Geek School Learning Windows 7 - Fernzugriff
Im letzten Teil der Serie haben wir untersucht, wie Sie Ihre Windows-Computer von überall aus verwalten und verwenden können, solange Sie sich im selben Netzwerk befinden. Aber wenn nicht??
Schauen Sie sich die vorherigen Artikel in dieser Geek School-Serie unter Windows 7 an:
- Einführung in die How-To-Geek School
- Upgrades und Migrationen
- Geräte konfigurieren
- Festplatten verwalten
- Anwendungen verwalten
- Internet Explorer verwalten
- Grundlagen der IP-Adressierung
- Vernetzung
- Drahtlose Vernetzung
- Windows-Firewall
- Remote-Verwaltung
Und bleiben Sie die ganze Woche über auf dem Laufenden.
Netzwerkzugriffsschutz
Network Access Protection (Netzwerkzugriffsschutz) ist der Versuch von Microsoft, den Zugriff auf Netzwerkressourcen basierend auf dem Zustand des Clients zu steuern, der versucht, eine Verbindung zu ihnen herzustellen. In einer Situation, in der Sie ein Laptopbenutzer sind, kann es beispielsweise vorkommen, dass Sie viele Monate unterwegs sind und Ihren Laptop nicht an Ihr Unternehmensnetzwerk anschließen. Während dieser Zeit kann nicht garantiert werden, dass Ihr Laptop nicht mit Viren oder Malware infiziert wird oder dass Sie sogar Antiviren-Updates erhalten.
Wenn Sie sich wieder im Büro befinden und den Computer mit dem Netzwerk verbinden, ermittelt NAP automatisch den Zustand des Computers anhand einer auf einem Ihrer NAP-Server eingerichteten Richtlinie. Wenn das Gerät, das mit dem Netzwerk verbunden ist, die Integritätsprüfung nicht besteht, wird es automatisch in einen Bereich mit eingeschränktem Zugriff verschoben, der als Korrekturzone bezeichnet wird. Wenn sich der Wartungsserver in der Wartungszone befindet, versucht er automatisch, das Problem mit Ihrem Computer zu beheben. Einige Beispiele könnten sein:
- Wenn Ihre Firewall deaktiviert ist und Ihre Richtlinie eine Aktivierung erfordert, aktivieren die Wartungsserver Ihre Firewall für Sie.
- Wenn Ihre Integritätsrichtlinie besagt, dass Sie über die neuesten Windows-Updates verfügen müssen und dies nicht, verfügen Sie möglicherweise über einen WSUS-Server in Ihrer Wartungszone, der die neuesten Updates auf Ihrem Client installiert.
Ihr Computer wird nur dann wieder in das Unternehmensnetzwerk verschoben, wenn dies von Ihren NAP-Servern als fehlerfrei eingestuft wird. Sie können NAP auf vier verschiedene Arten durchsetzen, von denen jede ihre eigenen Vorteile hat:
- VPN - Die Verwendung der VPN-Erzwingungsmethode ist in Unternehmen nützlich, in denen Telearbeiter von zu Hause aus arbeiten und ihre eigenen Computer verwenden. Sie können nie sicher sein, welche Malware jemand auf einem PC installiert, auf den Sie keinen Einfluss haben. Wenn Sie diese Methode verwenden, wird der Zustand eines Clients jedes Mal überprüft, wenn eine VPN-Verbindung hergestellt wird.
- DHCP - Wenn Sie die DHCP-Erzwingungsmethode verwenden, erhält ein Client von Ihrem DHCP-Server keine gültigen Netzwerkadressen, bis er von Ihrer NAP-Infrastruktur als fehlerfrei eingestuft wurde.
- IPsec - IPsec ist eine Methode zum Verschlüsseln des Netzwerkverkehrs mit Zertifikaten. Obwohl dies nicht sehr verbreitet ist, können Sie IPSec auch zur Durchsetzung von NAP verwenden.
- 802.1x - 802.1x wird manchmal auch als portbasierte Authentifizierung bezeichnet und ist eine Methode zur Authentifizierung von Clients auf Switch-Ebene. Die Verwendung von 802.1x zum Erzwingen einer NAP-Richtlinie ist in der heutigen Welt Standard.
DFÜ-Verbindungen
Aus irgendeinem Grund möchte Microsoft heutzutage immer noch wissen, dass Sie über diese primitiven DFÜ-Verbindungen Bescheid wissen. DFÜ-Verbindungen verwenden das analoge Telefonnetz, auch bekannt als POTS (Plain Old Telephone Service), um Informationen von einem Computer zum anderen zu übermitteln. Sie tun dies mit einem Modem, einer Kombination der Wörter modulieren und demodulieren. Das Modem wird normalerweise über ein RJ11-Kabel an Ihren PC angeschlossen und moduliert die digitalen Informationsströme von Ihrem PC in ein analoges Signal, das über die Telefonleitungen übertragen werden kann. Wenn das Signal sein Ziel erreicht, wird es von einem anderen Modem demoduliert und in ein digitales Signal umgewandelt, das der Computer verstehen kann. Um eine DFÜ-Verbindung herzustellen, klicken Sie mit der rechten Maustaste auf das Netzwerkstatussymbol und öffnen Sie das Netzwerk- und Freigabecenter.
Klicken Sie dann auf den Hyperlink Neue Verbindung oder Netzwerk einrichten.
Wählen Sie nun Einrichten einer DFÜ-Verbindung und klicken Sie auf Weiter.
Von hier aus können Sie alle erforderlichen Informationen eingeben.
Hinweis: Wenn Sie eine Frage erhalten, bei der Sie eine DFÜ-Verbindung für die Prüfung einrichten müssen, erhalten Sie die entsprechenden Details.
Virtuelle private Netzwerke
Virtuelle private Netzwerke sind private Tunnel, die Sie über ein öffentliches Netzwerk wie das Internet einrichten können, um eine sichere Verbindung zu einem anderen Netzwerk herzustellen.
Sie können beispielsweise eine VPN-Verbindung von einem PC in Ihrem Heimnetzwerk zu Ihrem Unternehmensnetzwerk herstellen. Auf diese Weise scheint es, als ob der PC in Ihrem Heimnetzwerk tatsächlich Teil Ihres Unternehmensnetzwerks wäre. Sie können sogar eine Verbindung zu Netzwerkfreigaben herstellen, z. B. wenn Sie Ihren PC mit einem Ethernet-Kabel physisch an Ihr Arbeitsnetzwerk angeschlossen hätten. Der einzige Unterschied ist natürlich die Geschwindigkeit: Anstatt die Gigabit-Ethernet-Geschwindigkeit zu erreichen, die Sie bei einem physischen Aufenthalt im Büro erreichen würden, sind Sie durch die Geschwindigkeit Ihrer Breitbandverbindung eingeschränkt.
Sie fragen sich wahrscheinlich, wie sicher diese „privaten Tunnel“ sind, seit sie über das Internet „tunneln“. Kann jeder Ihre Daten sehen? Nein, das geht nicht, und das ist so, weil wir die über eine VPN-Verbindung gesendeten Daten verschlüsseln, daher der Name virtuelles "privates" Netzwerk. Das Protokoll zum Einkapseln und Verschlüsseln der über das Netzwerk gesendeten Daten bleibt Ihnen überlassen. Windows 7 unterstützt Folgendes:
Hinweis: Leider müssen diese Definitionen für die Prüfung auswendig sein.
- Point-to-Point-Tunneling-Protokoll (PPTP) - Mit dem Point-to-Point-Tunneling-Protokoll kann der Netzwerkverkehr in einen IP-Header eingekapselt und über ein IP-Netzwerk wie das Internet gesendet werden.
- Verkapselung: PPP-Frames werden in einem IP-Datagramm mit einer geänderten GRE-Version gekapselt.
- Verschlüsselung: PPP-Frames werden mit Microsoft Point-to-Point-Verschlüsselung (MPPE) verschlüsselt. Verschlüsselungsschlüssel werden während der Authentifizierung generiert, wenn die Protokolle des Microsoft Challenge Handshake-Authentifizierungsprotokolls der Version 2 (MS-CHAP v2) oder der Extensible Authentication-Protokolltransportschicht (EAP-TLS) verwendet werden.
- Layer-2-Tunneling-Protokoll (L2TP) - L2TP ist ein sicheres Tunnelprotokoll, das zum Transport von PPP-Frames mit dem Internetprotokoll verwendet wird. Es basiert teilweise auf PPTP. Im Gegensatz zu PPTP verwendet die Microsoft-Implementierung von L2TP kein MPPE zum Verschlüsseln von PPP-Frames. Stattdessen verwendet L2TP IPsec im Transportmodus für Verschlüsselungsdienste. Die Kombination aus L2TP und IPsec wird als L2TP / IPsec bezeichnet.
- Verkapselung: PPP-Frames werden zuerst mit einem L2TP-Header und dann mit einem UDP-Header umbrochen. Das Ergebnis wird dann mit IPSec gekapselt.
- Verschlüsselung: L2TP-Nachrichten werden entweder mit AES- oder 3DES-Verschlüsselung unter Verwendung von Schlüsseln verschlüsselt, die vom IKE-Aushandlungsprozess generiert werden.
- Secure Socket Tunneling Protocol (SSTP) - SSTP ist ein Tunnelprotokoll, das HTTPS verwendet. Da der TCP-Port 443 auf den meisten Firewalls für Unternehmen offen ist, ist dies eine gute Wahl für Länder, die keine herkömmlichen VPN-Verbindungen zulassen. Es ist auch sehr sicher, da es SSL-Zertifikate zur Verschlüsselung verwendet.
- Verkapselung: PPP-Frames sind in IP-Datagrammen gekapselt.
- Verschlüsselung: SSTP-Nachrichten werden mit SSL verschlüsselt.
- Internet-Schlüsselaustausch (IKEv2) - IKEv2 ist ein Tunnelprotokoll, das das IPsec-Tunnelmodusprotokoll über den UDP-Port 500 verwendet.
- Verkapselung: IKEv2 kapselt Datagramme mit IPSec ESP- oder AH-Headern.
- Verschlüsselung: Nachrichten werden entweder mit AES- oder 3DES-Verschlüsselung verschlüsselt, wobei Schlüssel verwendet werden, die vom IKEv2-Aushandlungsprozess generiert werden.
Serveranforderungen
Hinweis: Natürlich können andere Betriebssysteme als VPN-Server eingerichtet sein. Dies ist jedoch die Voraussetzung, um einen Windows VPN-Server zum Laufen zu bringen.
Damit andere Personen eine VPN-Verbindung zu Ihrem Netzwerk herstellen können, benötigen Sie einen Server, auf dem Windows Server ausgeführt wird. Folgende Rollen sind installiert:
- Routing und Fernzugriff (RRAS)
- Netzwerkrichtlinienserver (NPS)
Sie müssen außerdem entweder DHCP einrichten oder einen statischen IP-Pool zuweisen, den Computer verwenden können, die eine Verbindung über VPN herstellen.
Eine VPN-Verbindung erstellen
Um eine Verbindung zu einem VPN-Server herzustellen, klicken Sie mit der rechten Maustaste auf das Netzwerkstatussymbol und öffnen Sie das Netzwerk- und Freigabecenter.
Klicken Sie dann auf den Hyperlink Neue Verbindung oder Netzwerk einrichten.
Wählen Sie nun die Verbindung zu einem Arbeitsplatz aus und klicken Sie auf Weiter.
Dann können Sie Ihre vorhandene Breitbandverbindung verwenden.
P
Jetzt müssen Sie den IP- oder DNS-Namen des VPN-Servers in dem Netzwerk eingeben, zu dem Sie eine Verbindung herstellen möchten. Klicken Sie dann auf Weiter.
Geben Sie dann Ihren Benutzernamen und Ihr Passwort ein und klicken Sie auf Verbinden.
Sobald Sie eine Verbindung hergestellt haben, können Sie sehen, ob Sie mit einem VPN verbunden sind, indem Sie auf das Netzwerkstatussymbol klicken.
Hausaufgaben
- Lesen Sie den folgenden Artikel auf TechNet, der Sie durch die Planungssicherheit für ein VPN führt.
Hinweis: Heutige Hausaufgaben sind für die 70-680-Prüfung etwas zu wenig, aber Sie erhalten ein solides Verständnis dafür, was hinter der Szene passiert, wenn Sie von Windows 7 aus ein VPN anschließen.
Wenn Sie Fragen haben, können Sie mir @taybgibb twittern oder einfach einen Kommentar hinterlassen.