Службы сетевой политики и доступа предоставляют следующие решения по реализации подключений сети:
- Защита доступа к сети. Защита доступа к сети
- это технология создания, применения и исправления политик
работоспособности клиентов, включенная в клиентскую операционную
систему Windows Vista® и операционную систему
Windows Server® 2008. С помощью защиты доступа к сети
системные администраторы могут устанавливать и автоматически
применять политики работоспособности, которые включают в себя
требования к программному обеспечению, требования к обновлению для
системы безопасности, обязательные конфигурации компьютеров и
другие параметры. Для клиентских компьютеров, не отвечающих
требованиям политики работоспособности, доступ к демилитаризованной
зоне может быть ограничен до тех пор, пока их конфигурация не будет
обновлена согласно требованиям политики. В зависимости от
выбранного способа развертывания защиты доступа к сети обновление
клиентов, не соответствующих требованиям, может выполняться
автоматически, чтобы пользователи могли быстро восстановить
неограниченный доступ к сети без необходимости обновлять или
перенастраивать свои компьютеры вручную.
- Безопасный проводной и беспроводной доступ.
При развертывании точек беспроводного доступа 802.1X пользователям
безопасного беспроводного доступа предоставляется защищенный метод
проверки подлинности на основе паролей, который отличается
простотой в развертывании. Когда развертываются коммутаторы 802.1X
с проверкой подлинности, средства беспроводного доступа позволяют
защитить сеть путем проверки подлинности пользователей интрасети до
того, как они смогут подключиться к сети или получить IP-адрес с
использованием протокола DHCP.
- Системы удаленного доступа. С помощью систем
удаленного доступа можно предоставить пользователям виртуальную
частную сеть (VPN) и обычный удаленный доступ к сети организации.
Можно также подключить филиалы к сети с помощью систем виртуальных
частных сетей, развернуть полнофункциональные программные
маршрутизаторы в сети и открыть общий доступ к подключениям к
Интернету для пользователей интрасети.
- Централизованное управление политикой сети с
помощью прокси-сервера и сервера RADIUS. Вместо настройки политики
доступа к сети на всех серверах доступа к сети, таких как точки
беспроводного доступа, коммутаторы 802.1X с проверкой подлинности,
VPN-серверы и серверы удаленного доступа, можно создать в одном
месте политики, которые будут определять все аспекты запросов о
подключении к сети, включая следующие вопросы: кому разрешено
подключаться, когда можно подключаться, какой уровень безопасности
необходимо использовать для подключения к сети.
Службы роли для служб сетевой политики и доступа
При установке службы сетевой политики и доступа доступны перечисленные ниже службы роли.
- Сервер политики сети. Сервер политики
сети - это реализация корпорацией Майкрософт сервера и
прокси-сервера RADIUS. Сервер политики сети можно использовать для
централизованного управления доступом к сети через разнообразные
серверы доступа к сети, включая точки беспроводного доступа,
VPN-серверы, серверы удаленного доступа и коммутаторы 802.1X с
проверкой подлинности. Кроме того, сервер политики сети можно
применять для развертывания системы безопасной проверки подлинности
по паролям с использованием протокола PEAP-MS-CHAP версии 2 для
беспроводных подключений. Сервер политики сети содержит также
основные компоненты для развертывания защиты доступа к сети.
После установки службы роли «Сервер политики сети» могут быть развернуты перечисленные ниже технологии.
- Сервер политики работоспособности защиты
доступа к сети. При настройке сервера политики сети в качестве
сервера политики работоспособности защиты доступа к сети сервер
политики сети оценивает состояния работоспособности, посылаемые
клиентскими компьютерами с поддержкой защиты доступа к сети,
которые хотят обмениваться данными в сети. На сервере политики сети
можно настроить политики защиты доступа к сети, которые позволят
клиентским компьютерам обновлять свою конфигурацию для обеспечения
совместимости с политикой сети в организации.
- Беспроводные сети IEEE 802.11.
Используя оснастку «Сервер политики сети» консоли управления (MMC),
можно настроить политики запроса подключений 802.1X для
беспроводного клиентского доступа к сети IEEE 802.11. Точки
беспроводного доступа можно также настроить в качестве клиентов
RADIUS (Remote Authentication Dial-In User Service) в сервере
политики сети и использовать сервер политики сети как сервер RADIUS
для обработки запросов подключений, а также для выполнения проверки
подлинности, авторизации и учета работы беспроводных подключений
802.11. При развертывании беспроводной инфраструктуры 802.1X с
проверкой подлинности можно полностью объединить беспроводной
доступ IEEE 802.11 с сервером политики сети, чтобы состояние
работоспособности беспроводных клиентов проверялось по политике
работоспособности до того, как клиентам будет разрешено подключение
к сети.
- Проводные сети IEEE 802.3. Используя
оснастку «Сервер политики сети» консоли управления (MMC), можно
настроить политики запроса подключений 802.1X для проводного
клиентского доступа к сети Ethernet IEEE 802.3. Коммутаторы,
совместимые со стандартом 802.1X, можно также настроить в качестве
клиентов RADIUS в сервере политики сети и использовать сервер
политики сети как сервер RADIUS для обработки запросов подключений,
а также для выполнения проверки подлинности, авторизации и учета
работы подключений Ethernet 802.3. При развертывании проводной
инфраструктуры проверки подлинности 802.1X можно полностью
объединить проводной клиентский доступ IEEE 802.3 с сервером
политики сети.
- Сервер RADIUS. Сервер политики сети
выполняет централизованную проверку подлинности подключения,
авторизацию и учет для беспроводных сетей, коммутатора с проверкой
подлинности, подключений удаленного доступа и VPN-подключений.
Когда сервер политики сети используют как сервер RADIUS, серверы
доступа к сети, такие как точки беспроводного доступа и
VPN-серверы, настраивают в качестве клиентов RADIUS в сервере
политики сети. Выполняют также настройку политик сети, используемых
сервером политики сети для авторизации запросов о подключении.
Кроме того, можно настроить учет работы RADIUS, чтобы сервер
политики сети записывал сведения учета в файлы журналов на жесткий
диск или в базу данных Microsoft® SQL Server™.
- Прокси-сервер RADIUS. При
использовании сервера политики сети в качестве прокси-сервера
RADIUS настраивают политики запроса подключения, которые сообщают
серверу политики сети, какие запросы о подключении направлять на
другие серверы RADIUS и на какие серверы RADIUS требуется
направлять запросы о подключении. Можно также настроить сервер
политики сети на переадресацию данных учета, регистрируемых одним
или несколькими компьютерами в удаленной группе серверов
RADIUS.
- Сервер политики работоспособности защиты
доступа к сети. При настройке сервера политики сети в качестве
сервера политики работоспособности защиты доступа к сети сервер
политики сети оценивает состояния работоспособности, посылаемые
клиентскими компьютерами с поддержкой защиты доступа к сети,
которые хотят обмениваться данными в сети. На сервере политики сети
можно настроить политики защиты доступа к сети, которые позволят
клиентским компьютерам обновлять свою конфигурацию для обеспечения
совместимости с политикой сети в организации.
- Маршрутизация и удаленный доступ. С
помощью службы маршрутизации и удаленного доступа можно развернуть
службы удаленного доступа виртуальных частных сетей и коммутируемых
подключений, а также многопротокольные службы маршрутизации
LAN-to-LAN, LAN-to-WAN, VPN и преобразования сетевых адресов
(NAT).
Во время установки службы роли «Маршрутизация и удаленный доступ» могут быть развернуты перечисленные ниже технологии.
- Служба удаленного доступа. Используя
службу маршрутизации и удаленного доступа, можно развернуть
подключения виртуальных частных сетей по протоколу PPTP, SSTP или
L2TP с протоколом IPsec для предоставления пользователям удаленного
доступа к сети организации. Можно также создать межсайтовое
VPN-подключение между двумя серверами, находящимися в разных
местах. Для безопасной передачи конфиденциальных сведений каждый
сервер настраивается со службой маршрутизации и удаленного доступа.
Соединение двух серверов может быть постоянным (всегда включенным)
или временным (устанавливаемым по требованию).
Служба удаленного доступа также предоставляет обычный удаленный доступ по коммутируемым линиям связи для поддержки мобильных или домашних пользователей, подключающихся к интрасетям организации путем набора телефонного номера. Оборудование удаленного доступа к сети, устанавливаемое на сервере с работающей службой «Маршрутизация и удаленный доступ», отвечает на входящие запросы о подключении, которые поступают от клиентов сети с коммутируемым доступом. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности и авторизацию вызывающего лица, передает данные между клиентом сети с коммутируемым доступом и интрасетью организации.
- Маршрутизация. Служба маршрутизации
предоставляет полнофункциональный программный маршрутизатор и
открытую платформу для маршрутизации и межсетевого обмена.
Предлагаются также службы маршрутизатора для предприятий в средах
локальных сетей и глобальной сети.
При развертывании службы преобразования сетевых адресов (NAT) сервер, на котором запущена служба маршрутизации и удаленного доступа, настраивается для предоставления общего доступа к подключению в Интернет компьютерам частной сети и для передачи трафика между общедоступным адресом и частной сетью. При использовании преобразования сетевых адресов (NAT) предпринимаются некоторые меры по защите компьютеров в частной сети, так как маршрутизатор с настроенным преобразованием сетевых адресов не передает трафик из Интернета в частную сеть, если трафик не запрошен клиентами частной сети или если трафик не разрешен в явном виде.
При развертывании виртуальной частной сети и преобразования сетевых адресов (NAT) сервер, на котором выполняется служба маршрутизации и удаленного доступа, настраивается для предоставления преобразования сетевых адресов частной сети и на принятие VPN-подключений. Компьютеры в Интернете неспособны определить IP-адреса компьютеров, находящихся в частной сети. Однако клиенты виртуальной частной сети могут подключиться к компьютерам в частной сети, как если бы они были физически подсоединены к той же сети.
- Служба удаленного доступа. Используя
службу маршрутизации и удаленного доступа, можно развернуть
подключения виртуальных частных сетей по протоколу PPTP, SSTP или
L2TP с протоколом IPsec для предоставления пользователям удаленного
доступа к сети организации. Можно также создать межсайтовое
VPN-подключение между двумя серверами, находящимися в разных
местах. Для безопасной передачи конфиденциальных сведений каждый
сервер настраивается со службой маршрутизации и удаленного доступа.
Соединение двух серверов может быть постоянным (всегда включенным)
или временным (устанавливаемым по требованию).
- Центр регистрации работоспособности.
Центр регистрации работоспособности - это компонент защиты доступа
к сети, выпускающий сертификаты работоспособности для клиентов,
проходящих проверку политики работоспособности, которая выполняется
сервером политики сети с использованием состояния работоспособности
клиента. Центр регистрации работоспособности используется только с
принудительным методом протокола IPsec защиты доступа к сети.
- Протокол HCAP. Протокол HCAP
предоставляет возможность объединения решения корпорации Майкрософт
по реализации защиты доступа к сети с сервером управления сетевым
доступом компании Cisco. При развертывании протокола HCAP с
сервером политики сети и защитой доступа к сети сервер политики
сети может выполнять оценку работоспособности клиента и авторизацию
клиентов доступа 802.1X компании Cisco.
Управление ролью сервера «Службы сетевой политики и доступа»
Для управления ролью сервера «Службы сетевой политики и доступа» предоставляются перечисленные ниже средства.
- Оснастка «Сервер политики сети» консоли
управления (MMC). Оснастка «Сервер политики сети» консоли
управления (MMC) используется для настройки сервера RADIUS,
прокси-сервера RADIUS и технологии защиты доступа к сети.
- Команды Netsh для сервера политики
сети. Команды Netsh для сервера политики сети предоставляют
набор команд, полностью эквивалентных всем параметрам настройки,
которые доступны в оснастке «Сервер политики сети» консоли
управления (MMC). Команды Netsh можно запускать вручную в строке
приглашения Netsh или в сценариях, создаваемых
администраторами.
- Оснастка «Центр регистрации
работоспособности» консоли управления (MMC). Оснастка «Центр
регистрации работоспособности» консоли управления (MMC)
применяется, чтобы назначить центр сертификации, используемый
центром регистрации работоспособности для получения сертификатов
работоспособности клиентских компьютеров и для определения сервера
политики сети, на который центр регистрации работоспособности
отправляет состояния работоспособности клиента с целью проверки их
соответствия политике работоспособности.
- Команды Netsh для центра регистрации
работоспособности. Команды Netsh для центра регистрации
работоспособности предоставляют набор команд, полностью
эквивалентных всем параметрам настройки, которые доступны в
оснастке «Центр регистрации работоспособности» консоли управления
(MMC). Команды Netsh можно запускать вручную в строке приглашения
Netsh или в сценариях, создаваемых администраторами.
- Оснастка «Управление клиентами защиты
доступа к сети» консоли управления (MMC). Оснастку «Управление
клиентами защиты доступа к сети» можно использовать для настройки
параметров безопасности и параметров пользовательского интерфейса
на клиентских компьютерах, поддерживающих архитектуру защиты
доступа к сети.
- Команды Netsh для настройки параметров
клиента защиты доступа к сети. Команды Netsh для настройки
параметров клиента защиты доступа к сети предоставляют набор
команд, полностью эквивалентных всем параметрам настройки, которые
доступны в оснастке «Управление клиентами защиты доступа к сети».
Команды Netsh можно запускать вручную в строке приглашения Netsh
или в сценариях, создаваемых администраторами.
- Оснастка «Маршрутизация и удаленный
доступ» консоли управления (MMC). Эта оснастка консоли
управления (MMC) используется для настройки VPN-сервера, сервера
сети с коммутируемым доступом, маршрутизатора, преобразования
сетевых адресов (NAT), VPN и NAT или VPN-подключения между двумя
сайтами.
- Команды Netsh для удаленного доступа.
Команды Netsh для удаленного доступа предоставляют набор команд,
полностью эквивалентных всем параметрам настройки удаленного
доступа, которые доступны в оснастке «Маршрутизация и удаленный
доступ» консоли управления (MMC). Команды Netsh можно запускать
вручную в строке приглашения Netsh или в сценариях, создаваемых
администраторами.
- Команды Netsh для маршрутизации.
Команды Netsh для маршрутизации предоставляют набор команд,
полностью эквивалентных всем параметрам настройки маршрутизации,
которые доступны в оснастке «Маршрутизация и удаленный доступ»
консоли управления (MMC). Команды Netsh можно запускать вручную в
строке приглашения Netsh или в сценариях, создаваемых
администраторами.
- Политики беспроводной сети (IEEE 802.11) -
консоль «Управление групповой политикой». Расширение политик
беспроводной сети (IEEE 802.11) автоматизирует настройку параметров
беспроводной сети на компьютерах с драйверами адаптера беспроводной
сети, которые поддерживают службу автонастройки беспроводной ЛВС
(WLAN Autoconfig Service). Расширение политик беспроводной сети
(IEEE 802.11) в консоли «Управление групповой политикой» можно
использовать для указания параметров настройки клиентов
беспроводных сетей Windows XP или Windows Vista либо
одновременно тех и других. Расширения групповой политики
беспроводной сети (IEEE 802.11) содержат глобальные параметры
беспроводной сети, список предпочтительных сетей, параметры
защищенного доступа Wi-Fi (WPA) и параметры IEEE 802.1X.
При настройке параметры загружаются на клиенты беспроводных сетей Windows, которые являются членами домена. Параметры беспроводной сети, настраиваемые этой политикой, являются частью групповой политики конфигурации компьютера. По умолчанию политики беспроводной сети (IEEE 802.11) не настраиваются и не включаются.
- Команды Netsh для беспроводной локальной
сети (WLAN). Netsh WLAN - это альтернатива использованию
групповой политики для настройки беспроводной сети
Windows Vista и параметров безопасности. Команды Netsh wlan
применяются для настройки локального компьютера или настройки
нескольких компьютеров с использованием сценария входа. Команды
Netsh wlan можно также использовать для просмотра параметров
групповой политики беспроводной сети и для управления поставщиком
услуг беспроводного доступа в Интернет и пользовательскими
параметрами беспроводной сети.
Интерфейс Netsh беспроводной сети обладает перечисленными ниже преимуществами.
- Поддержка смешанного режима. Позволяет
администраторам настраивать клиенты для поддержки нескольких
вариантов системы безопасности. Например, клиент может быть
настроен для поддержки двух стандартов проверки подлинности: WPA2 и
WPA. Это позволяет клиенту использовать WPA2 для подключения к
сетям, поддерживающим WPA2, и использовать WPA для подключения к
сетям, поддерживающим WPA.
- Блокирование нежелательных сетей.
Администраторы могут блокировать и скрывать доступ к
некорпоративным беспроводным сетям, добавляя сети или типы сетей в
список запрещенных сетей. Подобным образом администраторы могут
разрешить доступ к корпоративным беспроводным сетям.
- Поддержка смешанного режима. Позволяет
администраторам настраивать клиенты для поддержки нескольких
вариантов системы безопасности. Например, клиент может быть
настроен для поддержки двух стандартов проверки подлинности: WPA2 и
WPA. Это позволяет клиенту использовать WPA2 для подключения к
сетям, поддерживающим WPA2, и использовать WPA для подключения к
сетям, поддерживающим WPA.
- Политики беспроводной сети (IEEE 802.3) -
консоль «Управление групповой политикой». Политики беспроводной
сети (IEEE 802.3) можно использовать для задания и изменения
параметров настройки клиентов Windows Vista, оснащенных
сетевыми адаптерами и драйверами, которые поддерживают службу
автонастройки проводных сетей (Wired AutoConfig Service).
Расширения групповой политики беспроводной сети (IEEE 802.11)
содержат глобальные параметры проводной сети и сетей IEEE 802.1X.
Эти параметры включают полный набор элементов конфигурации
проводной сети, связанных с настройками на вкладках Общие и
Безопасность.
При настройке параметры загружаются на клиенты беспроводных сетей Windows, которые являются членами домена. Параметры беспроводной сети, настраиваемые этой политикой, являются частью групповой политики конфигурации компьютера. По умолчанию политики проводной сети (IEEE 802.3) не настраиваются и не включаются.
- Команды Netsh для проводной локальной сети
(LAN). Интерфейс Netsh LAN - это альтернатива использованию
групповой политики в Windows Server 2008 для настройки
проводной сети Windows Vista и параметров безопасности. Можно
использовать командную строку Netsh LAN для настройки локального
компьютера или воспользоваться командами в сценариях входа для
настройки нескольких компьютеров. Команды Netsh lan можно также
использовать для просмотра политик проводной сети (IEEE 802.3) и
управления параметрами клиента проводной сети 1x.
Дополнительные ресурсы
Чтобы перейти к дополнительным сведениям о службах сетевой политики и доступа, откройте одну из следующих оснасток консоли управления (MMC) и нажмите клавишу F1 для просмотра справки:
- оснастка «Сервер политики сети» консоли
управления (MMC);
- оснастка «Маршрутизация и удаленный доступ»
консоли управления (MMC);
- оснастка «Центр регистрации
работоспособности» консоли управления (MMC).