Bagaimana untuk mendayakan perkhidmatan ejen perlindungan capaian rangkaian tidur siang. Gunakan kes untuk MS-NAP. Teknologi NAP baharu

Microsoft telah membangunkan teknologi Perlindungan Akses Rangkaian (MS-NAP) untuk sistemnya. Ia direka bentuk untuk menyekat akses rangkaian berdasarkan prinsip pematuhan kepada keperluan keselamatan yang ditetapkan, yang utama adalah kehadiran pek perkhidmatan dan tampungan pembaikan terkini.

MS-NAP tidak mempunyai mekanisme perlindungan terhadap penceroboh, tetapi menggunakan teknologi ini anda boleh menjamin kerja mesin individu pada rangkaian.

Apakah faedah teknologi Perlindungan Akses Rangkaian?

Secara kasarnya, tujuan utama NAP adalah untuk menghalang sistem pelanggan dengan konfigurasi lapuk (contohnya, mereka yang mempunyai versi lama pakej tambahan perkhidmatan, perisian antivirus, dll.) daripada menyambung ke rangkaian. NAP juga amat berguna untuk sistem mudah alih. Bayangkan pemilik komputer riba yang bekerja di rumah dan menyambung ke rangkaian korporat semasa berada di luar pejabat; jika ia bertentangan dengan dasar keselamatan syarikat, NAP akan dapat menafikan akses kepada komputer itu.

NAP diperlukan dalam kes di mana pekerja syarikat log masuk ke rangkaian dari PC rumah mereka. Biasanya, organisasi menafikan akses rangkaian kepada mesin sedemikian, tetapi terdapat pengecualian. Dalam situasi sedemikian, NAP sangat diperlukan, kerana tanpanya pentadbir tidak boleh menyemak sama ada komputer mempunyai versi terkini pakej perkhidmatan dan pembaikan terkini.

NAP boleh digunakan untuk menyemak status sistem desktop standard (dan pelayan Windows Server 2008 yang lain) untuk melihat sama ada ia membenarkan akses rangkaian. Pendekatan ini membantu melindungi daripada masalah yang mungkin timbul jika mesin untuk masa yang lama yang berfungsi secara autonomi (akibatnya ia menjadi lebih terdedah), telah disambungkan ke rangkaian. Malah, ini menjanjikan masalah yang sama seperti dalam situasi dengan komputer riba yang diterangkan di atas.

Menyediakan MS-NAP

MS-NAP boleh dikonfigurasikan apabila Bantuan Windows Pelayan 2008 untuk pelayan dan Windows Vista, Windows Server 2008, Windows XP Service Pack 3 untuk pelanggan yang disokong. Pek perkhidmatan ketiga untuk Windows XP masih belum dikeluarkan (ia dalam ujian beta), tetapi diketahui bahawa ia akan menampilkan modul NAP untuk sistem pengendalian ini.

Kit alat MS-NAP menggunakan peranan objek rangkaian untuk melaksanakan dasar pentadbiran dan keselamatan, menyimpan keperluan sistem untuk mesin pelanggan, menyemaknya untuk pematuhan dengan keperluan ini, secara automatik menyediakan penambahan dan pembetulan yang diperlukan, dan mengasingkan sementara peranti yang tidak patuh - semua ini, mengikut tetapan yang dipilih. Untuk peranti yang mempunyai kekurangan yang dikenal pasti, zon kuarantin khas (rangkaian pembetulan) disediakan di mana tetapan yang diperlukan konfigurasi, selepas itu ia boleh digunakan semula untuk kerja selanjutnya pada rangkaian korporat. Rajah A menunjukkan operasi biasa MS-NAP dan objek peranannya.

Rajah A. MS-NAP menggunakan pelbagai objek peranan.

Microsoft telah lama mengeluarkan produk untuk pelayan yang mampu melaksanakan fungsi penghalaan dan mengurus perkhidmatan DNS, DHCP dan WINS; MS-NAP tidak terkecuali. Walaupun tidak semua profesional IT dalam perusahaan memerlukan perkhidmatan yang disediakan oleh peralatan rangkaian, teknologi MS-NAP membenarkan penggunaan objek peranan pelayan Windows untuk mengenal pasti dan mengurus sistem keselamatan. MS-NAP menggunakan peralatan rangkaian tradisional, jadi teknologi ini tidak boleh dianggap sebagai produk Microsoft 100%.

Cara MS-NAP berfungsi

Intipati MS-NAP cukup jelas. Ia hanya tidak jelas bagaimana ia berfungsi. Untuk melaksanakan keselamatan rangkaian, MS-NAP menggunakan objek peranan pelayan dalam kombinasi dengan gabungan saluran komunikasi. Mari kita lihat lebih dekat aliran trafik MS-NAP. Pelayan menggunakan komponen MS-NAP berikut:

Pihak Berkuasa Pihak Berkuasa Pendaftaran Kesihatan (HRA): Komputer Windows Server 2008 ini, yang diberikan peranan Pelayan Internet IIS, memperoleh sijil keselamatan yang diperlukan daripada pihak berkuasa yang berkenaan.
Pelayan Dasar Kesihatan NAP (NPS): Komputer Windows Server 2008 ini, yang diberikan peranan NPS, mengandungi keperluan dasar keselamatan dan semakan terhadap keperluan tersebut.
Pelayan Pemulihan: Sumber untuk menyelesaikan masalah pelanggan NAP yang gagal dalam ujian pematuhan terdapat di sini. Contohnya, versi terkini perisian antivirus dan aplikasi lain.
Pelayan Keperluan Kesihatan: Objek peranan ini membekalkan pelayan MS-NAP komponen yang diperlukan, memastikan tahap keselamatan semasa.
Pelanggan NAP: Komputer yang menjalankan Windows XP SP3 atau Vista yang disasarkan oleh MS-NAP.
pelayan VPN: Peranan pelayan boleh dimainkan oleh sistem sedia ada, tetapi anda perlu ingat bahawa ini adalah titik akses masuk rangkaian luaran(yang tidak terhad kepada Internet sahaja).
Perkakasan rangkaian: Suis atau titik akses wayarles (WAP) yang menyokong protokol pengesahan IEEE 802.1X.
pelayan DHCP: Pelayan DHCP menggunakan protokol RADIUS untuk menghantar maklumat tentang tahap keselamatan klien NPS kepada pelayan dasar keselamatan. Ia adalah komponen utama MS-NAP. Jika sistem melepasi imbasan, ia diberikan akses tanpa had kepada rangkaian, jika tidak, ia pergi ke rangkaian kuarantin untuk pelarasan konfigurasi.

Kes Penggunaan MS-NAP

Selepas kita melihat prinsip operasi MS-NAP, mari kita fikirkan apa faedah yang boleh diterima oleh pengguna rangkaian biasa daripada menggunakan teknologi ini. Keselamatan diutamakan dalam dasar mana-mana organisasi, oleh itu, fungsi keselamatan setiap produk perisian mesti disediakan pada peringkat awal pembangunan. Teknologi MS-NAP boleh menafikan akses rangkaian kepada sistem yang tidak dilindungi dan pengguna individu. Persekitaran Windows mempunyai salah satu alat pengurusan sistem terbaik - domain Active Directory (AD).

Dengan AD, profesional IT boleh mengurus lebih banyak elemen sistem dan menggunakan pakej pentadbiran tambahan seperti Pelayan Pengurusan Sistem (SMS), serta mengkonfigurasi kemas kini Windows dan dasar perlindungan virus. MS-NAP boleh membantu apabila strategi pentadbiran konvensional gagal.

Bayangkan situasi di mana pembekal atau rakan kongsi perniagaan lain perlu menyambung ke sumber rangkaian korporat. Sambungan boleh dibuat daripada mesin yang disambungkan ke domain lain atau ke rangkaian dengan mekanisme kawalan yang berbeza, iaitu, tidak boleh diakses untuk dikawal oleh pentadbir. Akhir sekali, komputer ini mungkin tergolong dalam persekitaran Active Directory yang berbeza, yang bermaksud bahawa pentadbir, sebaik sahaja mesin ini datang dalam talian, tidak akan mempunyai sumber yang diperlukan untuk melaraskan tetapan yang diperlukan. Teknologi MS-NAP akan diperbaiki parameter yang diperlukan sistem jauh sebelum ia mendapat akses kepada rangkaian.

Isu mengemas kini dan mengkonfigurasi sistem daripada organisasi lain adalah topik untuk perbincangan berasingan, kurang penting daripada isu menyediakan mereka akses terus kepada rangkaian korporat. Tetapi jika perlu, MS-NAP akan memaksa sistem jauh untuk menerima peraturan dasar rangkaian sebelum membenarkan ia bersambung. Ini membantu merapatkan jurang antara piawaian yang diterima pakai oleh organisasi dan kumpulan reka bentuk perkakasan komputer.

Tugas utama MS-NAP adalah untuk mengelakkan risiko yang timbul apabila menyambungkan pengguna jauh yang mengakses rangkaian dari komputer rumah dan komputer riba. Risiko terbesar datang daripada pengguna yang log masuk ke rangkaian yang tidak mengambil kira keselamatan sistem mereka. MS-NAP membenarkan pengurusan konfigurasi semua sistem jauh, termasuk yang jarang bersambung ke rangkaian (yang menghalang tetapan keselamatan daripada dikemas kini tepat pada masanya). Pelanggan MS-NAP tidak perlu mempunyai akaun dalam domain Active Directory organisasi. Di samping itu, menggunakan AD anda boleh menjalankan kawalan langsung pengenalan.

Sumber Microsoft untuk MS-NAP

Internet menyediakan maklumat tentang pembangunan dan versi Percubaan kit alat ini untuk versi beta sistem Windows Server 2008. Microsoft, seterusnya, dibentangkan di tapak webnya.

Sokongan NAP merentas platform

Teknologi MS-NAP beroperasi berdasarkan protokol pengesahan rangkaian IEEE 802.1X yang digunakan secara meluas, yang memastikan keserasian NAP dengan sistem pengendalian Windows Server 2008, Vista, XP dan pelbagai jenis peranti. Secara umum, IEEE 802.1X menggunakan protokol standard RADIUS membenarkan akses selamat kepada rangkaian wayarles dan Ethernet.

Kelebihan utama protokol ini ialah pelayan identiti tidak perlu diberikan peranan nod pangkalan data. Ini bermakna peralatan rangkaian berkebolehan IEEE 802.1X boleh membuat permintaan untuk objek peranan MS-NAP. Oleh itu, teknologi MS-NAP membenarkan pengurusan berpusat proses kebenaran dan pengenalan, serta mengekalkan akaun mengikut parameter keselamatan yang ditentukan. Pada masa ini, protokol ini, dibangunkan bersama oleh jurutera dari HP, Microsoft, Cisco, rangkaian Trapeze dan Enterasys, disokong oleh kebanyakan pengeluar peralatan rangkaian.

Bahan

Seperti yang anda mungkin perasan, kebanyakan artikel saya akhir-akhir ini telah ditumpukan kepada teknologi Dasar Kumpulan, yang, pada pendapat saya, perlu diketahui dan difahami, kerana berkat teknologi ini anda boleh melindungi pengguna, komputer dan anda. rangkaian syarikat daripada banyak bahaya. Dasar kumpulan berkait rapat dengan hampir setiap teknologi yang boleh digunakan dalam organisasi. Tetapi dalam apa jua keadaan, walaupun anda menggunakan skrip dengan setiap tetapan Dasar Kumpulan, kumpulan komputer organisasi anda masih akan terdedah atas banyak sebab.

Dalam hampir setiap organisasi, salah satu tugas utama pentadbir sistem, dan kadangkala pentadbir keselamatan individu yang dikaitkan dengan menyelenggara kumpulan komputer, adalah untuk memastikan keselamatan. Organisasi paling kerap melaksanakan penyelesaian berikut untuk memastikan keselamatan:

Memasang perisian antivirus pada komputer klien, fail dan pelayan mel, serta konsol pengurusan perisian anti-virus pada pelayan khusus. Produk perniagaan utama untuk keselamatan anti-virus termasuk produk Microsoft ForeFront dan Kaspersky Enterprise Keselamatan Angkasa, serta Perlindungan Titik Akhir Symantec;
Mengkonfigurasi tembok api pada stesen kerja dan pelayan dalam organisasi. Sebagai contoh, Tembok api Windows dalam mod peningkatan keselamatan membolehkan anda menapis trafik masuk dan keluar menggunakan peraturan yang boleh disesuaikan untuk menentukan komunikasi yang sah dan tidak selamat;
Penggunaan tembok api dalam zon demilitarisasi, yang boleh menjadi penyelesaian keselamatan rangkaian komprehensif yang membantu melindungi rangkaian dalaman organisasi daripada ancaman daripada Internet. Sebagai contoh, tembok api Microsoft Forefront Gerbang Pengurusan Ancaman 2010 menawarkan satu cara yang mudah untuk menjamin perimeter anda dengan bersepadu tembok api, VPN, pencegahan pencerobohan, semakan ketersediaan perisian hasad dan penapisan URL.
Memastikan keselamatan pertukaran data antara komputer menggunakan protokol IPSec, yang paling kerap digunakan untuk melindungi trafik melalui Internet apabila menggunakan rangkaian peribadi maya;
Konfigurasikan dasar keselamatan Dasar Kumpulan. Dasar ini termasuk kata laluan dan dasar kunci keluar akaun, dasar kunci awam, dasar sekatan perisian dan banyak lagi;
Menggunakan penyulitan cakera untuk melindungi data yang terdapat pada komputer pelanggan sekiranya komputer pengguna dicuri atau untuk menghalang pendedahan data yang terdapat pada komputer peribadi yang hilang, dicuri atau dinyahaktifkan secara tidak wajar.

Seperti yang anda lihat, tidak ada satu pun penyelesaian yang menyeluruh, membolehkan anda melindungi sepenuhnya semua pengguna anda daripada pelbagai situasi dan serangan dan, sudah tentu, senarai penyelesaian yang disenaraikan di atas bukanlah muktamad. Tetapi dengan bantuan semua penyelesaian keselamatan di atas, anda hanya boleh melindungi rangkaian organisasi anda daripada serangan oleh penyerang dari luar, iaitu dari Internet. Anda juga boleh melindungi intranet anda daripada kesilapan manusia, kerana jika anda menggunakan kefungsian Dasar Kumpulan dengan betul, anda boleh menyekat pengguna daripada melakukan banyak tindakan, serta daripada membuat kebanyakan perubahan pada sistem. Tetapi anda tidak seharusnya menolak kemungkinan bahawa pekerja syarikat anda melakukan perjalanan perniagaan. Berada di stesen kereta api, lapangan terbang, kafe Internet atau organisasi rakan kongsi, pengguna anda boleh menyambungkan komputer ribanya ke Internet atau ke rangkaian dalaman syarikat lain. Dan memandangkan lokasi di mana pengguna disambungkan ke Internet mungkin tidak memenuhi keperluan keselamatan, komputer riba pekerja anda mungkin dijangkiti dan apabila kembali ke pejabatnya, virus yang terdapat pada komputer riba pekerja yang melawat mungkin mula merebak ke komputer yang terdedah. Senario yang diterangkan di atas adalah yang paling biasa dan untuk mengelakkan situasi sedemikian, teknologi baharu telah diumumkan dalam sistem pengendalian Windows Server 2008 "Perlindungan akses rangkaian". Teknologi ini mengandungi kedua-dua komponen pelanggan dan pelayan yang membolehkan anda membuat dan menguatkuasakan dasar keperluan kesihatan khusus yang mentakrifkan ciri konfigurasi perisian dan sistem apabila komputer bersambung ke rangkaian dalaman organisasi. Apabila komputer pelanggan bersambung ke rangkaian organisasi, komputer mereka mesti memenuhi keperluan kesihatan tertentu, dan jika komputer itu tidak memenuhi keperluan tersebut (contohnya, memasang kemas kini sistem pengendalian terkini), maka komputer mereka akan diletakkan dalam kuarantin rangkaian, di mana mereka boleh muat turun kemas kini terkini, pasang perisian antivirus dan lakukan tindakan lain yang diperlukan. Dalam artikel pengenalan ini, saya akan memperkenalkan secara ringkas teknologi ini.

Teknologi perlindungan capaian rangkaian dan kaedah perlindungan paksa

Seperti yang dinyatakan sedikit sebelum ini, Perlindungan Akses Rangkaian (NAP) ialah platform yang boleh diperluaskan yang menyediakan infrastruktur tertentu. Perlindungan Akses Rangkaian memerlukan imbasan penuh dan menilai kesihatan komputer klien sambil mengehadkan akses rangkaian kepada komputer klien yang tidak memenuhi keperluan ini. Perlindungan Capaian Rangkaian menggunakan dasar kesihatan untuk menyemak dan menilai komputer pelanggan, menjadikan mereka mematuhi dasar kesihatan sebelum membenarkan mereka akses penuh kepada rangkaian. Walaupun teknologi Perlindungan Akses Rangkaian menyediakan fungsi yang kaya, komponen seperti menyemak status kesihatan komputer, menjana laporan kesihatan, membandingkan kesihatan komputer pelanggan dengan tetapan dasar kesihatan dan mengkonfigurasi tetapan komputer pelanggan mengikut keperluan dasar kesihatan. dijalankan komponen lain yang dipanggil ejen kesihatan sistem dan pemeriksa kesihatan sistem. Ejen kesihatan disertakan secara lalai sebagai komponen sistem dalam sistem pengendalian bermula dengan Windows Vista dan Windows Server 2008. Tetapi untuk menyepadukan perlindungan akses rangkaian, pembangun perisian pihak ketiga juga boleh menggunakan satu set API untuk menulis ejen kesihatan mereka sendiri. Perlu diberi perhatian bahawa Perlindungan Akses Rangkaian menyediakan perlindungan dua hala untuk komputer pelanggan dan rangkaian dalaman organisasi, memastikan komputer yang menyambung ke rangkaian mematuhi keperluan dasar rangkaian organisasi, serta dasar kesihatan pelanggan. .

Dasar kesihatan itu sendiri dikuatkuasakan menggunakan komponen bahagian pelanggan yang sudah menyemak dan menilai kesihatan untuk menyekat akses rangkaian kepada komputer pelanggan yang tidak patuh, serta kedua-dua komponen sisi pelanggan dan bahagian pelayan yang memastikan komputer pelanggan yang tidak patuh dikemas kini kepada menyediakan akses penuh kepada rangkaian. Dan kesihatan dinyatakan dalam bentuk maklumat tentang komputer klien, yang digunakan oleh Perlindungan Akses Rangkaian untuk menentukan sama ada akses boleh dilakukan daripada pelanggan ini kepada rangkaian dalaman organisasi. Contoh ciri yang disemak semasa menilai status kesihatan keadaan konfigurasi komputer pelanggan berbanding keadaan yang diperlukan oleh dasar kesihatan termasuk status pemasangan kemas kini sistem pengendalian dan kemas kini tandatangan perisian antivirus, pemasangan kemas kini perisian antispyware dan kesihatan firewall pada komputer klien.komputer dan sebagainya. Jika konfigurasi komputer pelanggan tidak sepadan dengan keadaan yang diperlukan, komputer tersebut sama ada akan dinafikan sepenuhnya akses kepada rangkaian organisasi, atau mereka akan diberikan akses hanya kepada rangkaian kuarantin khas, di mana pelanggan akan dibekalkan dengan perisian, kemas kini anti-virus dan anti-perisian intip.

Apabila komputer pelanggan cuba mengakses rangkaian organisasi melalui pelayan akses rangkaian seperti pelayan VPN, perlindungan akses rangkaian dikuatkuasakan terhadap mereka. Kaedah memohon perlindungan paksa tersebut secara langsung bergantung pada kaedah permohonan yang dipilih. Dasar kesihatan Perlindungan Akses Rangkaian boleh digunakan pada teknologi rangkaian berikut:

Protokol DHCP. Penguatkuasaan jenis ini menggunakan peranan pelayan DHCP yang dipasang pada komputer yang menjalankan Windows Server 2008 untuk memperuntukkan alamat IP secara automatik kepada komputer klien. Jika perlindungan NAP didayakan untuk jenis ini, maka hanya komputer yang mematuhi sepenuhnya keperluan keselamatan boleh menerima alamat IP yang menyediakan akses rangkaian dan semua komputer lain akan menerima alamat dalam subnet 255.255.255.255 tanpa get laluan lalai. Walaupun pelanggan tidak dapat mengakses rangkaian organisasi, mereka akan diberikan laluan hos yang mengarahkan trafik ke sumber rangkaian dalam kumpulan pemulihan, di mana mereka boleh memasang sebarang kemas kini keselamatan yang diperlukan;
Sambungan IPSec selamat. Kaedah mendayakan penguatkuasaan keselamatan ini digunakan untuk memastikan pelanggan mengesahkan bahawa keselamatan sistem adalah terkini sebelum menerima sijil kesihatan. Seterusnya, pelayan sijil mengeluarkan sijil pengesahan X.509 kepada pelanggan NAP, yang diperlukan untuk menyediakan keselamatan IPSec sebelum pelanggan menyambung ke rangkaian apabila mereka berkomunikasi melalui IPsec dengan pelanggan lain dalam organisasi. Jika anda menggunakan kaedah semasa bersama-sama dengan sokongan NAP, anda masih perlu menggunakan pelayan sijil;
IEEE 802.1X rangkaian berwayar dan tanpa wayar. Kaedah keselamatan yang dikuatkuasakan berdasarkan rangkaian berwayar atau wayarles IEEE 802.1X yang dilaksanakan bersama dengan titik capaian wayarles atau Suis Ethernet dengan sokongan untuk pengesahan 802.1X. Dalam pelaksanaan ini, pelayan NAP mengarahkan suis pengesahan 802.1X atau titik capaian wayarles 802.1X untuk memindahkan pelanggan yang tidak patuh ke kawasan kuarantin atau tidak menyambung ke rangkaian organisasi sama sekali. Kaedah keselamatan semasa memberikan jaminan pematuhan terhadap keperluan keselamatan untuk komputer yang mungkin berada dalam talian untuk tempoh masa yang panjang;
Pelayan dan sambungan VPN. Permohonan kaedah ini perlindungan paksa direka bentuk untuk berfungsi dengan rangkaian peribadi maya dan melibatkan penggunaan pelayan Windows Server 2008 VPN dan komponen "Penghalaan dan Akses Jauh". Sehubungan itu, apabila menggunakan NAP, pelanggan yang menyambung ke rangkaian persendirian maya mesti menjalani pemeriksaan kesihatan, dan hanya komputer pelanggan yang memenuhi keperluan keselamatan akan menerima akses rangkaian tanpa had;
Gateway Desktop Jauh. Walaupun dalam kebanyakan kes hanya pengguna tertentu yang diberi kuasa boleh menyambung ke pelayan Desktop Jauh, memantau status kesihatan komputer pelanggan memastikan bahawa hanya komputer yang mematuhi keselamatan boleh menyambung ke pelayan atau Desktop Jauh.

Kesimpulan

Secara umum, seperti yang anda sudah faham, teknologi "Perlindungan akses rangkaian" menyediakan tahap keselamatan tambahan, membenarkan akses kepada sumber rangkaian dalaman hanya kepada komputer yang memenuhi keperluan keselamatan yang ditentukan. Tetapi perlu diingat bahawa walaupun teknologi keselamatan akses rangkaian memastikan bahawa pengguna anda tidak akan dapat menyambung ke rangkaian dalaman anda tanpa memenuhi keperluan keselamatan, NAP mungkin tidak menghalang penggodam berpengalaman daripada menyambung ke rangkaian organisasi anda dengan ketara. Ini menyimpulkan artikel pertama dalam siri artikel mengenai teknologi perlindungan capaian rangkaian NAP. Dalam artikel berikut dalam siri ini, anda akan belajar tentang menggunakan teknologi NAP, menyelesaikan masalah yang berkaitan dengan teknologi ini, semua kaedah penguatkuasaan, serta banyak nuansa lain.

Satu aspek keselamatan rangkaian yang mengecewakan ramai pentadbir ialah mereka tidak mempunyai kawalan ke atas konfigurasi komputer jauh. Walaupun rangkaian korporat mungkin mempunyai konfigurasi yang sangat selamat, pada masa ini tiada apa yang boleh menghalang pengguna jauh daripada menyambung ke rangkaian korporat menggunakan komputer yang dijangkiti virus atau yang tidak mengandungi kemas kini yang diperlukan. Alat sistem pengendalian Longhorn Server dipanggil Perlindungan Akses Rangkaian(Perlindungan Akses Rangkaian, NAP) akan mengubah keadaan ini. Dalam artikel ini, saya akan memberitahu anda tentang alat NAP dan menunjukkan kepada anda cara ia berfungsi.

Apabila saya bekerja sebagai pentadbir rangkaian, salah satu perkara yang sangat mengecewakan saya ialah saya mempunyai sedikit kawalan ke atas pengguna jauh. Keperluan perniagaan organisasi saya memerlukan pengguna jauh untuk dapat menyambung ke rangkaian korporat dari mana-mana sahaja di luar pejabat. Masalahnya ialah walaupun saya mengambil langkah melampau untuk mengamankan rangkaian korporat, saya sama sekali tidak mempunyai kawalan ke atas komputer yang boleh digunakan pengguna untuk menyambung ke rangkaian dari jauh. Pada akhirnya, komputer rumah pekerja bukan hak milik syarikat.

Sebab ini sangat mengecewakan saya adalah kerana saya tidak pernah mengetahui keadaan komputer pengguna itu. Kadangkala, pengguna jauh boleh menyambung ke rangkaian menggunakan komputer yang dijangkiti virus. Kadangkala, komputer pengguna jauh mungkin menjalankan versi sistem pengendalian Windows yang lapuk. Walaupun saya mengambil langkah untuk melindungi rangkaian korporat, saya sentiasa takut bahawa pengguna jauh dengan keselamatan yang tidak mencukupi mungkin menjangkiti fail pada rangkaian dengan virus, atau secara tidak sengaja mendedahkan maklumat korporat yang sensitif kerana komputer mereka mungkin dijangkiti Trojan.

Namun, sinar harapan muncul beberapa tahun lalu. Microsoft bersedia untuk mengeluarkan sistem pengendalian Windows Server 2003 R2, yang termasuk perbincangan tentang alat baharu yang dipanggil NAP. Untuk memendekkan sedikit cerita, saya hanya akan memberitahu anda bahawa untuk mengkonfigurasi keselamatan rangkaian menggunakan lebih banyak lagi versi terdahulu instrumen ini, adalah perlu untuk mempunyai ijazah lanjutan dalam bidang tersebut keselamatan komputer. Maka alat NAP telah dialih keluar daripada versi akhir R2.

Microsoft telah melakukan banyak kerja untuk menambah baik alat NAP sejak itu, dan NAP kini merupakan salah satu alat keselamatan teras dalam sistem pengendalian Pelayan Longhorn. Walaupun versi Longhorn alat NAP akan lebih mudah untuk dikonfigurasikan daripada versi yang belum dikeluarkan untuk Windows Server 2003, ia masih agak rumit. Oleh itu, tujuan menulis artikel ini adalah untuk memberikan anda penerangan tentang alat NAP dan juga menunjukkan kepada anda cara ia berfungsi sebelum keluaran rasmi sistem pengendalian Pelayan Longhorn.

Untuk mula

Sebelum saya meneruskan, saya ingin menerangkan satu perkara lagi tentang alat NAP. Tujuan alat NAP adalah untuk memastikan komputer pengguna jauh memenuhi keperluan keselamatan organisasi anda. NAP tidak melakukan apa-apa untuk menghalang akses tanpa kebenaran kepada rangkaian anda. Jika penyerang mempunyai komputer yang memenuhi keperluan keselamatan syarikat anda, maka NAP tidak akan melakukan apa-apa untuk cuba menghentikan penyerang. Melindungi daripada penceroboh yang cuba mendapatkan akses kepada sumber rangkaian adalah tugas mekanisme keselamatan yang lain. NAP direka untuk hanya menafikan pengguna yang dibenarkan yang menggunakan komputer yang tidak selamat daripada memasuki rangkaian anda.

Satu lagi perkara yang saya ingin nyatakan sebelum saya pergi lebih jauh ialah alat NAP berbeza daripada alat Kawalan Kuarantin Akses Rangkaian yang terdapat dalam sistem pengendalian Windows Server 2003. Alat Kawalan Kuarantin Akses Rangkaian menggunakan dasar terhad untuk mengawal komputer jauh , tetapi ia tertakluk kepada NAP.

Asas Keselamatan Akses Rangkaian

Alat NAP direka untuk melanjutkan VPN perusahaan. Proses ini bermula apabila pelanggan mewujudkan sesi VPN dengan pelayan Longhorn menjalankan perkhidmatan Penghalaan dan Akses Jauh. Selepas pengguna membuat sambungan, Pelayan Dasar Rangkaian menyemak status sistem jauh. Ini dicapai dengan membandingkan konfigurasi komputer jauh dengan dasar capaian rangkaian yang ditentukan oleh pentadbir. Perkara yang berlaku seterusnya bergantung pada perkara yang telah ditulis oleh pentadbir dalam dasar ini.

Pentadbir mempunyai tetapan untuk mengkonfigurasi sama ada dasar pemantauan sahaja atau dasar pengasingan. Jika hanya dasar pemantauan didayakan, maka mana-mana pengguna yang mempunyai hak yang betul akan mempunyai akses kepada sumber rangkaian, tidak kira sama ada komputer mereka mematuhi dasar keselamatan korporat atau tidak. Walaupun dasar pemantauan tidak melarang mana-mana komputer daripada mengakses rangkaian anda, hasil daripada membandingkan konfigurasi komputer jauh dengan keperluan korporat direkodkan dalam log khas.

Pada pendapat saya, dasar pemantauan paling sesuai untuk berpindah ke persekitaran NAP. Fikirkan sejenak, jika anda mempunyai pengguna jauh yang perlu mengakses sumber pada rangkaian korporat anda untuk melakukan kerja, anda mungkin tidak mahu pada mulanya mendayakan NAP dalam mod pengasingan. Jika anda memilih untuk melakukan ini, terdapat kemungkinan besar bahawa tiada pengguna jauh anda akan dapat mengakses rangkaian korporat anda. Sebaliknya, anda boleh mengkonfigurasi NAP untuk menggunakan dasar pemantauan. Ini akan membolehkan anda menilai kesan dasar akses rangkaian anda tanpa sengaja menghalang seseorang daripada melakukan tugas mereka. Selepas ujian ini, anda boleh mendayakan dasar dalam mod pengasingan.

Seperti yang anda mungkin sudah meneka, dalam mod pengasingan, komputer yang tidak mematuhi dasar keselamatan korporat diletakkan pada segmen rangkaian yang diasingkan daripada sumber rangkaian industri. Sudah tentu, ini adalah kenyataan yang sangat umum. Terserah sepenuhnya kepada pentadbir untuk memutuskan perkara yang perlu dilakukan dengan pengguna yang komputernya tidak mematuhi dasar korporat. Biasanya, pentadbir akan memberikan pengguna yang komputernya tidak mematuhi dasar korporat akses kepada segmen rangkaian terpencil yang saya nyatakan di atas. Pentadbir juga mempunyai keupayaan untuk menyekat akses kepada satu sumber atau kepada semua sumber rangkaian.

Anda mungkin tertanya-tanya apakah faedah yang boleh didapati dalam memberikan komputer yang tidak memenuhi keperluan korporat akses kepada segmen rangkaian terpencil. Jika komputer tidak patuh bersambung ke rangkaian dan alat NAP berjalan dalam mod pengasingan, komputer itu dinafikan akses kepada rangkaian perindustrian. Biasanya, kuarantin ini berterusan selagi pengguna disambungkan ke rangkaian. Hanya mengkuarantin komputer yang tidak mematuhi dasar syarikat mengelakkan jangkitan virus atau mengeksploitasi lubang keselamatan dalam rangkaian anda, tetapi tidak menyekat banyak maklumat berguna daripada pengguna. Lagipun, jika pengguna tidak boleh mengakses sumber rangkaian, maka mereka tidak boleh melakukan tugas mereka.

Di sinilah segmen rangkaian terpencil datang untuk menyelamatkan. Pentadbir boleh meletakkan set kemas kini dan antivirus khas dalam segmen terpencil ini. Sumber sedemikian membolehkan anda membawa komputer pengguna jauh mematuhi keperluan syarikat. Sebagai contoh, pelayan sedemikian mungkin mengandungi kemas kini untuk keselamatan atau perisian antivirus.

Adalah sangat penting untuk ambil perhatian bahawa alat NAP tidak mengandungi sebarang mekanisme yang boleh menyemak status komputer jauh dan pemasangan kemas kini padanya. Ini sudah menjadi kerja ejen keadaan sistem dan pengesah keadaan sistem. Khabar angin mengatakan bahawa komponen ini akan disepadukan ke dalam versi Pelayan SMS seterusnya.

Kesimpulan

Dalam artikel ini, saya memberitahu anda tentang alat baharu dalam sistem pengendalian Pelayan Longhorn yang dipanggil NAP. Di bahagian kedua artikel ini, saya akan membimbing anda melalui proses persediaan menggunakan alat ini.

Diterbitkan pada 20 Februari 2009 oleh · Tiada ulasan

Dalam bahagian akhir bahagian enam artikel ini, saya menunjukkan kepada anda cara menyediakan sambungan VPN yang rosak dengan pelanggan yang menjalankan Windows Vista. Dalam artikel ini, saya akan menggulung artikel ini dan menunjukkan kepada anda cara menyelesaikan proses persediaan pelanggan.

Mari kita mulakan proses persediaan dengan melancarkan Panel Kawalan ( Panel kawalan), dan mengklik pada pautan Rangkaian dan Internet, dan kemudian pada pautan Rangkaian dan Pusat Perkongsian. Apabila tetingkap Rangkaian dan Pusat Perkongsian dibuka, klik pada pautan Urus Sambungan Rangkaian. Anda seharusnya melihat tetingkap yang menunjukkan semua sambungan rangkaian anda, serta sambungan VPN yang anda buat di bahagian terakhir artikel ini.

Klik kanan pada sambungan VPN dan pilih Properties dari menu pop timbul. Selepas ini, tetingkap sifat sambungan akan muncul. Pergi ke tab Keselamatan dan pilih butang radio Lanjutan (Tetapan Tersuai), seperti yang ditunjukkan dalam Rajah A.

Rajah A: Anda mesti mengkonfigurasi sambungan anda untuk menggunakan tetapan keselamatan Lanjutan (Tetapan Tersuai)

Sekarang klik pada butang Tetapan untuk memaparkan kotak dialog Tetapan Keselamatan Lanjutan. Kerana Kami telah mengkonfigurasi sambungan VPN untuk menggunakan protokol terbuka untuk pengesahan (Protokol Pengesahan Boleh Diperluas), maka anda mesti memilih butang radio Gunakan Protokol Pengesahan Boleh Diperluas (EAP). Selepas ini, senarai juntai bawah yang terletak di bawah butang radio ini akan menjadi aktif. Pilih Protected EAP (PEAP) (Encryption Enabled) seperti ditunjukkan dalam Rajah B.

Rajah B: Anda mesti mengkonfigurasi keselamatan sambungan VPN anda dan menggunakan Protection EAP (PEAP) (Encryption Enabled)

Sekarang klik pada butang Properties untuk membuka kotak dialog Protected EAP Properties. Tandai kotak Sahkan Sijil Pelayan dan nyahtanda kotak Sambung ke Pelayan ini. Anda juga mesti memilih Kata Laluan Selamat (EAP-MSCHAP V2) daripada senarai juntai bawah Pilih Kaedah Pengesahan. Akhir sekali, nyahtanda kotak Dayakan Sambung Semula Pantas dan tandakan kotak Dayakan Pemeriksaan Kuarantin, seperti yang ditunjukkan dalam Rajah C.

Rajah C: Halaman Properties EAP yang Dilindungi membolehkan anda mengkonfigurasi tetapan untuk Protokol Pengesahan Boleh Diperluas.

Selepas itu, klik pada butang OK dalam setiap kotak dialog terbuka untuk menutupnya. Anda kini telah mengkonfigurasi sambungan VPN anda untuk memenuhi keperluan yang diperlukan. Tetapi belum semuanya selesai. Agar Perlindungan Akses Rangkaian mula berfungsi, anda perlu memastikan bahawa perkhidmatan Perlindungan Akses Rangkaian bermula secara automatik. Secara lalai, dalam sistem pengendalian Windows Vista, semua perkhidmatan dikonfigurasikan untuk bermula secara manual, jadi anda mesti mengubah cara anda memulakan perkhidmatan ini.

Untuk melakukan ini, buka Panel Kawalan dan klik pada pautan Sistem dan Penyelenggaraan, dan kemudian pada pautan Alat Pentadbiran. Kini anda akan melihat senarai pelbagai alat pentadbiran. Klik dua kali ikon Perkhidmatan untuk membuka Pengurus Kawalan Perkhidmatan.

Cari perkhidmatan Ejen Perlindungan Akses Rangkaian dalam senarai perkhidmatan. Klik dua kali pada perkhidmatan ini dan kemudian tukar jenis permulaan kepada Automatik dan klik pada butang OK. Sila ambil perhatian bahawa menukar jenis permulaan perkhidmatan kepada Automatik tidak akan memulakan perkhidmatan. Ini hanya memastikan bahawa perkhidmatan ini akan dimulakan secara automatik selepas komputer dibut semula. Walau bagaimanapun, anda boleh memulakan perkhidmatan tanpa but semula dengan mengklik kanan pada perkhidmatan dan memilih Mula dari menu konteks. Jika anda menghadapi masalah memulakan perkhidmatan, semak sama ada perkhidmatan Panggilan Prosedur Jauh (RPC) dan perkhidmatan Pelancar Proses Pelayan DCOM sedang berjalan. Perkhidmatan Agen Perlindungan Akses Rangkaian tidak boleh beroperasi tanpa perkhidmatan sokongan ini.

Menyemak Perlindungan Akses Rangkaian

Percaya atau tidak, kami akhirnya selesai menyediakan Perlindungan Akses Rangkaian. Kini tiba masanya untuk menjalankan beberapa ujian mudah untuk memastikan semuanya berfungsi seperti yang kita mahu.

Seperti yang anda ingat, kami menukar konfigurasi pelayan dasar rangkaian kami supaya komputer yang tidak mematuhi dasar dibetulkan secara automatik. Kami juga mengkonfigurasi pelayan dasar rangkaian kami supaya satu-satunya kriteria ialah tembok api Windows telah didayakan. Oleh itu, anda harus melumpuhkan firewall dihidupkan mesin pelanggan, dan kemudian sambung ke pelayan dasar rangkaian yang menggunakan sambungan VPN yang anda buat. Selepas ini, tembok api pada mesin pelanggan hendaklah didayakan secara automatik.

Mari kita mulakan dengan melumpuhkan firewall pada komputer klien. Untuk melakukan ini, buka Panel Kawalan dan klik pada pautan Keselamatan. Sekarang pilih pautan Windows Firewall(Firewall) untuk membuka kotak dialog Windows Firewall. Dengan mengandaikan bahawa Windows Firewall sudah berjalan, klik pautan Hidupkan atau Matikan Windows Firewall. Anda kini akan melihat kotak dialog yang membolehkan anda mendayakan atau melumpuhkan firewall. Pilih butang radio Mati (tidak disyorkan), seperti yang ditunjukkan dalam Rajah D, dan klik butang OK. Firewall Windows kini sepatutnya dilumpuhkan.

Rajah D: Pilih butang radio Mati (Tidak Disyorkan) dan klik pada butang OK untuk melumpuhkan firewall Windows

Memandangkan anda telah melumpuhkan Windows Firewall, anda perlu mewujudkan sambungan VPN dengan pelayan RRAS / NAP anda. Untuk melakukan ini, buka Panel Kawalan dan klik pada pautan Rangkaian dan Internet, dan kemudian pada pautan Rangkaian dan Pusat Perkongsian. Apabila tetingkap Rangkaian dan Pusat Perkongsian dibuka, klik pada pautan Urus Sambungan Rangkaian. Anda kini sepatutnya melihat senarai sambungan tempatan milik anda stesen kerja dan sambungan VPN sedia ada.

Klik dua kali sambungan VPN yang anda buat dan kemudian klik butang Sambung. Anda perlu memasukkan nama pengguna, kata laluan dan nama domain anda. Klik pada butang OK selepas memasukkan maklumat ini dan sambungan ke pelayan VPN/NAP anda akan diwujudkan.

Selepas tempoh masa yang singkat selepas sambungan diwujudkan, anda akan melihat mesej berikut pada skrin:

Komputer Ini Tidak Memenuhi Keperluan Rangkaian Korporat. Akses Rangkaian Terhad (Komputer ini tidak memenuhi keperluan rangkaian korporat. Akses rangkaian terhad).

Anda boleh melihat mesej ini dalam Rajah E.

Rajah E: Jika tembok api dilumpuhkan, anda seharusnya melihat mesej ini selepas membuat sambungan VPN

Sejurus selepas ini, anda akan melihat ikon Windows Firewall berubah untuk menunjukkan bahawa firewall didayakan. Sebaik sahaja ini berlaku, anda akan melihat mesej lain:

Komputer Ini Memenuhi Keperluan Rangkaian Korporat. Anda Mempunyai Akses Rangkaian Penuh (Komputer ini memenuhi keperluan rangkaian korporat. Anda mempunyai akses penuh kepada rangkaian).

Anda boleh melihat mesej ini dalam Rajah F.

Rajah F: Apabila Pelayan NAP menyambungkan Windows Firewall, mesej ini akan muncul

Mesej yang ditunjukkan dalam Rajah F juga akan muncul apabila komputer anda yang mematuhi sepenuhnya perusahaan bersambung ke pelayan NAP menggunakan sambungan VPN.

Kesimpulan

Dalam artikel ini, saya menunjukkan kepada anda cara menyediakan pelayan NAP untuk memastikan klien VPN memenuhi keperluan keselamatan rangkaian anda. Walau bagaimanapun, perlu diingat bahawa pada masa menulis artikel ini, sistem pengendalian Pelayan Longhorn masih dalam mod ujian. Oleh itu, beberapa bahagian proses ini mungkin mengalami sedikit perubahan setelah versi akhir Longhorn dikeluarkan, tetapi saya tidak menjangkakan apa-apa perubahan besar. Anda juga harus ingat bahawa Perlindungan Akses Rangkaian hanya boleh mengimbas stesen kerja yang menjalankan sistem pengendalian Windows Vista. Saya pernah mendengar khabar angin bahawa Windows XP mungkin direka semula sedikit untuk menyokong NAP.

www.windowsnetworking.com

Lihat juga:

Komen Pembaca (Tiada ulasan)

Pertukaran 2007

Jika anda ingin membaca bahagian sebelumnya siri artikel ini, sila ikuti pautan: Monitoring Exchange 2007 Menggunakan Pengurus Sistem...

Pengenalan Dalam artikel berbilang bahagian ini, saya ingin menunjukkan kepada anda proses yang saya gunakan baru-baru ini untuk berhijrah daripada persekitaran Exchange 2003 yang sedia ada...

Jika anda terlepas bahagian pertama siri ini, sila baca di Menggunakan Alat Penganalisis Kesambungan Jauh Pelayan Exchange (Bahagian...

Jika anda terlepas bahagian sebelumnya dalam siri artikel ini, pergi ke Monitoring Exchange 2007 dengan Pengurus Operasi Pusat Sistem...

Satu aspek keselamatan rangkaian yang mengecewakan ramai pentadbir ialah mereka tidak mempunyai kawalan ke atas konfigurasi komputer jauh. Walaupun rangkaian korporat mungkin mempunyai konfigurasi yang sangat selamat, pada masa ini tiada apa-apa yang boleh menghalang pengguna jauh daripada menyambung ke rangkaian korporat menggunakan komputer yang dijangkiti virus atau yang tidak mempunyai kemas kini yang diperlukan. Alat sistem pengendalian Windows 2008 Server yang dipanggil Network Access Protection (NAP) boleh membantu mengubah keadaan ini. Dalam artikel ini, saya akan memberitahu anda tentang alat NAP dan menunjukkan kepada anda cara ia berfungsi.

Sebab ini sangat mengecewakan saya adalah kerana saya tidak pernah mengetahui keadaan komputer pengguna itu. Kadangkala, pengguna jauh boleh menyambung ke rangkaian menggunakan komputer yang dijangkiti virus. Kadangkala, komputer pengguna jauh mungkin menjalankan versi sistem pengendalian Windows yang lapuk. Walaupun saya mengambil langkah untuk melindungi rangkaian korporat, saya sentiasa takut bahawa pengguna jauh dengan keselamatan yang tidak mencukupi mungkin menjangkiti fail pada rangkaian dengan virus, atau secara tidak sengaja mendedahkan maklumat korporat yang sensitif kerana komputer mereka mungkin dijangkiti Trojan.

Namun, sinar harapan muncul beberapa tahun lalu. Microsoft bersedia untuk mengeluarkan sistem pengendalian Windows Server 2003 R2, yang termasuk perbincangan tentang alat baharu yang dipanggil NAP. Untuk memendekkan sedikit cerita, untuk menyediakan keselamatan rangkaian menggunakan versi awal alat ini, anda perlu memiliki ijazah dalam keselamatan komputer. Maka alat NAP telah dialih keluar daripada versi akhir R2.

Microsoft telah melakukan banyak kerja untuk menambah baik alat NAP sejak itu, dan kini alat NAP ialah salah satu alat keselamatan utama dalam sistem pengendalian Windows 2008 Server. Walaupun versi Windows 2008 alat NAP akan lebih mudah untuk dikonfigurasikan daripada versi Windows Server 2003 yang belum dikeluarkan, ia masih agak rumit. Oleh itu, tujuan menulis artikel ini adalah untuk memberi anda penerangan tentang alat NAP dan juga menunjukkan kepada anda cara ia berfungsi sebelum keluaran rasmi sistem pengendalian Windows 2008 Server.

Untuk mula

Asas Keselamatan Akses Rangkaian

Alat NAP direka untuk melanjutkan VPN perusahaan. Proses ini bermula apabila pelanggan menetapkan sesi VPN dengan pelayan Windows 2008 yang menjalankan perkhidmatan Penghalaan dan Akses Jauh. Selepas pengguna membuat sambungan, Pelayan Dasar Rangkaian menyemak status sistem jauh. Ini dicapai dengan membandingkan konfigurasi komputer jauh dengan dasar capaian rangkaian yang ditakrifkan oleh pentadbir. Perkara yang berlaku seterusnya bergantung pada perkara yang telah ditulis oleh pentadbir dalam dasar ini.

Anda mungkin tertanya-tanya apakah faedah yang boleh didapati dalam memberikan komputer yang tidak memenuhi keperluan korporat akses kepada segmen rangkaian terpencil. Jika komputer tidak patuh bersambung ke rangkaian dan alat NAP berjalan dalam mod pengasingan, komputer itu dinafikan akses kepada rangkaian perindustrian. Biasanya, kuarantin ini berterusan selagi pengguna disambungkan ke rangkaian. Hanya mengkuarantin komputer yang tidak mematuhi dasar syarikat membantu mencegah jangkitan virus atau eksploitasi lubang keselamatan dalam rangkaian anda, tetapi ia tidak menyekat banyak pengalaman pengguna. Lagipun, jika pengguna tidak boleh mengakses sumber rangkaian, maka mereka tidak boleh melakukan tugas mereka.

Melaksanakan Perlindungan Akses Rangkaian memerlukan penggunaan berbilang pelayan, setiap satunya melaksanakan peranan tertentu. Apakah yang mungkin kelihatan seperti ini? pelaksanaan mudah, anda boleh lihat dalam Rajah 1.

Gambar 1: Melaksanakan perlindungan capaian rangkaian memerlukan penggunaan berbilang pelayan

Seperti yang anda boleh lihat daripada rajah, pelanggan Windows Vista bersambung ke Pelayan Windows 2008 yang menjalankan perkhidmatan tersebut akses jauh Akses Jauh (RRAS). Pelayan ini berfungsi sebagai pelayan VPN untuk rangkaian. Pelanggan Windows Vista membuat sambungan ke pelayan VPN ini dengan cara biasa.

Apabila pengguna jauh menyambung ke pelayan VPN, pengawal domain menyemak hak pengguna. Adalah menjadi tanggungjawab pelayan dasar rangkaian untuk menentukan dasar yang perlu didayakan dan apa yang berlaku jika klien jauh tidak mempunyai keistimewaan. Dalam persekitaran ujian, anda mesti menggunakan satu pelayan fizikal untuk menjalankan peranan perkhidmatan Penghalaan dan Akses Jauh dan peranan Pelayan Dasar Rangkaian. Dalam situasi sebenar, pelayan VPN terletak di sekitar perimeter rangkaian, dan meletakkan pelayan dasar rangkaian di sekeliling perimeter rangkaian adalah idea yang sangat buruk.

Pengawal domain

Jika anda melihat rajah dalam Rajah A, anda akan melihat bahawa salah satu pelayan yang diperlukan ialah pengawal domain. Jangan fikir ini hanyalah satu pelayan - ini adalah keseluruhan infrastruktur Active Directory. Seperti yang saya pasti anda tahu, Active Directory tidak boleh berfungsi tanpanya pelayan DNS pelayan. Itulah sebabnya jika gambar rajah ini benar-benar penerangan rangkaian sebenar, maka pengawal domain akan gunakan untuk kerjanya Perkhidmatan DNS perkhidmatan. Sudah tentu, dalam situasi kehidupan sebenar, organisasi biasanya menggunakan berbilang pengawal domain dan DNS khusus.

Faktor lain yang perlu dipertimbangkan, yang mungkin tidak begitu jelas daripada rajah, ialah sijil korporat juga diperlukan. Dalam kes rajah ini, perkhidmatan sijil boleh dihoskan dengan mudah pada pengawal domain. Dalam keadaan sebenar, pelayan khas untuk sijil sering digunakan, kerana Sifat sijil digital adalah sangat sensitif.

Sekiranya anda tertanya-tanya, sebab sijil perusahaan diperlukan adalah kerana pelayan VPN menggunakan PEAP-MSCHAPv2 untuk pengesahan. Dan protokol PEAP menggunakan sijil untuk beroperasi. Pelayan VPN akan menggunakan sijil daripada mesin pelayan, manakala pelanggan jauh akan menggunakan sijil pengguna.

Memasang sijil perusahaan

Prosedur untuk memasang sijil perusahaan mungkin berbeza bergantung pada sama ada anda memasang perkhidmatan pada pelayan Windows 2003 atau pada pelayan Windows 2008. Memandangkan salah satu tujuan menulis artikel ini adalah untuk memperkenalkan anda kepada sistem pengendalian Windows 2008 Server, prosedur berikut akan menerangkan pemasangan perkhidmatan sijil untuk sistem pengendalian Windows 2008 Server.

Sebelum saya menunjukkan kepada anda cara memasang perkhidmatan sijil, anda perlu ingat dua perkara. Pertama, sistem pengendalian Windows 2008 Server masih dalam ujian beta. Oleh itu, sentiasa ada kemungkinan bahawa apa yang saya beritahu anda sekarang akan berubah pada masa versi akhir dikeluarkan, walaupun perubahan yang sangat besar pada peringkat ini adalah sangat tidak diingini.

Perkara lain yang juga perlu diingat ialah anda mesti mengambil langkah kecemasan untuk memastikan keselamatan sijil perusahaan anda. Selain itu, jika seseorang mengambil alih sijil korporat anda, mereka akan mengambil alih rangkaian anda. Kerana Memandangkan artikel ini tertumpu pada melindungi akses rangkaian, saya akan menunjukkan kepada anda perkara yang perlu anda lakukan untuk menyediakan perkhidmatan sijil anda dan berjalan. Dalam amalan, anda perlu berfikir lebih baik tentang konfigurasi pelayan.

Mari mulakan proses pemasangan dengan membuka pengurus pelayan sistem pengendalian Windows 2008 Server Manager dan memilih tetapan Urus Peranan daripada pokok konsol. Seterusnya, klik pada pautan Tambah peranan, yang boleh didapati dalam bahagian Ringkasan Peranan dalam konsol. Hasil daripada tindakan ini, Windows akan melancarkan Wizard Tambah Peranan. Klik butang Seterusnya untuk melangkau tetingkap alu-aluan wizard. Anda kini akan melihat senarai semua peranan yang tersedia. Pilih Parameter aktif Pelayan Sijil Direktori daripada senarai. Peranan mungkin tidak mengikut susunan abjad, jadi jika perlu, tatal ke bahagian bawah senarai untuk mencari perkhidmatan yang anda perlukan. Untuk meneruskan, klik pada butang Seterusnya.

Anda kemudian akan melihat skrin yang memaparkan Perkhidmatan Sijil dan beberapa amaran. Klik butang Seterusnya untuk melangkau skrin ini dan pergi ke tetingkap lain di mana anda diminta untuk memilih komponen untuk dipasang. Pilih Pihak Berkuasa Pensijilan serta Pendaftaran Web Pihak Berkuasa Sijil, dan kemudian klik pada butang Seterusnya.

Anda kemudian akan melihat skrin yang menanyakan anda sama ada anda ingin membuat sijil perusahaan atau sijil bersendirian. Pilih pilihan Pihak Berkuasa Sijil Perusahaan dan klik butang Seterusnya. Seterusnya anda akan ditanya sama ada pelayan ini akan bertindak sebagai CA akar atau sebagai CA Bawahan tambahan. Kerana ialah sijil pertama (dan sahaja) dalam makmal anda, maka anda mesti memilih pilihan Root CA. Untuk meneruskan, klik pada butang Seterusnya.

Seterusnya, wizard akan bertanya kepada anda sama ada anda ingin mencipta kunci peribadi baharu atau menggunakan kunci peribadi sedia ada. Kerana Ini hanyalah pemasangan ujian, jadi pilih pilihan untuk mencipta kunci peribadi baharu dan klik butang Seterusnya untuk meneruskan.

Dalam tetingkap seterusnya, anda perlu memilih pembekal penyulitan, panjang kunci dan algoritma pencincangan anda. Dalam amalan, anda harus berhati-hati apabila memilih pilihan ini. Kerana Kami mencipta sijil ini untuk tujuan demonstrasi sahaja, jadi biarkan semuanya sebagai lalai dan klik pada butang Seterusnya.

Pada skrin seterusnya anda akan mempunyai pilihan untuk menentukan nama yang selalu digunakan, serta akhiran yang terkenal untuk sijil. Sekali lagi, biarkan semuanya sebagai lalai dan klik pada butang Seterusnya.

Seterusnya anda akan melihat tetingkap di mana anda mesti menetapkan tempoh sah sijil. Secara lalai tempoh ini ialah 5 tahun, yang bagus untuk tujuan kami, jadi cuma klik pada butang Seterusnya. Seterusnya, tetingkap akan dibuka di mana anda mesti menentukan di mana pangkalan data sijil dan log transaksi yang sepadan akan ditempatkan. Dalam persekitaran industri, pilihan ini mesti dibuat dengan sangat berhati-hati dari segi keselamatan dan toleransi kesalahan. Kerana Ini hanyalah makmal ujian, kemudian klik pada butang Seterusnya.

Tugas konfigurasi asas

Sebelum saya menunjukkan kepada anda cara mengkonfigurasi pelayan ini untuk bertindak sebagai pelayan VPN, anda mesti menyelesaikan beberapa tugas konfigurasi asas. Pada asasnya, ini bermakna anda mesti memasang sistem pengendalian Windows 2008 Server dan mengkonfigurasinya untuk menggunakan alamat IP statik. Alamat IP ini mesti berada dalam selang waktu yang sama di mana pengawal domain yang kami konfigurasikan sebelum ini beroperasi. Pengawal domain yang anda pasang sebelum ini dalam artikel ini mesti dinyatakan sebagai Pelayan DNS Pilihan dalam konfigurasi TCP/IPnya, kerana ia juga berfungsi sebagai pelayan DNS. Selepas anda selesai dengan konfigurasi pelayan VPN awal, anda harus menggunakan arahan PING untuk mengesahkan bahawa pelayan VPN boleh berkomunikasi dengan pengawal domain.

Menyambung ke domain

Memandangkan anda telah mengkonfigurasi konfigurasi TCP/IP komputer anda dan mengesahkan bahawa ia boleh disambungkan, tiba masanya untuk memulakan tugas konfigurasi sebenar. Perkara pertama yang perlu anda lakukan ialah menyambungkan pelayan ke domain yang anda buat sebelum ini dalam artikel ini. Proses menyertai domain dalam sistem pengendalian Windows 2008 Server sangat serupa dengan proses yang sama dalam sistem pengendalian Windows Server 2003. Klik kanan pada arahan Komputer, yang terletak dalam menu Mula pelayan. Hasil daripada tindakan ini, Windows 2008 akan melancarkan applet Sistem daripada Panel Kawalan. Sekarang klik pada butang Tukar Tetapan, yang terletak di bahagian Nama Komputer, Domain, dan Kumpulan Kerja pada tetingkap ini. Ini akan menyebabkan tetingkap System Properties muncul. Tetingkap System Properties sangat serupa dengan yang terdapat dalam Windows Server 2003. Klik butang Change untuk memaparkan kotak dialog Computer Name Changes. Sekarang pilih butang Domain, yang terletak di bahagian Ahli. Masukkan nama domain anda dalam medan Domain dan klik butang OK.

Tetingkap kini akan muncul untuk memasukkan hak anda. Masukkan nama pengguna dan kata laluan untuk akaun pentadbir domain dan klik butang Hantar. Selepas jeda singkat, anda akan melihat kotak dialog mengalu-alukan anda ke domain. Klik pada butang OK dan anda akan melihat kotak dialog lain memberitahu anda bahawa anda perlu but semula komputer anda. Klik butang OK sekali lagi dan kemudian klik butang Tutup. Selepas anda memulakan semula komputer anda, anda akan menjadi ahli domain yang anda tentukan.

Menyediakan penghalaan dan akses jauh

Kini tiba masanya untuk memasang perkhidmatan Penghalaan dan Akses Jauh. Kami kemudiannya akan mengkonfigurasi perkhidmatan ini agar pelayan kami bertindak sebagai pelayan VPN. Mari kita mulakan proses dengan melancarkan pengurus pelayan. Anda boleh mencari jalan pintas untuk Pengurus Pelayan dalam menu Pentadbiran. Selepas memulakan pengurus pelayan, pergi ke bahagian Ringkasan Peranan, yang boleh didapati dalam tetingkap butiran. Sekarang klik pada pautan Tambah Peranan untuk melancarkan Wizard Tambah Peranan.

Selepas memulakan wizard, klik pada butang Seterusnya untuk melangkau tetingkap alu-aluan. Anda kini akan melihat tetingkap yang bertanya kepada anda peranan yang ingin anda pasang pada pelayan. Pilih pautan yang sepadan dengan Perkhidmatan Akses Rangkaian. Klik pada butang Seterusnya dan anda akan melihat skrin yang merupakan pengenalan kepada Perkhidmatan Akses Rangkaian. Klik pada butang Seterusnya sekali lagi dan anda akan melihat skrin di mana anda boleh memilih komponen Perkhidmatan Akses Rangkaian yang anda ingin pasang. Tandai kotak yang sepadan dengan Pelayan Dasar Rangkaian dan Perkhidmatan Laluan dan Akses Jauh.

Jika anda memilih kotak untuk Perkhidmatan Laluan dan Akses Jauh, Perkhidmatan Akses Jauh, Perkhidmatan Laluan dan Kit Pentadbiran Pengurus Sambungan dipilih secara automatik. Anda mesti meninggalkan medan untuk perkhidmatan jauh dipilih Akses jauh Perkhidmatan Akses, kerana bersama-sama dengannya, komponen yang diperlukan untuk pelayan kami beroperasi sebagai pelayan VPN akan dipasang. Dua medan lain adalah pilihan. Jika anda mahu pelayan bertindak sebagai penghala NAT atau menggunakan protokol penghalaan seperti proksi IGMP atau RIP, maka anda juga mesti membiarkan medan Penghalaan dipilih. Jika tidak, anda mungkin tidak memilihnya.

Klik pada butang Seterusnya dan anda akan melihat skrin yang akan dipaparkan maklumat am tentang perkhidmatan yang akan anda pasang. Dengan mengandaikan semuanya teratur, klik pada butang Pasang untuk memulakan proses pemasangan. Tiada siapa yang tahu berapa lama proses pemasangan akan mengambil masa pada versi akhir sistem pengendalian Windows 2008 Server. Walau bagaimanapun, pada pelayan ujian saya, yang menjalankan versi beta sistem pengendalian Windows 2008, proses pemasangan mengambil masa beberapa minit. Malah, terdapat ilusi bahawa pelayan disekat semasa proses pemasangan. Setelah proses pemasangan selesai, klik pada butang Tutup.

Selepas memasang perkhidmatan akses rangkaian, anda perlu mengkonfigurasi Perkhidmatan Penghalaan dan Akses Jauh untuk berfungsi dengan sambungan VPN. Mulakan dengan memasukkan arahan MMC pada prompt arahan pelayan. Hasil daripada tindakan ini, konsol Pengurusan Microsoft yang kosong akan dibuka. Pilih arahan Tambah/Buang Snap-in daripada menu Fail. Windows akan memaparkan senarai alat tambah yang tersedia. Pilih Penghalaan dan Akses Jauh Snap-in daripada senarai dan klik butang Tambah dan kemudian butang OK. Alat tambah Penghalaan dan Akses Jauh akan dimuatkan ke dalam konsol.

Klik kanan pada bekas Status Pelayan (status pelayan dalam konsol) dan pilih Tambah Pelayan daripada menu konteks. Kemudian pilih tetapan Komputer Ini dan klik butang OK. Konsol kini sepatutnya memaparkan senarai untuk pelayan anda. Klik kanan senarai untuk pelayan dan pilih Konfigurasikan dan Dayakan Penghalaan dan Akses Jauh daripada menu konteks. Akibatnya, Windows akan melancarkan Wizard Persediaan Pelayan Penghalaan dan Akses Jauh.

Klik butang Seterusnya untuk melangkau skrin alu-aluan wizard. Anda kini akan melihat skrin yang menanyakan konfigurasi yang ingin anda gunakan. Pilih Akses Jauh (dail atau VPN) dan klik Seterusnya. Dalam tetingkap seterusnya anda boleh memilih antara menyediakan akses dail atau VPN. Pilih medan VPN dan klik butang Seterusnya.

Sekarang pembantu akan membuka tetingkap dengan parameter sambungan VPN. Pilih antara muka rangkaian yang akan digunakan pelanggan untuk menyambung ke pelayan VPN dan nyahtanda kotak di sebelah Dayakan Keselamatan pada Antara Muka Terpilih dengan Menyediakan Penapis Paket Statik. Klik pada butang Seterusnya dan kemudian pilih tetapan Daripada Alamat Tertentu dan klik pada butang Seterusnya sekali lagi.

Selepas ini, anda akan melihat tetingkap di mana anda perlu memasukkan julat alamat IP yang boleh diberikan kepada klien VPN. Klik butang Baharu dan masukkan alamat permulaan dan penamat untuk julat alamat IP. Klik pada butang OK dan kemudian pada butang Seterusnya. Ini akan menyebabkan Windows membuka tetingkap Managing Multiple Remote Access Server.

Dalam langkah seterusnya, anda mesti memilih Ya untuk mengkonfigurasi pelayan untuk berfungsi dengan pelayan Radius. Sekarang anda perlu memasukkan alamat IP untuk pelayan Radius. Kerana NPS akan berjalan pada komputer yang sama di mana perkhidmatan penghalaan dan akses jauh sedang berjalan, hanya masukkan alamat IP pelayan anda sebagai alamat pelayan Radius primer dan sekunder. Anda juga perlu memasukkan rahsia yang dikongsi. Untuk tujuan demonstrasi, hanya masukkan rras sebagai rahsia kongsi. Klik butang Seterusnya dan kemudian butang Selesai. Anda kini akan melihat beberapa mesej amaran. Klik butang OK untuk menutup setiap mesej.

Langkah terakhir dalam proses konfigurasi RRAS adalah untuk mengkonfigurasi skema pengesahan. Untuk melakukan ini, klik kanan pada senarai untuk pelayan anda dan pilih arahan Properties dari menu konteks. Apabila anda melihat tetingkap sifat pelayan, pergi ke tab Keselamatan. Sekarang tambah EAP-MSCHAPv2 dan PEAP dalam bahagian Kaedah Pengesahan dan klik pada butang OK.

Pengesah kesihatan sistem

Dasar kesihatan sistem menentukan perkara yang diperlukan oleh komputer agar keadaannya dianggap normal dan boleh disambungkan ke rangkaian.

Di dunia nyata, dasar kesihatan sistem memerlukan stesen kerja menjalankan sistem pengendalian yang mempunyai semua kemas kini keselamatan terkini dipasang. Tidak kira kriteria yang anda pilih untuk menentukan sama ada stesen kerja sihat, anda perlu melakukan beberapa kerja. Kriteria kesihatan sangat berbeza dari syarikat ke syarikat, jadi Microsoft telah membiarkan mekanisme pemeriksaan kesihatan sistem kosong (sekurang-kurangnya dalam versi beta semasa). Dan jika ya, maka anda perlu melaraskan kriteria ini untuk kenormalan keadaan sistem.

Untuk tujuan demonstrasi, saya akan mencipta penyemak kesihatan sistem yang sangat mudah yang hanya menyemak untuk melihat sama ada tembok api Windows didayakan. Jika tembok api disambungkan, maka kami akan menganggap bahawa keadaan sistem adalah normal.

Seperti yang saya nyatakan sebelum ini dalam artikel ini, di dunia nyata anda tidak seharusnya mengehoskan NPS anda pada komputer yang sama dengan pelayan VPN anda. Pelayan VPN terbuka kepada dunia luar, dan mengehos pelayan dasar rangkaian padanya boleh membawa kepada masalah besar. Tiada apa-apa dalam sistem pengendalian Windows yang menghalang anda daripada menggunakan pelayan yang sama untuk kedua-dua komponen VPN dan komponen Pelayan Dasar Rangkaian, jadi untuk tujuan demonstrasi (dan disebabkan kekangan perkakasan) saya akan menggunakan satu dan satu lagi komputer yang sama untuk kedua-duanya. komponen.

Kami akan memulakan proses persediaan dengan memasukkan arahan MMC pada prompt arahan Run, yang akan membuka Konsol Pengurusan Microsoft kosong. Setelah konsol dibuka, pilih Tambah/Alih Keluar Snap-masuk daripada menu Fail. Hasil daripada tindakan ini, kotak dialog Tambah atau Alih Keluar Snap-In akan muncul pada skrin. Pilih pilihan Pelayan Dasar Rangkaian daripada senarai item yang tersedia, dan klik butang Tambah. Sekarang anda akan melihat tetingkap di mana anda akan diminta untuk memilih komputer yang anda mahu uruskan - tempatan atau yang lain. Pastikan Komputer Tempatan dipilih ( komputer tempatan) dan klik butang OK. Klik OK sekali lagi dan komponen Pelayan Dasar Rangkaian akan dibuka.

Selepas ini anda harus pergi ke dalam pokok konsol ke NPS (Tempatan) | Perlindungan Akses Rangkaian | Pengesah Kesihatan Sistem, yang ditunjukkan dalam Rajah 1. Sekarang, klik kanan pada Objek Windows Pengesah Kesihatan Sistem, yang boleh didapati di bahagian tengah konsol, dan pilih perintah Properties daripada menu konteks. Hasil daripada tindakan ini, tetingkap Windows Security Health Validator Properties akan dibuka, yang ditunjukkan dalam Rajah 2.

Rajah 1: Navigasi dalam pepohon konsol ke NPS (Tempatan) | Perlindungan Akses Rangkaian | Pengesah Kesihatan Sistem

Rajah 2: Tetingkap Windows Security Health Validator Properties digunakan untuk mengkonfigurasi pemantauan kesihatan sistem

Dalam kotak dialog, klik pada butang Konfigurasi, yang akan membuka kotak dialog Pengesah Kesihatan Keselamatan Windows, yang ditunjukkan dalam Rajah 3. Seperti yang anda lihat dari rajah, kotak dialog ini membolehkan anda menetapkan parameter untuk kawalan kesihatan sistem anda dasar. Secara lalai, kotak dialog ini dikonfigurasikan untuk menghendaki tembok api Windows disambungkan, kemas kini untuk disambungkan Kemas kini Windows, dan perisian anti-virus dan anti-perisian pengintip juga perlu dipasang pada stesen kerja dan ia adalah terkini. Kerana Kami hanya berminat untuk memastikan bahawa hanya tembok api Windows disambungkan, kemudian tandai kotak di sebelah A Firewall Didayakan untuk semua Sambungan Rangkaian (tembok api didayakan untuk semua sambungan rangkaian) dan nyahtanda semua kotak lain. Klik OK dua kali untuk meneruskan.

Rajah 3: Tandai kotak di sebelah Firewall Didayakan untuk semua Sambungan Rangkaian dan nyahtanda semua kotak lain

Memandangkan anda telah mengkonfigurasikan pemantauan kesihatan sistem, anda mesti menyediakan templat untuk pemantauan kesihatan sistem. Templat untuk memantau keadaan sistem menerangkan hasil pemantauan keadaan sistem. Biasanya, ini bermakna apa yang akan berlaku akibat pelanggan disahkan untuk memenuhi syarat pengesahan.

Untuk mengkonfigurasi templat untuk memantau status Pelayan Dasar Rangkaian, klik kanan pada bekas Templat Pengesah Kesihatan Sistem dan pilih Baharu daripada menu konteks lungsur turun. Selepas ini, kotak dialog yang dipanggil Cipta Templat SHV Baru akan muncul, yang ditunjukkan dalam Rajah 4.

Rajah 4: Anda mesti mencipta templat baharu untuk memantau kesihatan sistem

Seperti yang anda boleh lihat dari gambar, dalam kotak dialog anda mesti menentukan nama untuk templat baharu. Masukkan perkataan Mematuhi dalam medan Nama. Sekarang pastikan bahawa Pelanggan Lulus semua Semakan SHV dipilih dalam senarai juntai bawah Jenis Templat. Tandai kotak di sebelah Pengesah Kesihatan Sistem Windows dan klik OK.

Kami kini telah mencipta templat yang menerangkan apa yang dipanggil patuh. Sekarang kita mesti mencipta templat kedua yang menerangkan keadaan apabila kita tidak memenuhi syarat. Untuk melakukan ini, klik kanan pada bekas Templat Pengesah Kesihatan Sistem dan pilih Baharu daripada menu konteks. Anda kini sepatutnya melihat skrin yang sama yang anda sedang kerjakan sebentar tadi.

Kali ini nama templat akan menjadi Tidak Mematuhi. Tetapkan Jenis Templat kepada Pelanggan Gagal satu atau Lebih Pemeriksaan SHV (pelanggan tidak memenuhi satu atau lebih semakan). Sekarang tandakan kotak di sebelah Pengesah Kesihatan Keselamatan Windows dan klik pada butang OK. Jika anda kembali ke konsol NPS utama dan memilih bekas Templat Pengesah kesihatan Sistem, anda boleh melihat bahawa kedua-dua templat Patuh dan Tidak Patuh dipaparkan dalam tetingkap konsol tengah, seperti ditunjukkan dalam Rajah 5.

Rajah 5

Jika anda kembali ke tetingkap utama konsol Pelayan Dasar Rangkaian dan pilih bekas Templat Pengesah kesihatan Sistem, anda akan melihat bahawa kedua-dua templat Patuh dan Tidak Patuh dipaparkan dalam tetingkap konsol tengah.

Dasar kebenaran kesihatan

Dasar kebenaran negeri ialah dasar yang mengawal perkara yang berlaku jika pelanggan memenuhi dasar keadaan rangkaian, atau apa yang berlaku jika sistem yang meminta akses rangkaian didapati gagal. Dasar inilah yang menentukan tahap capaian yang akan dimiliki oleh pelanggan selepas dibenarkan memasuki rangkaian.

Mari kita mulakan proses dengan membuka konsol Pelayan Dasar Rangkaian jika ia belum dibuka, dan kemudian pilih bekas yang dipanggil Dasar Kebenaran. Selepas ini, lihat tetingkap Butiran untuk melihat sama ada dasar kebenaran telah dibuat. Sistem ujian saya sudah mempunyai empat dasar kebenaran yang dibuat sebelum ini, tetapi siapa tahu sama ada dasar ini akan wujud dalam versi akhir sistem pengendalian Windows 2008 Server. Jika anda mempunyai sebarang dasar, padamkannya dengan mengklik kanan padanya dan memilih Padam daripada menu konteks lungsur turun.

Memandangkan anda telah memadamkan dasar sedia ada sebelum ini, anda boleh mula membuat dasar kebenaran baharu. Untuk melakukan ini, klik kanan pada bekas Dasar Kebenaran dan pilih Baharu | Perintah tersuai daripada menu konteks lungsur turun. Ini akan memaparkan jadual sifat untuk dasar kebenaran baharu, Sifat Dasar Kebenaran Baharu.

Perkara pertama yang perlu anda lakukan ialah memberi nama kepada polisi. Mari kita panggil ini dasar Patuh-Akses Penuh. Anda boleh memasukkan nama dasar dalam medan Nama Dasar, yang terletak pada tab Gambaran Keseluruhan. Sekarang, tetapkan pilihan untuk Berikan Akses seperti yang ditunjukkan dalam Rajah A. Menetapkan jenis dasar kepada Berikan Akses tidak memberikan pengguna akses penuh kepada rangkaian. Semua ini bermakna permintaan yang termasuk dalam skop dasar ini akan dimajukan untuk pemprosesan selanjutnya.

Rajah A Menetapkan Jenis Dasar untuk Memberi Akses (benarkan akses)

Sekarang pilih tab Syarat. Seperti yang dicadangkan oleh namanya, tab Syarat membolehkan anda menentukan syarat yang mesti dipenuhi oleh komputer klien untuk memohon permohonan. dasar ini. Putar senarai keadaan yang mungkin ke Perlindungan Akses Rangkaian, dan kemudian pilih pilihan Templat SHV yang terletak di bawahnya. Selepas ini, senarai juntai bawah Templat Sedia Ada akan muncul dalam tetingkap butiran. Pilih pilihan Mematuhi daripada senarai juntai bawah dan klik butang Tambah. Syarat yang digunakan dalam tetingkap dasar ini kini akan menunjukkan bahawa status Kesihatan Komputer adalah "Mematuhi", seperti yang ditunjukkan dalam Rajah B. Ini bermakna bahawa untuk dilindungi oleh polisi ini, komputer pelanggan mesti memenuhi kriteria yang diterangkan dalam polisi. Mematuhi, yang anda buat di bahagian sebelumnya artikel ini. Lebih khusus lagi, ini bermakna Windows Firewall mesti didayakan pada komputer klien.

Rajah B Untuk melayakkan diri, komputer pelanggan mesti memenuhi keperluan yang diterangkan dalam dasar Mematuhi yang kami buat di bahagian sebelumnya artikel ini.

Sekarang pilih tab Tetapan pada halaman sifat. Tab Tetapan mengandungi pelbagai tetapan, yang mesti digunakan pada komputer untuk memenuhi syarat yang dinyatakan sebelum ini. Kerana Dasar ini akan digunakan pada komputer yang memenuhi dasar keselamatan rangkaian, maka kami mesti mengalih keluar semua sekatan daripada tetapan supaya komputer boleh mengakses rangkaian.

Untuk melakukan ini, pergi ke Perlindungan Akses Rangkaian | Penguatkuasaan NAP. Sekarang pilih butang Jangan Kuatkuasakan seperti yang ditunjukkan dalam Rajah C. Ini akan menghalang komputer yang serasi daripada mengakses sumber rangkaian.

Rajah C NAP tidak boleh digunakan untuk komputer yang memenuhi keperluan

Sebaik sahaja anda telah memilih pilihan Jangan Kuat Kuasa, navigasi dalam pepohon konsol ke Kekangan | Kaedah Pengesahan. Satu set medan akan muncul serta-merta dalam tetingkap butiran, setiap satu daripadanya sepadan dengan kaedah pengesahan yang berbeza. Teruskan dan nyahtanda semua kotak, tetapi biarkan kotak EAP ditandakan. Semak kotak Kaedah EAP dan klik butang Tambah. Pilih pilihan Kata Laluan Selamat (EAP-MSCHAP v2) dan klik pada butang OK dua kali untuk menutup pelbagai kotak dialog yang terbuka semasa proses. Klik pada butang OK sekali lagi untuk menyimpan templat yang anda buat.

Jadi, kami telah mencipta templat untuk komputer yang memenuhi syarat, kini kami perlu mencipta templat yang serupa untuk komputer yang tidak memenuhi syarat. Untuk melakukan ini, klik kanan pada bekas Dasar Kebenaran dalam pokok konsol dan pilih Baharu | Tersuai daripada menu konteks lungsur turun. Akibatnya, tetingkap Sifat Dasar Kebenaran Baharu yang sudah biasa akan dibuka.

Seperti dalam kes sebelumnya, perkara pertama yang perlu kita lakukan ialah memasukkan nama untuk dasar yang anda buat. Mari kita panggil dasar ini Tidak Patuh-Terhad. Walaupun kami membuat dasar yang terhad, anda masih mesti memilih jenis dasar Geran Akses. Sila ambil perhatian bahawa ini tidak menjamin akses rangkaian, sebaliknya membenarkan pemprosesan dasar diteruskan.

Sekarang pilih tab Syarat. Apabila kami membuat dasar kebenaran untuk komputer yang memenuhi syarat, kami mencipta syarat yang memerlukan komputer untuk memenuhi keperluan templat patuh yang kami buat dalam artikel sebelumnya. Kerana Dasar ini adalah untuk komputer yang tidak memenuhi syarat, maka anda mesti memastikan bahawa konfigurasi komputer pelanggan memenuhi syarat yang diterangkan dalam templat Tidak Mematuhi. Khususnya, ini bermakna Windows Firewall dimatikan pada komputer klien.

Pilih Perlindungan Akses Rangkaian daripada senarai syarat yang tersedia, dan kemudian pilih bekas Templat SHV. Pilih pilihan Tidak Mematuhi daripada senarai templat sedia ada, dan kemudian klik butang Tambah.

Seterusnya, pilih tab Tetapan dan navigasi ke Kekangan | Kaedah Pengesahan. Dalam tetingkap butiran anda boleh melihat satu set medan, yang setiap satu sepadan dengannya kaedah tertentu kaedah pengesahan. Nyahtanda semua kotak, tetapi biarkan kotak EAP ditandakan. Tandai kotak Kaedah EAP dan kemudian klik butang Tambah. Pilih pilihan Kata Laluan Selamat (EAP-MSCHAP v2) dan klik OK dua kali untuk menutup semua kotak dialog yang tidak diperlukan.

Jadi, semua yang kami lakukan untuk dasar untuk komputer yang tidak memenuhi syarat adalah sama persis dengan dasar yang kami buat untuk komputer yang memenuhi syarat, kecuali untuk menentukan templat SHV yang berbeza. Jika kami membiarkan dasar ini seperti sekarang, komputer yang tidak memenuhi syarat juga akan dibenarkan akses kepada rangkaian. Kerana kita tidak mahu ini berlaku, maka kita mesti menggunakan pengerasan NAP untuk menafikan akses kepada rangkaian.

Untuk melakukan ini, pilih bekas Penguatkuasaan NAP, yang boleh didapati dalam senarai Tetapan Tersedia. Anda kemudian akan dapat melihat pelbagai tetapan dalam tetingkap Butiran. Pilih tetapan Kuatkuasakan, dan kemudian tandai kotak semak Kemas Kini Komputer Tidak Mematuhi Secara Automatik, seperti yang ditunjukkan dalam Rajah D. Klik OK untuk menyimpan dasar yang anda buat.

Rajah D Anda mesti mengukuhkan perlindungan NAP untuk komputer yang tidak memenuhi syarat

dasar pengesahan lalai

Dalam artikel sebelumnya dalam siri ini, saya menunjukkan kepada anda cara membuat dasar kebenaran untuk kedua-dua komputer yang memenuhi dasar keselamatan dan komputer yang tidak memenuhi dasar keselamatan. Dalam artikel ini, kami akan melengkapkan prosedur konfigurasi pelayan. Untuk melakukan ini, pada peringkat pertama anda perlu membuat dasar pengesahan lalai, yang boleh digunakan pada mana-mana mesin yang mengesahkan ke pelayan RRAS.

Mari kita mulakan proses dengan membuka konsol Pelayan Dasar Rangkaian dan pergi ke NPS (Tempatan) | Pemprosesan Pengesahan | Dasar Pengesahan. Selepas ini, tetingkap akan memaparkan semua dasar pengesahan sedia ada sebelum ini. Pilih dasar yang sedia ada, klik kanan padanya, dan kemudian pilih perintah Padam daripada menu konteks.

Kini tiba masanya untuk membuat dasar pengesahan lalai. Untuk melakukan ini, klik pada pautan Baharu, yang terletak dalam tetingkap Tindakan, dan pilih pilihan Tersuai. Windows akan memaparkan tetingkap sifat Dasar Pengesahan Baharu, yang boleh dilihat dalam Rajah A.

Rajah A: Masukkan RRAS sebagai nama polisi, kemudian percaya bahawa polisi itu disambungkan

Masukkan RRAS sebagai nama dasar, dan kemudian pastikan kotak Didayakan Dasar ditandakan. Seterusnya, pastikan butang Sumber Tersedia dipilih, dan kemudian pilih tetapan Pelayan Akses Jauh (VPN-Dail) daripada senarai juntai bawah Sumber Tersedia.

Sekarang, pergi ke tab Tetapan dan pilih bekas Pengesahan daripada pokok konsol. Sekarang semak kotak Gantikan Tetapan Pengesahan daripada Dasar Kebenaran. Selepas ini, pelbagai kaedah pengesahan akan muncul dalam tetingkap, seperti yang ditunjukkan dalam Rajah B. Pilih medan EAP, dan kemudian klik pada butang Kaedah EAP.

Rajah B: Pilih medan EAP dan klik pada butang Kaedah EAP

Windows kini akan memaparkan kotak dialog Select EAP Providers. Klik butang Tambah untuk membuka senarai kaedah pengesahan EAP. Pilih EAP-MSCHAPv2 dan Protected EAP (PEAP) daripada senarai dan klik pada butang OK. Kaedah pengesahan EAP yang dipilih harus muncul dalam kotak dialog Select EAP Providers, seperti yang ditunjukkan dalam Rajah C. Klik OK untuk meneruskan.

Rajah C: Anda mesti mendayakan pengesahan MSCHAPv2 dan PEAP

Sekarang pergi ke tab Syarat. Anda mesti memilih sekurang-kurangnya satu syarat yang mesti dipenuhi untuk polisi itu digunakan. Anda boleh menetapkan apa-apa syarat yang anda suka, tetapi saya syorkan pergi dalam pepohon konsol ke Connection Properties | Jenis Terowong dan semak medan Protokol Terowong Titik ke Titik dan Lapisan Dua Protokol Terowong, dan kemudian klik butang Tambah. Ini akan menggunakan dasar pengesahan baharu pada sambungan VPN. Klik pada butang OK untuk menyimpan dasar pengesahan baharu yang baru anda buat.

Dasar Konfigurasi Pelanggan RADIUS

Dengan jenis pemasangan ini, Pelayan Dasar Rangkaian beroperasi sebagai pelayan RADIUS. Tidak seperti pelanggan yang melakukan pengesahan RADIUS terus terhadap Pelayan Dasar Rangkaian, pelayan RRAS yang berjalan sebagai pelayan VPN akan dijalankan sebagai klien RADIUS.

Langkah terakhir dalam proses konfigurasi pelayan ialah menyediakan Pelayan Dasar Rangkaian dengan senarai pelanggan RADIUS yang dibenarkan. Kerana satu-satunya pelanggan RADIUS ialah pelayan VPN, kemudian anda hanya masukkan alamat IP pelayan VPN. Kerana Perkhidmatan RRAS dijalankan pada pelayan fizikal yang sama seperti Perkhidmatan Dasar Rangkaian, kemudian anda hanya menggunakan alamat IP pelayan.

Untuk mencipta Dasar Konfigurasi Pelanggan RADIUS, navigasi dalam pepohon konsol Pelayan Dasar Rangkaian ke NPS (Tempatan) | Pelanggan RADIUS. Kemudian klik pada pautan Klien RADIUS Baharu, yang boleh didapati dalam tetingkap Tindakan. Windows akan melancarkan Wizard Klien RADIUS Baharu.

Dalam tetingkap pertama wizard, anda perlu menentukan nama dan alamat IP untuk klien RADIUS baharu. Apabila memasang dalam keadaan sebenar, anda mesti memasukkan RRAS sebagai nama, dan juga masukkan alamat IP pelayan RRAS dalam medan alamat IP. Seperti yang anda ingat, kami menggunakan persekitaran ujian dan RRAS berjalan pada pelayan yang sama seperti Perkhidmatan Dasar Rangkaian. Oleh itu, masukkan alamat IP pelayan dalam medan yang sesuai dan klik pada butang Seterusnya.

Selepas ini, tetingkap Maklumat Tambahan akan muncul. Dalam tetingkap ini anda perlu menentukan vendor pelanggan dan rahsia kongsi. Pilih RADIUS Standard sebagai Penjual Pelanggan. Untuk tujuan artikel ini, anda boleh mengekalkan RRASS sebagai rahsia kongsi. Semak kotak Client is NAP Capable seperti yang ditunjukkan dalam Rajah D dan klik butang Selesai. Anda akhirnya telah mengkonfigurasi Pelayan Dasar Rangkaian anda!

Rajah D: Masukkan rahsia kongsi dan tandai kotak Client is NAP Capable

Persediaan pelanggan

Sekarang setelah kita selesai mengkonfigurasi Pelayan Dasar Rangkaian, tiba masanya untuk beralih kepada mengkonfigurasi klien untuk menyambung ke pelayan. Ingat bahawa teknik yang saya akan beritahu anda ini hanya berfungsi pada klien yang menjalankan sistem pengendalian Windows Vista.

Untuk tujuan artikel ini, saya akan menganggap bahawa komputer pelanggan menjalankan Windows Vista dan ia mempunyai alamat IP statik. Seperti yang anda ketahui, Windows Vista direka bentuk untuk berfungsi dengan IPv6 secara lalai. Alat Perlindungan Akses Rangkaian akhirnya sepatutnya menyokong IPv6, tetapi... Sistem pengendalian Windows Windows 2008 Server masih dalam ujian, IPv6 tidak disokong pada masa ini apabila ia berkaitan dengan perlindungan capaian Rangkaian. Oleh itu, anda harus melumpuhkan IPv6 dalam tetapan rangkaian komputer anda. Apabila Pelayan Windows 2008 dikeluarkan, saya berhasrat untuk menulis kemas kini kepada siri artikel ini yang akan menumpukan pada penggunaan IPv6 dan semua yang telah berubah sejak versi ujian.

Komputer pelanggan juga mesti menjadi ahli domain yang mengandungi Pelayan Dasar Rangkaian. Selain itu, domain mesti mengandungi akaun pengguna ( pengguna akaun), yang boleh anda gunakan untuk log masuk ke Pelayan Penghalaan dan Akses Jauh yang anda buat.

Sekarang mari kita buat sambungan Rangkaian Peribadi Maya yang akhirnya anda boleh gunakan untuk menguji pelayan Perlindungan Akses Rangkaian. Untuk melakukan ini, buka Panel Kawalan dan klik pada pautan Rangkaian dan Internet, dan kemudian pada pautan Pusat Rangkaian ( pusat rangkaian). Selepas melancarkan Pusat Rangkaian, klik pada pautan Sediakan Sambungan atau Rangkaian. Tetingkap akan muncul di mana anda mesti menentukan jenis sambungan yang anda ingin buat. Pilih tetapan Sambung ke Tempat Kerja dan klik butang Seterusnya.

Pilih pilihan untuk disambungkan menggunakan VPN, dan anda perlu menentukan alamat Internet dan nama destinasi. Anda mesti memasukkan alamat IP pelayan RRAS dalam medan Alamat Internet. Anda boleh memasukkan sebarang nama dalam medan Nama Destinasi. Tandai kotak semak Benarkan Orang Lain menggunakan Sambungan ini dan klik butang Seterusnya. Anda kini mesti menyediakan nama pengguna dan kata laluan untuk pengguna yang mempunyai kebenaran untuk log masuk ke pelayan RRAS, serta nama domain yang anda akan log masuk.

Klik butang Sambung dan Vista akan cuba menyambung ke pelayan RRAS anda. Kemungkinan besar sambungan itu tidak akan berlaku. Jika anda menerima mesej yang mengatakan bahawa wizard tidak boleh menyambung ke stesen kerja anda, klik pada ikon Tetapkan Sambungan Bagaimanapun. Ini akan menyimpan tetapan anda supaya kami boleh menyelesaikan konfigurasinya kemudian dalam artikel seterusnya dalam siri ini.

Sambungan VPN kepada klien yang menjalankan Windows Vista

Mari kita mulakan proses persediaan dengan melancarkan Panel Kawalan, dan klik pada pautan Rangkaian dan Internet, dan kemudian pada pautan Rangkaian dan Pusat Perkongsian. Apabila tetingkap Rangkaian dan Pusat Perkongsian dibuka, klik pada pautan Urus Sambungan Rangkaian. Anda seharusnya melihat tetingkap yang menunjukkan semua sambungan rangkaian anda, serta sambungan VPN yang anda buat di bahagian terakhir artikel ini.

Rajah A: Anda mesti mengkonfigurasi sambungan anda untuk menggunakan tetapan keselamatan Lanjutan (Tetapan Tersuai)

Rajah B: Anda mesti mengkonfigurasi keselamatan sambungan VPN anda dan menggunakan Protection EAP (PEAP) (Encryption Enabled)

Rajah C: Halaman Properties EAP yang Dilindungi membolehkan anda mengkonfigurasi tetapan untuk Protokol Pengesahan Boleh Diperluas.

Menyemak Perlindungan Akses Rangkaian

Seperti yang anda ingat, kami menukar konfigurasi pelayan dasar rangkaian kami supaya komputer yang tidak mematuhi dasar dibetulkan secara automatik. Kami juga mengkonfigurasi pelayan dasar rangkaian kami supaya satu-satunya kriteria ialah tembok api Windows telah didayakan. Oleh itu, anda mesti melumpuhkan tembok api pada mesin klien dan kemudian menyambung ke pelayan dasar rangkaian yang menggunakan sambungan VPN yang anda buat. Selepas ini, tembok api pada mesin pelanggan hendaklah didayakan secara automatik.

Mari kita mulakan dengan melumpuhkan firewall pada komputer klien. Untuk melakukan ini, buka Panel Kawalan dan klik pada pautan Keselamatan. Sekarang pilih pautan Windows Firewall untuk membuka kotak dialog Windows Firewall. Dengan mengandaikan bahawa Windows Firewall sudah berjalan, klik pautan Hidupkan atau Matikan Windows Firewall. Anda kini akan melihat kotak dialog yang membolehkan anda mendayakan atau melumpuhkan firewall. Pilih butang radio Mati (tidak disyorkan), seperti yang ditunjukkan dalam Rajah D, dan klik butang OK. Firewall Windows kini sepatutnya dilumpuhkan.

Rajah D: Pilih butang radio Mati (Tidak Disyorkan) dan klik pada butang OK untuk melumpuhkan firewall Windows

Memandangkan anda telah melumpuhkan Windows Firewall, anda perlu mewujudkan sambungan VPN dengan pelayan RRAS / NAP anda. Untuk melakukan ini, buka Panel Kawalan dan klik pada pautan Rangkaian dan Internet, dan kemudian pada pautan Rangkaian dan Pusat Perkongsian. Apabila tetingkap Rangkaian dan Pusat Perkongsian dibuka, klik pada pautan Urus Sambungan Rangkaian. Anda kini seharusnya melihat senarai sambungan tempatan stesen kerja anda dan sambungan VPN sedia ada.

Selepas tempoh masa yang singkat selepas sambungan diwujudkan, anda akan melihat mesej berikut pada skrin:

Komputer Ini Tidak Memenuhi Keperluan Rangkaian Korporat. Akses Rangkaian Terhad (Komputer ini tidak memenuhi keperluan rangkaian korporat. Akses rangkaian terhad).

Anda boleh melihat mesej ini dalam Rajah E.

Rajah E: Jika tembok api dilumpuhkan, anda seharusnya melihat mesej ini selepas membuat sambungan VPN

Sejurus selepas ini, anda akan melihat ikon Windows Firewall berubah untuk menunjukkan bahawa firewall didayakan. Sebaik sahaja ini berlaku, anda akan melihat mesej lain:

Komputer Ini Memenuhi Keperluan Rangkaian Korporat. Anda Mempunyai Akses Rangkaian Penuh (Komputer ini memenuhi keperluan rangkaian korporat. Anda mempunyai akses penuh kepada rangkaian).

Anda boleh melihat mesej ini dalam Rajah F.

Rajah F: Apabila Pelayan NAP menyambungkan Windows Firewall, mesej ini akan muncul

Mesej yang ditunjukkan dalam Rajah F juga akan muncul apabila komputer anda yang mematuhi sepenuhnya perusahaan bersambung ke pelayan NAP menggunakan sambungan VPN.

Brian Posey