Služba Síťové zásady a přístup poskytuje následující řešení možnosti připojení k síti:
-
Architektura NAP (Network Access Protection). Architektura NAP je technologie vytváření, vynucení a nápravy problémů zásad stavu klienta, která je zahrnuta v klientském operačním systému Windows Vista® a v operačním systému Windows Server® 2008. S využitím architektury NAP mohou správci systému vytvořit a automaticky vynutit zásady stavu počítače, mezi které patří požadavky na software, požadavky na aktualizace zabezpečení, požadované konfigurace počítače a další nastavení. Klientským počítačům, které nesplňují zásady stavu, může být přidělen omezený přístup k síti, dokud nebude jejich konfigurace aktualizována a zásady splněny. V závislosti na zvoleném způsobu nasazení architektury NAP mohou být klienti neodpovídající zásadám automaticky aktualizováni, aby uživatelé mohli rychle znovu získat úplný přístup k síti bez nutnosti ruční aktualizace nebo změny konfigurace počítačů.
-
Zabezpečený bezdrátový a drátový přístup. Pokud nasadíte bezdrátové přístupové body 802.1X, poskytne zabezpečený bezdrátový přístup uživatelům bezdrátových sítí metodu zabezpečeného ověřování pomocí hesla, jejíž nasazení je snadné. V případě nasazení ověřovacích přepínačů 802.1X umožňuje drátový přístup zabezpečení sítě tím, že zajistí ověření intranetových uživatelů před jejich připojením k síti nebo získáním adresy IP pomocí protokolu DHCP.
-
Řešení vzdáleného přístupu. Díky řešení vzdáleného přístupu můžete uživatelům poskytnout virtuální privátní síť (VPN) a tradiční přístup k síti vaší organizace pomocí telefonického připojení. Můžete také pomocí řešení VPN připojit pobočky k síti, nasadit do sítě plnohodnotné softwarové směrovače a sdílet připojení k Internetu v rámci intranetu.
-
Centrální správa síťových zásad pomocí serveru a proxy serveru RADIUS. Není třeba konfigurovat zásady přístupu k síti na jednotlivých serverech pro přístup k síti, jako jsou bezdrátové přístupové body, ověřovací přepínače 802.1X, servery VPN a servery pro telefonické připojení. Zásady, které určují všechny aspekty požadavků na připojení k síti, včetně určení, kdo a kdy se může připojit a jakou úroveň zabezpečení je nutné k připojení k síti použít, můžete vytvořit na jediném místě.
Služby rolí pro službu Síťové zásady a přístup
Při instalaci služby Síťové zásady a přístup jsou k dispozici následující služby rolí:
-
Server NPS (Network Policy Server). Server NPS představuje implementaci serveru a proxy serveru RADIUS vytvořenou společností Microsoft. Pomocí serveru NPS je možné centrálně spravovat přístup k síti prostřednictvím řady různých serverů pro přístup k síti, k nimž patří bezdrátové přístupové body, servery VPN, servery pro telefonické připojení a ověřovací přepínače 802.1X. Server NPS můžete dále použít k nasazení zabezpečeného ověřování hesla protokolem PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 u bezdrátových připojení. Server NPS obsahuje také důležité součásti pro nasazení architektury NAP v síti.
Po instalaci služby rolí NPS lze nasadit následující technologie:
-
Server zásad stavu architektury NAP. Pokud nakonfigurujete server NPS jako server zásad stavu architektury NAP, vyhodnotí server NPS prohlášení o stavu (Statement of Health) odeslaná klientskými počítači s podporou architektury NAP, které chtějí komunikovat v síti. Na serveru NPS je možné nakonfigurovat zásady architektury NAP, které klientským počítačům umožní aktualizaci konfigurace na úroveň odpovídající síťovým zásadám v organizaci.
-
Bezdrátové připojení standardu IEEE 802.11. Pomocí modulu snap-in NPS konzoly MMC můžete nakonfigurovat zásady požadavků na připojení založená na protokolu 802.1X pro přístup klientů k bezdrátové síti IEEE 802.11. V modulu snap-in NPS je také možné nakonfigurovat bezdrátové přístupové body jako klienty služby RADIUS (Remote Authentication Dial-In User Service) a server NPS použít jako server RADIUS ke zpracování požadavků na připojení i k ověřování, autorizaci a monitorování účtů pro bezdrátová připojení protokolem 802.11. Po nasazení bezdrátové infrastruktury ověřování 802.1X lze bezdrátový přístup standardu IEEE 802.11 úplně integrovat s architekturou NAP a umožnit tak ověřování stavu bezdrátových klientů pomocí zásad stavu před povolením jejich připojení k síti.
-
Drátové připojení standardu IEEE 802.3. Pomocí modulu snap-in NPS konzoly MMC můžete nakonfigurovat zásady požadavků na připojení založená na protokolu 802.1X pro přístup klientů připojených kabelem k síti Ethernet standardu IEEE 802.3. V modulu snap-in NPS je také možné nakonfigurovat přepínače vyhovující protokolu 802.1X jako klienty služby RADIUS a server NPS použít jako server RADIUS ke zpracování požadavků na připojení i k ověřování, autorizaci a monitorování účtů pro připojení k síti Ethernet protokolem 802.3. Pokud nasadíte drátovou infrastrukturu ověřování 802.1X, můžete úplně integrovat přístup klientů připojených kabelem k síti IEEE 802.3 s architekturou NAP.
-
Server RADIUS. Server NPS provádí centralizované ověřování připojení, autorizaci a monitorování účtů pro bezdrátová připojení, ověřovací přepínače, vzdálený přístup pomocí telefonického připojení a připojení VPN. Pokud použijete server NPS jako server RADIUS, je třeba v modulu snap-in NPS nakonfigurovat servery pro přístup k síti, například bezdrátové přístupové body a servery VPN, jako klienty RADIUS. Je třeba nakonfigurovat také zásady sítě, které server NPS použije k autorizaci požadavků na připojení, a můžete také nakonfigurovat monitorování účtů RADIUS tak, aby server NPS protokoloval informace o monitorování účtů do souborů protokolů na místním pevném disku nebo v databázi serveru Microsoft® SQL Server™.
-
Proxy server RADIUS. Pokud použijete server NPS jako proxy server RADIUS, je třeba nakonfigurovat zásady požadavků na připojení, jež umožní serveru NPS určit, které požadavky na připojení mají být předávány jiným serverům RADIUS a kterým serverům RADIUS chcete požadavky na připojení předávat. Na serveru NPS můžete také nakonfigurovat předávání protokolování dat o monitorování účtů nejméně jednomu počítači ve vzdálené skupině serverů RADIUS.
-
Server zásad stavu architektury NAP. Pokud nakonfigurujete server NPS jako server zásad stavu architektury NAP, vyhodnotí server NPS prohlášení o stavu (Statement of Health) odeslaná klientskými počítači s podporou architektury NAP, které chtějí komunikovat v síti. Na serveru NPS je možné nakonfigurovat zásady architektury NAP, které klientským počítačům umožní aktualizaci konfigurace na úroveň odpovídající síťovým zásadám v organizaci.
-
Směrování a vzdálený přístup. Služba Směrování a vzdálený přístup umožňuje nasadit služby VPN a vzdáleného přístupu pomocí telefonického připojení a služby směrování pro více protokolů mezi místními sítěmi LAN, mezi sítěmi LAN a WAN a v sítích VPN a pro překlad síťových adres (NAT).
Během instalace služby rolí služby Směrování a vzdálený přístup lze nasadit následující technologie:
-
Služba vzdáleného přístupu. Pomocí služby Směrování a vzdálený přístup můžete nasadit připojení sítí VPN používající protokol PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) nebo L2TP (Layer Two Tunneling Protocol) s protokolem IPsec (Internet Protocol security), která uživatelům poskytnou vzdálený přístup k síti vaší organizace. Můžete vytvořit také připojení VPN mezi lokalitami mezi dvěma servery v různých umístěních. Na jednotlivých serverech je pomocí služby Směrování a vzdálený přístup nakonfigurováno zabezpečené odesílání privátních dat. Připojení mezi dvěma servery může být trvalé (vždy zapnuté) nebo na vyžádání (vyžádané volání).
Služba vzdáleného přístupu umožňuje také vzdálený přístup pomocí tradičního telefonického připojení a podporuje tak mobilní nebo domácí uživatele, kteří se k intranetům organizace připojují telefonicky. Příchozí požadavky na připojení klientů telefonického připojení k síti přijímá zařízení pro telefonické připojení, které je nainstalováno na serveru se spuštěnou službou Směrování a vzdálený přístup. Server vzdáleného přístupu přijme volání, ověří a autorizuje volajícího a přenese data mezi klientem telefonického připojení k síti a intranetem organizace.
-
Směrování. Služba směrování poskytuje plnohodnotný softwarový směrovač a otevřenou platformu pro směrování a propojení sítí. Tato služba nabízí služby směrování společnostem v prostředí místních sítí LAN a rozlehlých sítí WAN.
Pokud nasadíte překlad síťových adres (NAT), bude server se službou Směrování a vzdálený přístup nakonfigurován na sdílení připojení k Internetu s počítači v privátní síti a na překlad přenosů mezi svou veřejnou adresou a privátní sítí. Díky překladu síťových adres (NAT) získají počítače v privátní síti určitou míru ochrany, protože směrovač s nakonfigurovanou funkcí překladu síťových adres (NAT) nepředává přenosy z Internetu do privátní sítě, pokud není předání vyžádáno klientem privátní sítě nebo pokud nejsou přenosy výslovně povoleny.
Pokud nasadíte síť VPN a překlad síťových adres (NAT), bude server se službou Směrování a vzdálený přístup nakonfigurován k poskytování překladu síťových adres (NAT) pro privátní síť a k příjmu připojení VPN. Počítače v Internetu nebudou moci určit adresy IP počítačů v privátní síti. Klienti VPN se však budou moci připojit k počítačům v privátní síti, jako kdyby byli fyzicky připojeni ke stejné síti.
-
Služba vzdáleného přístupu. Pomocí služby Směrování a vzdálený přístup můžete nasadit připojení sítí VPN používající protokol PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) nebo L2TP (Layer Two Tunneling Protocol) s protokolem IPsec (Internet Protocol security), která uživatelům poskytnou vzdálený přístup k síti vaší organizace. Můžete vytvořit také připojení VPN mezi lokalitami mezi dvěma servery v různých umístěních. Na jednotlivých serverech je pomocí služby Směrování a vzdálený přístup nakonfigurováno zabezpečené odesílání privátních dat. Připojení mezi dvěma servery může být trvalé (vždy zapnuté) nebo na vyžádání (vyžádané volání).
-
Autorita pro registraci stavu (Health Registration Authority). Autorita pro registraci stavu je součást architektury NAP, která vydává certifikáty stavu klientům, u nichž server NPS úspěšně provede ověření zásad stavu pomocí prohlášení o stavu (SoH) klienta. Autorita pro registraci stavu se používá pouze s metodou vynucení protokolu IPsec architektury NAP.
-
Protokol HCAP (Host Credential Authorization Protocol). Protokol HCAP umožňuje integraci řešení architektury NAP společnosti Microsoft se serverem pro řízení přístupu k síti společnosti Cisco. Pokud nasadíte protokol HCAP se serverem NPS a architekturou NAP, může server NPS provádět vyhodnocování stavu klientů a autorizaci klientů přístupu protokolem 802.1X společnosti Cisco.
Správa role serveru služby Síťové zásady a přístup
Správu role serveru služby Síťové zásady a přístup umožňují následující poskytované nástroje:
-
Modul snap-in NPS. Pomocí modulu snap-in NPS v konzole MMC můžete konfigurovat server RADIUS, proxy server RADIUS nebo technologii NAP.
-
Příkazy nástroje Netsh pro server NPS. Příkazy nástroje Netsh pro server NPS jsou sadou příkazů, která je ekvivalentní veškerému nastavení konfigurace dostupnému prostřednictvím modulu snap-in NPS konzoly MMC. Příkazy nástroje Netsh lze spustit ručně na příkazovém řádku nástroje Netsh nebo pomocí skriptů správce.
-
Modul snap-in Autorita pro registraci stavu (HRA) konzoly MMC. Modul snap-in Autorita pro registraci stavu (HRA) konzoly MMC slouží k určení certifikační autority (CA), kterou autorita pro registraci stavu používá k získání certifikátů stavu klientských počítačů, a k definování serveru NPS, jemuž autorita pro registraci stavu odesílá prohlášení o stavu (SoH) ověřovaná pomocí zásad stavu.
-
Příkazy nástroje Netsh pro autoritu pro registraci stavu (HRA). Příkazy nástroje Netsh pro registraci stavu (HRA) jsou sadou příkazů, která je ekvivalentní veškerému nastavení konfigurace dostupnému prostřednictvím modulu snap-in HRA konzoly MMC. Příkazy nástroje Netsh lze spustit ručně na příkazovém řádku nástroje Netsh nebo pomocí skriptů vytvořených správcem.
-
Modul snap-in Správa klientů architektury NAP konzoly MMC. Pomocí modulu snap-in Správa klientů architektury NAP můžete konfigurovat nastavení zabezpečení a nastavení uživatelského rozhraní v klientských počítačích podporujících architekturu NAP.
-
Příkazy nástroje Netsh pro konfiguraci nastavení klientů architektury NAP. Příkazy nástroje Netsh pro nastavení klientů architektury NAP jsou sadou příkazů, která je ekvivalentní veškerému nastavení konfigurace dostupnému prostřednictvím modulu snap-in NAP konzoly MMC. Příkazy nástroje Netsh lze spustit ručně na příkazovém řádku nástroje Netsh nebo pomocí skriptů vytvořených správcem.
-
Modul snap-in Směrování a vzdálený přístup konzoly MMC. Tento modul snap-in konzoly MMC použijte ke konfiguraci serveru VPN, serveru pro telefonické připojení sítě, směrovače, překladu síťových adres (NAT), sítě VPN a překladu síťových adres (NAT) nebo připojení mezi lokalitami sítě VPN.
-
Příkazy nástroje Netsh pro vzdálený přístup. Příkazy nástroje Netsh pro vzdálený přístup jsou sadou příkazů, která je ekvivalentní veškerému nastavení konfigurace vzdáleného přístupu dostupnému prostřednictvím modulu snap-in Směrování a vzdálený přístup konzoly MMC. Příkazy nástroje Netsh lze spustit ručně na příkazovém řádku nástroje Netsh nebo pomocí skriptů správce.
-
Příkazy nástroje Netsh pro směrování. Příkazy nástroje Netsh pro směrování jsou sadou příkazů, která je ekvivalentní veškerému nastavení konfigurace směrování dostupnému prostřednictvím modulu snap-in Směrování a vzdálený přístup konzoly MMC. Příkazy nástroje Netsh lze spustit ručně na příkazovém řádku nástroje Netsh nebo pomocí skriptů správce.
-
Zásady bezdrátové sítě (IEEE 802.11) – Konzola pro správu zásad skupiny. Rozšíření Zásady bezdrátové sítě (IEEE 802.11) automatizuje konfiguraci nastavení bezdrátové sítě v počítačích s ovladači adaptérů bezdrátové sítě, které podporují službu automatické konfigurace sítě WLAN. Pomocí rozšíření Zásady bezdrátové sítě (IEEE 802.11) v Konzole pro správu zásad skupiny můžete zadat nastavení konfigurace bezdrátových klientů se systémem Windows XP nebo Windows Vista. Rozšíření zásad skupiny Zásady bezdrátové sítě (IEEE 802.11) zahrnují globální nastavení bezdrátového připojení, seznam upřednostňovaných sítí, nastavení standardu WPA (Wi-Fi Protected Access) a nastavení standardu IEEE 802.1X.
Pokud jsou položky nastavení nakonfigurovány, je nastavení staženo do bezdrátových klientů se systémem Windows, kteří jsou členy domény. Nastavení bezdrátového připojení nakonfigurované pomocí těchto zásad je součástí zásad skupiny Konfigurace počítače. Ve výchozím nastavení nejsou Zásady bezdrátové sítě (IEEE 802.11) nakonfigurovány ani povoleny.
-
Příkazy nástroje Netsh pro bezdrátovou místní síť (WLAN). Rozhraní Netsh WLAN je alternativou ke konfiguraci nastavení možnosti a zabezpečení bezdrátového připojení v systému Windows Vista pomocí zásad skupiny. Příkazy Netsh wlan můžete použít ke konfiguraci místního počítače, nebo ke konfiguraci více počítačů pomocí přihlašovacího skriptu. Pomocí příkazů Netsh wlan je také možné zobrazit nastavení zásad skupiny pro bezdrátové připojení a spravovat nastavení bezdrátového připojení poskytovatelů bezdrátového připojení k Internetu a uživatelů.
Bezdrátové rozhraní nástroje Netsh má následující výhody:
-
Podpora smíšeného režimu: Umožňuje správcům konfiguraci podpory více možností zabezpečení u klientů. V klientovi může být například konfigurována podpora standardu ověřování WPA2 i WPA. Díky této konfiguraci se může klient pomocí standardu WPA2 připojit k sítím, které podporují standard WPA2, a pomocí standardu WPA k sítím podporujícím pouze standard WPA.
-
Blokování nežádoucích sítí: Přidáním sítí nebo typů sítí do seznamu nepovolených sítí mohou správci blokovat jiné než podnikové bezdrátové sítě a skrýt přístup k nim. Podobným způsobem mohou správci povolit přístup k podnikovým bezdrátovým sítím.
-
Podpora smíšeného režimu: Umožňuje správcům konfiguraci podpory více možností zabezpečení u klientů. V klientovi může být například konfigurována podpora standardu ověřování WPA2 i WPA. Díky této konfiguraci se může klient pomocí standardu WPA2 připojit k sítím, které podporují standard WPA2, a pomocí standardu WPA k sítím podporujícím pouze standard WPA.
-
Zásady drátové sítě (IEEE 802.3) – Konzola pro správu zásad skupiny. Zásady drátové sítě (IEEE 802.3) umožňují zadat a upravit nastavení konfigurace pro klienty se systémem Windows Vista, kteří jsou vybaveni síťovými adaptéry a ovladači podporujícími službu Wired AutoConfig Service. Rozšíření zásad skupiny Zásady drátové sítě (IEEE 802.3) zahrnují globální nastavení připojení kabelem a připojení standardu IEEE 802.3. Nastavení zahrnuje úplnou sadu položek konfigurace připojení kabelem přidružených ke kartě Obecné a kartě Zabezpečení.
Pokud jsou položky nastavení nakonfigurovány, je nastavení staženo do klientů se systémem Windows připojených kabelem, kteří jsou členy domény. Nastavení připojení kabelem nakonfigurované pomocí těchto zásad je součástí zásad skupiny Konfigurace počítače. Ve výchozím nastavení nejsou Zásady drátové sítě (IEEE 802.3) nakonfigurovány ani povoleny.
-
Příkazy nástroje Netsh pro drátovou místní síť (LAN). Rozhraní Netsh LAN je alternativou ke konfiguraci nastavení možnosti a zabezpečení připojení kabelem v systému Windows Vista pomocí zásad skupiny v systému Windows Server 2008. Příkazový řádek Netsh LAN můžete použít ke konfiguraci místního počítače, nebo je možné příkazy použít v přihlašovacích skriptech ke konfiguraci více počítačů. Pomocí příkazů Netsh lan lze také zobrazit Zásady drátové sítě (IEEE 802.3) a spravovat nastavení 1x připojení klientů kabelem.
Další zdroje
Chcete-li získat další informace o službě Síťové zásady a přístup, spusťte jeden z následujících modulů snap-in konzoly MMC a stisknutím klávesy F1 zobrazte nápovědu:
-
modul snap-in NPS konzoly MMC,
-
modul snap-in Směrování a vzdálený přístup konzoly MMC,
-
modul snap-in Autorita pro registraci stavu (HRA) konzoly MMC.