Usługi zasad sieciowych i dostępu sieciowego zapewniają następujące rozwiązania z zakresu łączności sieciowej:
-
Ochrona dostępu do sieci (NAP). Ochrona dostępu do sieci (NAP) to technologia, która umożliwia tworzenie i wymuszanie zasad kondycji klienta oraz rozwiązywanie problemów, zawarta w klienckim systemie operacyjnym Windows Vista® i w systemie operacyjnym Windows Server® 2008. Dzięki ochronie dostępu do sieci administratorzy mogą ustanawiać i automatycznie wymuszać zasady kondycji. Te zasady mogą zawierać wymagania dotyczące oprogramowania, aktualizacji zabezpieczeń i konfiguracji komputera oraz inne ustawienia. Komputery klienckie, które nie są zgodne z zasadami kondycji, mogą uzyskiwać ograniczony dostęp do sieci, dopóki ich konfiguracja nie zostanie zaktualizowana tak, aby była zgodna z tymi zasadami. Zależnie od wybranego sposobu wdrożenia ochrony dostępu do sieci można automatycznie aktualizować niezgodnych klientów, co umożliwi użytkownikom szybkie odzyskanie pełnego dostępu do sieci bez ręcznego aktualizowania czy ponownego konfigurowania swoich komputerów.
-
Bezpieczny dostęp do sieci bezprzewodowych i przewodowych. Podczas wdrażania punktów dostępu bezprzewodowego 802.1X funkcja bezpiecznego dostępu do sieci bezprzewodowych dostarcza użytkownikom sieci bezprzewodowej bezpieczną metodę uwierzytelniania opartego na hasłach, która jest łatwa do wdrożenia. Podczas wdrażania przełączników uwierzytelniających 802.1X funkcja dostępu do sieci przewodowych umożliwia zabezpieczenie sieci przez zagwarantowanie uwierzytelnienia użytkowników intranetowych, zanim będą oni mogli połączyć się z siecią lub uzyskać adres IP z serwera DHCP.
-
Rozwiązania dostępu zdalnego. Dzięki rozwiązaniom dostępu zdalnego można zaoferować użytkownikom dostęp do sieci organizacji za pomocą wirtualnej sieci prywatnej (VPN) i tradycyjnych połączeń telefonicznych. Można także połączyć oddziały firmy z siecią za pomocą rozwiązań sieci VPN, wdrożyć w sieci routery programowe oferujące wszystkie funkcje oraz udostępniać połączenia internetowe w intranecie.
-
Centralne zarządzanie zasadami sieciowymi za pomocą serwera RADIUS i serwera proxy. Zamiast konfigurować zasady dostępu do sieci na każdym serwerze dostępu do sieci, takim jak punkty dostępu bezprzewodowego, przełączniki uwierzytelniające 802.1X, serwery sieci VPN i serwery telefoniczne, można utworzyć w jednej lokalizacji zasady, które będą określać wszystkie aspekty żądań połączenia z siecią, w tym kto może nawiązać połączenie, kiedy może nawiązać połączenie, oraz poziom zabezpieczeń, jakiego trzeba używać, aby móc połączyć się z siecią.
Usługi ról dla Usług zasad sieciowych i dostępu sieciowego
Podczas instalowania Usług zasad sieciowych i dostępu sieciowego są dostępne następujące usługi ról:
-
Serwer zasad sieciowych (NPS). Serwer NPS to implementacja serwera RADIUS i serwera proxy opracowana przez firmę Microsoft. Za pomocą serwera NPS można centralnie zarządzać dostępem do sieci uzyskiwanym za pośrednictwem różnych serwerów dostępu do sieci, takich jak punkty dostępu bezprzewodowego, serwery sieci VPN, serwery telefoniczne i przełączniki uwierzytelniające 802.1X. Ponadto przy użyciu serwera NPS można wdrożyć bezpieczne uwierzytelnianie haseł za pomocą chronionego protokołu uwierzytelniania rozszerzonego PEAP-MS-CHAP v2 dla połączeń bezprzewodowych. Serwer NPS zawiera także kluczowe składniki, dzięki którym można w sieci wdrożyć ochronę dostępu do sieci (NAP).
Po zainstalowaniu usługi roli Serwer zasad sieciowych można wdrożyć następujące technologie:
-
Serwer zasad kondycji ochrony dostępu do sieci. Gdy serwer NPS zostanie skonfigurowany jako serwer zasad kondycji ochrony dostępu do sieci, serwer NPS będzie oceniał raporty o kondycji (SoH) wysyłane przez komputery klienckie obsługujące ochronę dostępu do sieci, które chcą komunikować się w sieci. Na serwerze NPS można skonfigurować zasady ochrony dostępu do sieci, które będą umożliwiać komputerom klienckim aktualizowanie ich konfiguracji w taki sposób, aby była zgodna z zasadami sieciowymi organizacji.
-
Sieć bezprzewodowa IEEE 802.11. Używając przystawki programu MMC Serwer zasad sieciowych, można skonfigurować zasady żądań połączeń opartych na protokole 802.1X, które będą umożliwiać dostęp do sieci klientom sieci bezprzewodowych IEEE 802.11. Można także skonfigurować punkty dostępu bezprzewodowego jako klientów RADIUS (Remote Authentication Dial-In User Service) na serwerze NPS i używać serwera NPS jako serwera RADIUS do przetwarzania żądań połączeń, a także wykonywania uwierzytelniania, autoryzacji i ewidencjonowania aktywności połączeń bezprzewodowych 802.11. Podczas wdrażania infrastruktury uwierzytelniania w sieci bezprzewodowej 802.1X można w pełni zintegrować funkcje dostępu do sieci bezprzewodowych IEEE 802.11 z ochroną dostępu do sieci, dzięki czemu kondycja klientów sieci bezprzewodowych będzie weryfikowana pod kątem zgodności z zasadami kondycji, zanim klient będzie mógł połączyć się z siecią.
-
Sieć przewodowa IEEE 802.3. Używając przystawki programu MMC Serwer zasad sieciowych, można skonfigurować zasady żądań połączeń opartych na protokole 802.1X, które będą umożliwiać dostęp do sieci klientom przewodowych sieci Ethernet IEEE 802.3. Można także skonfigurować przełączniki zgodne ze standardem 802.1X jako klientów RADIUS na serwerze NPS i używać serwera NPS jako serwera RADIUS do przetwarzania żądań połączeń, a także wykonywania uwierzytelniania, autoryzacji i ewidencjonowania aktywności połączeń sieci przewodowej Ethernet 802.3. Podczas wdrażania infrastruktury uwierzytelniania w sieci przewodowej 802.1X można w pełni zintegrować funkcje dostępu klientów sieci przewodowych IEEE 802.3 z ochroną dostępu do sieci.
-
Serwer RADIUS. Serwer NPS wykonuje scentralizowane uwierzytelnianie połączeń, autoryzację oraz ewidencjonowanie aktywności dla bezprzewodowych przełączników uwierzytelniających, zdalnego dostępu telefonicznego i połączeń sieci VPN. Gdy serwer NPS jest używany jako serwer RADIUS, serwery dostępu do sieci, takie jak punkty dostępu bezprzewodowego i serwery sieci VPN, są konfigurowane na serwerze NPS jako klienci RADIUS. Można także skonfigurować zasady sieciowe, których serwer NPS używa do autoryzowania żądań połączeń, i można skonfigurować ewidencjonowanie aktywności RADIUS, dzięki czemu serwer NPS będzie rejestrował informacje ewidencjonowania aktywności w plikach dziennika na lokalnym dysku twardym lub w bazie danych programu Microsoft® SQL Server™.
-
Serwer proxy RADIUS. Gdy serwer NPS jest używany jako serwer proxy RADIUS, należy skonfigurować zasady żądań połączeń informujące serwer NPS, które żądania połączeń mają zostać przekazane do innych serwerów RADIUS i do których serwerów RADIUS mają być przekazywane żądania połączeń. Można także skonfigurować serwer NPS do przekazywania danych ewidencjonowania aktywności do zarejestrowania na co najmniej jednym komputerze w zdalnej grupie serwerów RADIUS.
-
Serwer zasad kondycji ochrony dostępu do sieci. Gdy serwer NPS zostanie skonfigurowany jako serwer zasad kondycji ochrony dostępu do sieci, serwer NPS będzie oceniał raporty o kondycji (SoH) wysyłane przez komputery klienckie obsługujące ochronę dostępu do sieci, które chcą komunikować się w sieci. Na serwerze NPS można skonfigurować zasady ochrony dostępu do sieci, które będą umożliwiać komputerom klienckim aktualizowanie ich konfiguracji w taki sposób, aby była zgodna z zasadami sieciowymi organizacji.
-
Routing i dostęp zdalny. Usługa Routing i dostęp zdalny umożliwia wdrażanie usług dostępu zdalnego za pośrednictwem połączeń sieci VPN i połączeń telefonicznych, wieloprotokołowych usług typu LAN-LAN, LAN-WAN, usługi wirtualnej sieci prywatnej (VPN) oraz usługi routingu translacji adresów sieciowych (NAT).
W trakcie instalowania usługi roli Routing i dostęp zdalny można wdrożyć następujące technologie:
-
Usługa Dostęp zdalny. Używając usługi Routing i dostęp zdalny, można wdrożyć protokół PPTP (Point-to-Point Tunneling Protocol), protokół SSTP (Secure Socket Tunneling Protocol) i protokół L2TP (Layer Two Tunneling Protocol) z połączeniami sieci VPN IPsec (Internet Protocol security), aby umożliwić użytkownikom końcowym dostęp zdalny do sieci organizacji. Można także utworzyć połączenie VPN typu lokacja-lokacja między dwoma serwerami w różnych lokalizacjach. Na każdym serwerze jest konfigurowana usługa Routing i dostęp zdalny do bezpiecznego wysyłania danych prywatnych. Połączenie między dwoma serwerami może być trwałe (zawsze włączone) lub na żądanie (z wybieraniem numerów na żądanie).
Dostęp zdalny zapewnia także tradycyjny, telefoniczny dostęp zdalny do obsługi użytkowników mobilnych lub pracujących w domu, którzy łączą się z intranetem organizacji telefonicznie. Sprzęt telefoniczny zainstalowany w serwerze, na którym działa usługa Routing i dostęp zdalny, odbiera przychodzące żądania połączenia od klientów używających programu Dial-up Networking. Serwer dostępu zdalnego odpowiada na wywołanie, uwierzytelnia i autoryzuje wywołującego oraz przesyła dane między klientem używającym programu Dial-up Networking a intranetem organizacji.
-
Routing. Routing zapewnia pełnowartościowy router programowy oraz otwartą platformę routingu i przesyłania danych między sieciami. Oferuje usługi routingu dla firm w środowiskach sieci lokalnej (LAN) i sieci rozległej (WAN).
Podczas wdrażania Translatora adresów sieciowych (NAT) serwer, na którym działa usługa Routing i dostęp zdalny, jest konfigurowany tak, aby udostępniał połączenie internetowe komputerom w sieci prywatnej oraz wykonywał translację ruchu między swoimi adresami publicznymi a siecią prywatną. Używając translatora NAT, komputery w sieci prywatnej uzyskują pewien poziom ochrony, ponieważ router ze skonfigurowanym translatorem NAT nie przekazuje ruchu z Internetu do sieci prywatnej, dopóki nie zażąda tego klient z sieci prywatnej lub przekazywanie danego ruchu nie będzie jawnie dozwolone.
Po wdrożeniu sieci VPN i translatora NAT serwer, na którym działa usługa Routing i dostęp zdalny, jest konfigurowany tak, aby udostępniał funkcję translatora NAT dla sieci prywatnej i akceptował połączenia sieci VPN. Komputery w Internecie nie będą mogły określić adresów IP komputerów z sieci prywatnej. Jednak klienci sieci VPN będą mogli łączyć się z komputerami z sieci prywatnej, tak jakby byli fizycznie do niej podłączeni.
-
Usługa Dostęp zdalny. Używając usługi Routing i dostęp zdalny, można wdrożyć protokół PPTP (Point-to-Point Tunneling Protocol), protokół SSTP (Secure Socket Tunneling Protocol) i protokół L2TP (Layer Two Tunneling Protocol) z połączeniami sieci VPN IPsec (Internet Protocol security), aby umożliwić użytkownikom końcowym dostęp zdalny do sieci organizacji. Można także utworzyć połączenie VPN typu lokacja-lokacja między dwoma serwerami w różnych lokalizacjach. Na każdym serwerze jest konfigurowana usługa Routing i dostęp zdalny do bezpiecznego wysyłania danych prywatnych. Połączenie między dwoma serwerami może być trwałe (zawsze włączone) lub na żądanie (z wybieraniem numerów na żądanie).
-
Urząd rejestrowania kondycji (HRA). Urząd rejestrowania kondycji to składnik ochrony dostępu do sieci wystawiający certyfikaty kondycji klientom, którzy przeszli weryfikację zgodności z zasadami kondycji wykonywaną przez serwer NPS przy użyciu raportu o kondycji (SoH) klienta. Urząd rejestrowania kondycji jest używany tylko w połączeniu z metodą wymuszania zasad IPsec ochrony dostępu do sieci.
-
Protokół HCAP (Host Credential Authorization Protocol). Protokół HCAP umożliwia integrację ochrony dostępu do sieci firmy Microsoft z serwerem kontroli dostępu do sieci firmy Cisco (Cisco Network Access Control Server). Po wdrożeniu protokołu HCAP z serwerem NPS i ochroną dostępu do sieci serwer NPS może przeprowadzać ocenę kondycji oraz autoryzację klientów dostępu Cisco 802.1X.
Zarządzanie rolą serwera Usługi zasad sieciowych i dostępu sieciowego
Dostarczane są następujące narzędzia służące do zarządzania rolą serwera Usługi zasad sieciowych i dostępu sieciowego:
-
Przystawka programu MMC Serwer zasad sieciowych. Przystawka programu MMC Serwer zasad sieciowych umożliwia skonfigurowanie serwera RADIUS, serwera proxy RADIUS oraz technologii ochrony dostępu do sieci.
-
Polecenia Netsh serwera zasad sieciowych. Zestaw poleceń Netsh serwera zasad sieciowych w pełni odpowiada wszystkim ustawieniom konfiguracyjnym, które są dostępne w przystawce programu MMC Serwer zasad sieciowych. Polecenia Netsh można uruchamiać ręcznie w wierszu polecenia Netsh lub w skryptach administratora.
-
Przystawka programu MMC Urząd rejestrowania kondycji. Przystawka programu MMC Urząd rejestrowania kondycji umożliwia wyznaczenie urzędu certyfikacji (CA), którego urząd rejestrowania kondycji będzie używał do uzyskiwania certyfikatów kondycji dla komputerów klienckich, oraz zdefiniowanie serwera zasad sieciowych, do którego urząd rejestrowania kondycji będzie wysyłał raporty o kondycji klientów w celu ich weryfikacji pod kątem zgodności z zasadami kondycji.
-
Polecenia Netsh urzędu rejestrowania kondycji. Zestaw poleceń Netsh urzędu rejestrowania kondycji w pełni odpowiada wszystkim ustawieniom konfiguracyjnym, które są dostępne w przystawce programu MMC Urząd rejestrowania kondycji. Polecenia Netsh można uruchamiać ręcznie w wierszu polecenia Netsh lub w skryptach administratora.
-
Przystawka programu MMC Zarządzanie klientem ochrony dostępu do sieci. Przystawka Zarządzanie klientem ochrony dostępu do sieci umożliwia skonfigurowanie ustawień zabezpieczeń i ustawień interfejsu użytkownika na komputerach klienckich obsługujących architekturę ochrony dostępu do sieci.
-
Polecenia Netsh służące do konfigurowania ustawień klienta ochrony dostępu do sieci. Zestaw poleceń Netsh do konfigurowania ustawień klienta ochrony dostępu do sieci w pełni odpowiada wszystkim ustawieniom konfiguracyjnym, które są dostępne w przystawce programu MMC Zarządzanie klientem ochrony dostępu do sieci. Polecenia Netsh można uruchamiać ręcznie w wierszu polecenia Netsh lub w skryptach administratora.
-
Przystawka programu MMC Routing i dostęp zdalny. Ta przystawka programu MMC umożliwia skonfigurowanie serwera sieci VPN, serwera sieci telefonicznej, routera, translatora NAT, sieci VPN i translatora NAT oraz połączenia sieci VPN typu lokacja-lokacja.
-
Polecenia Netsh dostępu zdalnego. Zestaw poleceń Netsh dostępu zdalnego w pełni odpowiada wszystkim ustawieniom konfiguracyjnym dostępu zdalnego, które są dostępne w przystawce programu MMC Routing i dostęp zdalny. Polecenia Netsh można uruchamiać ręcznie w wierszu polecenia Netsh lub w skryptach administratora.
-
Polecenia Netsh routingu. Zestaw poleceń Netsh routingu w pełni odpowiada wszystkim ustawieniom konfiguracyjnym routingu, które są dostępne w przystawce programu MMC Routing i dostęp zdalny. Polecenia Netsh można uruchamiać ręcznie w wierszu polecenia Netsh lub w skryptach administratora.
-
Zasady sieci bezprzewodowej (IEEE 802.11) - Konsola zarządzania zasadami grupy (GPMC). Rozszerzenie Zasady sieci bezprzewodowej (IEEE 802.11) automatyzuje konfigurację ustawień sieci bezprzewodowej na komputerach ze sterownikami kart sieci bezprzewodowej, które obsługują usługę autokonfiguracji bezprzewodowej sieci LAN (Autokonfiguracja sieci WLAN). Za pomocą rozszerzenia Zasady sieci bezprzewodowej (IEEE 802.11) w Konsoli zarządzania zasadami grupy można określić ustawienia konfiguracyjne dla klientów sieci bezprzewodowej z systemem Windows XP i Windows Vista. W rozszerzeniach zasad grupy Zasady sieci bezprzewodowej (IEEE 802.11) są dostępne globalne ustawienia sieci bezprzewodowej, lista preferowanych sieci, ustawienia protokołu WPA (Wi-Fi Protected Access) oraz ustawienia standardu IEEE 802.1X.
Po skonfigurowaniu te ustawienia są pobierane na komputery klientów sieci bezprzewodowej systemu Windows, które należą do domeny. Ustawienia sieci bezprzewodowej konfigurowane przez te zasady są częścią węzła Konfiguracja komputera w zasadach grupy. Domyślnie zasady sieci bezprzewodowej (IEEE 802.11) nie są skonfigurowane ani włączone.
-
Polecenia Netsh dla lokalnych sieci bezprzewodowych (WLAN). Polecenia Netsh dla sieci WLAN stanowią alternatywną w stosunku do korzystania z zasad grupy metodę konfigurowania ustawień łączności bezprzewodowej i zabezpieczeń w systemie Windows Vista. Za pomocą poleceń Netsh dla sieci WLAN można skonfigurować komputer lokalny. Można też skonfigurować wiele komputerów, używając skryptu logowania. Polecenia Netsh dla sieci WLAN umożliwiają też wyświetlanie ustawień zasad grupy dotyczących sieci bezprzewodowych, a także zarządzanie dostawcą bezprzewodowych usług internetowych (WISP) i ustawieniami sieci bezprzewodowej użytkownika.
Interfejs Netsh sieci bezprzewodowej ma następujące zalety:
-
Obsługa trybu mieszanego. Umożliwia administratorom konfigurowanie klientów do obsługi wielu opcji zabezpieczeń. Na przykład można skonfigurować klienta do obsługi standardów uwierzytelniania WPA2 i WPA. Dzięki temu klient może używać protokołu WPA2, aby łączyć się z sieciami obsługującymi protokół WPA2, i protokołu WPA, aby łączyć się z sieciami obsługującymi tylko protokół WPA.
-
Blokowanie niepożądanych sieci. Administratorzy mogą blokować i ukrywać dostęp do sieci bezprzewodowych innych niż firmowa, dodając sieci lub typy sieci do listy niedozwolonych sieci. Podobnie administratorzy mogą zezwalać na dostęp do firmowych sieci bezprzewodowych.
-
Obsługa trybu mieszanego. Umożliwia administratorom konfigurowanie klientów do obsługi wielu opcji zabezpieczeń. Na przykład można skonfigurować klienta do obsługi standardów uwierzytelniania WPA2 i WPA. Dzięki temu klient może używać protokołu WPA2, aby łączyć się z sieciami obsługującymi protokół WPA2, i protokołu WPA, aby łączyć się z sieciami obsługującymi tylko protokół WPA.
-
Zasady sieci przewodowej (IEEE 802.3) - Konsola zarządzania zasadami grupy (GPMC). Zasady sieci przewodowej (IEEE 802.3) umożliwiają określanie i modyfikowanie ustawień konfiguracyjnych klientów z systemem Windows Vista, wyposażonych w karty sieciowe i sterowniki obsługujące usługę autokonfiguracji sieci przewodowej. Rozszerzenia zasad grupy Zasady sieci bezprzewodowej (IEEE 802.11) zawierają globalne ustawienia sieci przewodowej i sieci IEEE 802.1X. Te ustawienia obejmują cały zestaw elementów konfiguracji sieci przewodowej skojarzonych z kartą Ogólne i kartą Zabezpieczenia.
Po skonfigurowaniu te ustawienia są pobierane na komputery klientów sieci bezprzewodowej systemu Windows, które należą do domeny. Ustawienia sieci bezprzewodowej konfigurowane przez te zasady są częścią węzła Konfiguracja komputera w zasadach grupy. Domyślnie zasady sieci przewodowej (IEEE 802.3) nie są skonfigurowane ani włączone.
-
Polecenia Netsh dla lokalnych sieci przewodowych (LAN). Polecenia Netsh dla interfejsu sieci LAN stanowią alternatywną w stosunku do korzystania z zasad grupy w systemie Windows Server 2008 metodę konfigurowania ustawień łączności przewodowej i zabezpieczeń w systemie Windows Vista. Za pomocą wiersza polecenia Netsh dla sieci LAN można skonfigurować komputer lokalny. Można też użyć skryptu logowania, aby skonfigurować wiele komputerów. Używając poleceń Netsh dla sieci LAN, można także wyświetlać zasady sieci przewodowej (IEEE 802.3) i administrować ustawieniami klienta sieci przewodowej 1x.
Dodatkowe zasoby
Aby dowiedzieć się więcej o Usługach zasad sieciowych i dostępu sieciowego, otwórz jedną z następujących przystawek programu MMC, a następnie naciśnij klawisz F1, aby wyświetlić Pomoc:
-
Przystawka programu MMC Serwer zasad sieciowych
-
Przystawka programu MMC Routing i dostęp zdalny
-
Przystawka programu MMC Urząd rejestrowania kondycji