โรงเรียน Geek การเรียนรู้ Windows 7 - การเข้าถึงระยะไกล
ในส่วนสุดท้ายของซีรีส์เราได้ดูว่าคุณสามารถจัดการและใช้คอมพิวเตอร์ Windows ของคุณได้จากทุกที่ตราบเท่าที่คุณอยู่ในเครือข่ายเดียวกัน แต่ถ้าคุณไม่ใช่?
อย่าลืมอ่านบทความก่อนหน้านี้ในซีรี่ส์ Geek School บน Windows 7:
- แนะนำโรงเรียน How-To Geek
- การอัปเกรดและการย้ายข้อมูล
- การกำหนดค่าอุปกรณ์
- ผู้จัดการดิสก์
- การจัดการแอปพลิเคชัน
- การจัดการ Internet Explorer
- ที่อยู่ IP พื้นฐาน
- ระบบเครือข่าย
- เครือข่ายไร้สาย
- ไฟร์วอลล์หน้าต่าง
- การบริหารระยะไกล
และคอยติดตามซีรี่ย์ที่เหลือตลอดสัปดาห์นี้.
การป้องกันการเข้าถึงเครือข่าย
การป้องกันการเข้าถึงเครือข่ายเป็นความพยายามของ Microsoft ในการควบคุมการเข้าถึงทรัพยากรเครือข่ายตามสภาพของลูกค้าที่พยายามเชื่อมต่อกับพวกเขา ตัวอย่างเช่นในสถานการณ์ที่คุณเป็นผู้ใช้แล็ปท็อปอาจมีหลายเดือนที่คุณอยู่บนท้องถนนและไม่เชื่อมต่อแล็ปท็อปของคุณกับเครือข่ายองค์กรของคุณ ในช่วงเวลานี้ไม่มีการรับประกันว่าแล็ปท็อปของคุณจะไม่ติดไวรัสหรือมัลแวร์หรือคุณได้รับการอัพเดตคำจำกัดความต่อต้านไวรัส.
ในสถานการณ์นี้เมื่อคุณกลับไปที่สำนักงานและเชื่อมต่อเครื่องเข้ากับเครือข่าย NAP จะกำหนดสถานะของเครื่องโดยอัตโนมัติกับนโยบายที่คุณตั้งค่าไว้ในเซิร์ฟเวอร์ NAP เครื่องใดเครื่องหนึ่งของคุณ หากอุปกรณ์ที่เชื่อมต่อกับเครือข่ายล้มเหลวการตรวจสอบสุขภาพอุปกรณ์จะถูกย้ายโดยอัตโนมัติไปยังส่วนที่ จำกัด อย่างมากของเครือข่ายของคุณที่เรียกว่าเขตการแก้ไข เมื่ออยู่ในโซนการแก้ไขเซิร์ฟเวอร์การแก้ไขจะพยายามแก้ไขปัญหาเครื่องของคุณโดยอัตโนมัติ ตัวอย่างบางส่วนอาจเป็น:
- หากไฟร์วอลล์ของคุณถูกปิดใช้งานและนโยบายของคุณต้องการเปิดใช้งานเซิร์ฟเวอร์การแก้ไขจะเปิดใช้งานไฟร์วอลล์ของคุณ.
- หากนโยบายสุขภาพของคุณระบุว่าคุณต้องมีการอัปเดต Windows ล่าสุดและคุณไม่มีคุณอาจมีเซิร์ฟเวอร์ WSUS ในโซนการแก้ไขที่จะติดตั้งการอัปเดตล่าสุดบนไคลเอนต์ของคุณ.
เครื่องของคุณจะถูกย้ายกลับไปที่เครือข่ายองค์กรหากเซิร์ฟเวอร์ NAP ของคุณมีสุขภาพดี มีสี่วิธีที่แตกต่างกันที่คุณสามารถบังคับใช้ NAP แต่ละวิธีมีข้อดีของตัวเอง:
- VPN - การใช้วิธีบังคับใช้ VPN นั้นมีประโยชน์ใน บริษัท ที่คุณมีผู้ให้บริการสื่อสารทางไกลทำงานจากที่บ้านโดยใช้คอมพิวเตอร์ของตนเอง คุณไม่สามารถมั่นใจได้ว่าใครติดตั้งมัลแวร์บนพีซีที่คุณไม่สามารถควบคุมได้ เมื่อคุณใช้วิธีนี้สุขภาพของลูกค้าจะถูกตรวจสอบทุกครั้งที่พวกเขาเริ่มต้นการเชื่อมต่อ VPN.
- DHCP - เมื่อคุณใช้วิธีการบังคับใช้ DHCP ไคลเอนต์จะไม่ได้รับที่อยู่เครือข่ายที่ถูกต้องจากเซิร์ฟเวอร์ DHCP ของคุณจนกว่าพวกเขาจะถือว่าโครงสร้างพื้นฐาน NAP ของคุณแข็งแรง.
- IPsec - IPsec เป็นวิธีการเข้ารหัสการรับส่งข้อมูลเครือข่ายโดยใช้ใบรับรอง แม้ว่าจะไม่ธรรมดามากคุณสามารถใช้ IPsec เพื่อบังคับใช้ NAP.
- 802.1x - 802.1x บางครั้งเรียกว่าการรับรองความถูกต้องตามพอร์ตและเป็นวิธีการตรวจสอบสิทธิ์ไคลเอนต์ที่ระดับสวิตช์ การใช้ 802.1x เพื่อบังคับใช้นโยบาย NAP คือแนวปฏิบัติมาตรฐานในโลกปัจจุบัน.
การเชื่อมต่อผ่านสายโทรศัพท์
ด้วยเหตุผลบางอย่างในยุคนี้ Microsoft ยังต้องการให้คุณรู้เกี่ยวกับการเชื่อมต่อผ่านสายโทรศัพท์แบบดั้งเดิม การเชื่อมต่อแบบ Dial-up ใช้เครือข่ายโทรศัพท์อะนาล็อกหรือที่รู้จักกันในชื่อ POTS (Plain Old Telephone Service) เพื่อส่งข้อมูลจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง พวกเขาทำสิ่งนี้โดยใช้โมเด็มซึ่งเป็นการรวมกันของคำว่า modulate และ demodulate โมเด็มเชื่อมต่อกับพีซีของคุณตามปกติโดยใช้สายเคเบิล RJ11 และปรับเปลี่ยนกระแสข้อมูลดิจิตอลจากพีซีของคุณเป็นสัญญาณอะนาล็อกที่สามารถถ่ายโอนข้ามสายโทรศัพท์ได้ เมื่อสัญญาณมาถึงปลายทางแล้วมันจะถูก demodulated โดยโมเด็มอื่นและเปลี่ยนกลับเป็นสัญญาณดิจิตอลที่คอมพิวเตอร์สามารถเข้าใจได้ เพื่อสร้างการเชื่อมต่อผ่านสายโทรศัพท์คลิกขวาที่ไอคอนสถานะเครือข่ายและเปิดศูนย์เครือข่ายและการแบ่งปัน.
จากนั้นคลิกที่การตั้งค่าการเชื่อมต่อใหม่หรือเชื่อมโยงหลายมิติเครือข่าย.
ตอนนี้เลือกที่จะตั้งค่าการเชื่อมต่อผ่านสายโทรศัพท์และคลิกถัดไป.
จากที่นี่คุณสามารถกรอกข้อมูลทั้งหมดที่จำเป็น.
หมายเหตุ: หากคุณได้รับคำถามที่ต้องให้คุณตั้งค่าการเชื่อมต่อผ่านสายโทรศัพท์ในการสอบพวกเขาจะให้รายละเอียดที่เกี่ยวข้อง.
เครือข่ายส่วนตัวเสมือน
เครือข่ายส่วนตัวเสมือนเป็นอุโมงค์ส่วนตัวที่คุณสามารถสร้างผ่านเครือข่ายสาธารณะเช่นอินเทอร์เน็ตเพื่อให้คุณสามารถเชื่อมต่อกับเครือข่ายอื่นได้อย่างปลอดภัย.
ตัวอย่างเช่นคุณอาจสร้างการเชื่อมต่อ VPN จากพีซีในเครือข่ายภายในบ้านของคุณไปยังเครือข่ายองค์กรของคุณ วิธีนี้จะปรากฏราวกับว่าพีซีในเครือข่ายภายในบ้านของคุณเป็นส่วนหนึ่งของเครือข่ายองค์กรของคุณ ในความเป็นจริงคุณสามารถเชื่อมต่อกับเครือข่ายแชร์และเช่นถ้าคุณนำพีซีของคุณและเสียบเข้ากับเครือข่ายที่ทำงานด้วยสายอีเธอร์เน็ต ความแตกต่างเพียงอย่างเดียวคือความเร็วของหลักสูตร: แทนที่จะได้รับความเร็วของ Gigabit Ethernet ที่คุณต้องการหากคุณอยู่ในสำนักงานคุณจะถูก จำกัด ด้วยความเร็วในการเชื่อมต่อบรอดแบนด์ของคุณ.
คุณอาจสงสัยว่า“ อุโมงค์ส่วนตัว” เหล่านี้ปลอดภัยแค่ไหนเพราะ“ อุโมงค์” ผ่านทางอินเทอร์เน็ต ทุกคนสามารถดูข้อมูลของคุณได้หรือไม่ ไม่พวกเขาทำไม่ได้และนั่นเป็นเพราะเราเข้ารหัสข้อมูลที่ส่งผ่านการเชื่อมต่อ VPN ดังนั้นเครือข่ายชื่อ "ส่วนตัว" เสมือน โปรโตคอลที่ใช้ในการห่อหุ้มและเข้ารหัสข้อมูลที่ส่งผ่านเครือข่ายนั้นขึ้นอยู่กับคุณและ Windows 7 รองรับสิ่งต่อไปนี้:
หมายเหตุ: น่าเสียดายที่คำจำกัดความเหล่านี้คุณจะต้องรู้ด้วยใจสำหรับการสอบ.
- โปรโตคอลการอุโมงค์แบบจุดต่อจุด (PPTP) - โปรโตคอลแบบจุดต่อจุดช่วยให้ทราฟฟิกเครือข่ายถูกห่อหุ้มในส่วนหัวของ IP และส่งข้ามเครือข่าย IP เช่นอินเทอร์เน็ต.
- encapsulation: เฟรม PPP ถูกห่อหุ้มในดาตาแกรม IP โดยใช้ GRE เวอร์ชันดัดแปลง.
- การเข้ารหัสลับ: เฟรม PPP ถูกเข้ารหัสโดยใช้การเข้ารหัสแบบจุดต่อจุด (MPPE) ของ Microsoft คีย์การเข้ารหัสถูกสร้างขึ้นในระหว่างการตรวจสอบความถูกต้องที่ Microsoft Challenge Handshake Authentication Protocol รุ่น 2 (MS-CHAP v2) หรือ Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) โปรโตคอลที่ใช้.
- โปรโตคอลการทันเนลของเลเยอร์ 2 (L2TP) - L2TP เป็นโปรโตคอลทันเนลที่ปลอดภัยที่ใช้สำหรับการขนส่งเฟรม PPP โดยใช้ Internet Protocol ซึ่งบางส่วนนั้นใช้ PPTP แตกต่างจาก PPTP การใช้งาน Microsoft ของ L2TP ไม่ใช้ MPPE เพื่อเข้ารหัสเฟรม PPP L2TP ใช้ IPsec ในโหมดการขนส่งแทนสำหรับบริการเข้ารหัส การรวมกันของ L2TP และ IPsec เรียกว่า L2TP / IPsec.
- encapsulation: เฟรม PPP จะถูกล้อมด้วยส่วนหัว L2TP ก่อนแล้วจึงเป็นส่วนหัว UDP ผลลัพธ์จะถูกห่อหุ้มโดยใช้ IPSec.
- การเข้ารหัสลับ: ข้อความ L2TP ถูกเข้ารหัสด้วยการเข้ารหัส AES หรือ 3DES โดยใช้คีย์ที่สร้างขึ้นจากกระบวนการเจรจา IKE.
- โปรโตคอล Secure Socket Tunneling (SSTP) - SSTP เป็นโปรโตคอลการทันเนลที่ใช้ HTTPS เนื่องจากพอร์ต TCP 443 เปิดอยู่ในไฟร์วอลล์ขององค์กรส่วนใหญ่จึงเป็นตัวเลือกที่ยอดเยี่ยมสำหรับประเทศเหล่านั้นที่ไม่อนุญาตการเชื่อมต่อ VPN แบบดั้งเดิม มีความปลอดภัยมากเนื่องจากใช้ใบรับรอง SSL สำหรับการเข้ารหัส.
- encapsulation: เฟรม PPP ถูกห่อหุ้มในดาตาแกรม IP.
- การเข้ารหัสลับ: ข้อความ SSTP ถูกเข้ารหัสโดยใช้ SSL.
- การแลกเปลี่ยนคีย์อินเทอร์เน็ต (IKEv2) - IKEv2 เป็นโปรโตคอลทันเนลที่ใช้โปรโตคอลโหมด IPsec Tunnel ผ่านพอร์ต UDP 500.
- encapsulation: IKEv2 ห่อหุ้มดาตาแกรมโดยใช้ IPSec ESP หรือส่วนหัว AH.
- การเข้ารหัสลับ: ข้อความถูกเข้ารหัสด้วยการเข้ารหัส AES หรือ 3DES โดยใช้คีย์ที่สร้างขึ้นจากกระบวนการเจรจา IKEv2.
ข้อกำหนดของเซิร์ฟเวอร์
หมายเหตุ: คุณสามารถตั้งค่าระบบปฏิบัติการอื่น ๆ ให้เป็นเซิร์ฟเวอร์ VPN ได้อย่างชัดเจน อย่างไรก็ตามนี่เป็นข้อกำหนดเพื่อให้เซิร์ฟเวอร์ Windows VPN ทำงานอยู่.
ในการอนุญาตให้ผู้คนสร้างการเชื่อมต่อ VPN ไปยังเครือข่ายของคุณคุณต้องมีเซิร์ฟเวอร์ที่ใช้ Windows Server และมีบทบาทต่อไปนี้ติดตั้ง:
- การกำหนดเส้นทางและการเข้าถึงระยะไกล (RRAS)
- เซิร์ฟเวอร์นโยบายเครือข่าย (NPS)
คุณจะต้องตั้งค่า DHCP หรือจัดสรรพูล IP แบบสแตติกที่เครื่องที่เชื่อมต่อผ่าน VPN สามารถใช้ได้.
การสร้างการเชื่อมต่อ VPN
ในการเชื่อมต่อกับเซิร์ฟเวอร์ VPN ให้คลิกขวาที่ไอคอนสถานะเครือข่ายและเปิดศูนย์เครือข่ายและการแชร์.
จากนั้นคลิกที่การตั้งค่าการเชื่อมต่อใหม่หรือเชื่อมโยงหลายมิติเครือข่าย.
ตอนนี้เลือกที่จะเชื่อมต่อกับที่ทำงานแล้วคลิกถัดไป.
จากนั้นเลือกที่จะใช้การเชื่อมต่อบรอดแบนด์ที่มีอยู่.
P
ตอนนี้คุณจะต้องป้อน IP หรือชื่อ DNS ของเซิร์ฟเวอร์ VPN ในเครือข่ายที่คุณต้องการเชื่อมต่อ จากนั้นคลิกถัดไป.
จากนั้นป้อนชื่อผู้ใช้และรหัสผ่านของคุณแล้วคลิกเชื่อมต่อ.
เมื่อคุณเชื่อมต่อแล้วคุณจะสามารถดูว่าคุณเชื่อมต่อกับ VPN หรือไม่โดยคลิกที่ไอคอนสถานะเครือข่าย.
การบ้าน
- อ่านบทความต่อไปนี้บน TechNet ซึ่งจะแนะนำคุณเกี่ยวกับการวางแผนความปลอดภัยสำหรับ VPN.
หมายเหตุ: การบ้านวันนี้มีขอบเขตเล็กน้อยสำหรับการสอบ 70-680 แต่จะทำให้คุณเข้าใจอย่างถ่องแท้ว่าเกิดอะไรขึ้นเบื้องหลังเมื่อคุณเชื่อมต่อ VPN จาก Windows 7.
หากคุณมีคำถามใด ๆ คุณสามารถทวีตฉัน @taybgibb หรือเพียงแค่แสดงความคิดเห็น.