2 er en tunneling protokoll som bruker IPsec Tunnel Mode protokollen over UDP port 500.
    • innkapsling: IKEv2 encapsulates datagrammer ved hjelp av IPSec ESP eller AH headers.
    • kryptering: Meldinger krypteres med enten AES eller 3DES-kryptering ved hjelp av nøkler generert fra IKEv2-forhandlingsprosessen.

Serverkrav

Merk: Du kan åpenbart ha andre operativsystemer som er konfigurert til å være VPN-servere. Dette er imidlertid kravene for å få en Windows VPN-server til å kjøre.

For å tillate folk å opprette en VPN-tilkobling til nettverket ditt, må du ha en server som kjører Windows Server og har følgende roller installert:

  • Ruting og ekstern tilgang (RRAS)
  • Network Policy Server (NPS)

Du må også opprette DHCP eller tildele en statisk IP-basseng som maskiner som kobler over VPN, kan bruke.

Opprette en VPN-tilkobling

For å koble til en VPN-server, høyreklikk på ikonet for nettverksstatus og åpne Nettverks- og delingssenter.

Deretter klikker du på Konfigurer en ny tilkobling eller nettverkshyperkobling.

Velg nå å koble til en arbeidsplass og klikk på neste.

Velg deretter å bruke din eksisterende bredbåndsforbindelse.

P

Nå må du skrive inn IP eller DNS-navnet til VPN-serveren på nettverket du vil koble til. Klikk deretter på neste.

Skriv deretter inn brukernavnet og passordet ditt og klikk på Koble til.

Når du har koblet til, kan du se om du er koblet til et VPN ved å klikke på statusstatusikonet på nettverket.

Hjemmelekser

  • Les følgende artikkel om TechNet, som veileder deg gjennom planlegging av sikkerhet for en VPN.

Merk: Dagens lekser er litt utenfor rekkevidde for 70-680 eksamen, men det vil gi deg en solid forståelse av hva som skjer bak scenen når du kobler deg til et VPN fra Windows 7.


Hvis du har noen spørsmål, kan du tweet meg @ taybgibb, eller bare gi en kommentar.

Link
Plus
Send
Send
Pin