Geek School Learning Windows 7 - Accès à distance
Dans la dernière partie de la série, nous avons examiné la manière dont vous pouvez gérer et utiliser vos ordinateurs Windows à partir de n’importe où, tant que vous êtes sur le même réseau. Mais si vous n'êtes pas?
Assurez-vous de consulter les articles précédents de cette série Geek School sur Windows 7:
- Présentation de l'école de geek
- Mises à niveau et migrations
- Configuration des périphériques
- Gestion des disques
- Gérer les applications
- Gérer Internet Explorer
- Principes fondamentaux d'adressage IP
- La mise en réseau
- Réseau sans fil
- fenêtre pare-feu
- Administration à distance
Et restez à l'écoute pour le reste de la série toute cette semaine.
Protection d'accès au réseau
La protection d'accès réseau est une tentative de Microsoft pour contrôler l'accès aux ressources réseau en fonction de la santé du client essayant de s'y connecter. Par exemple, dans le cas où vous êtes un utilisateur d’ordinateur portable, il se peut que vous restiez plusieurs mois sur la route sans connecter votre ordinateur portable au réseau de votre entreprise. Pendant ce temps, rien ne garantit que votre ordinateur portable ne sera pas infecté par un virus ou un logiciel malveillant, ni que vous recevrez même des mises à jour de la définition antivirus..
Dans cette situation, lorsque vous revenez au bureau et que vous connectez la machine au réseau, NAP détermine automatiquement l'état de la machine par rapport à une stratégie que vous avez configurée sur l'un de vos serveurs NAP. Si le périphérique qui s'est connecté au réseau échoue à l'inspection d'intégrité, il est automatiquement déplacé vers une section super-restreinte de votre réseau appelée zone de correction. Lorsqu'ils se trouvent dans la zone de correction, les serveurs de correction tentent automatiquement de résoudre le problème avec votre ordinateur. Quelques exemples pourraient être:
- Si votre pare-feu est désactivé et que votre stratégie requiert l'activation de celui-ci, les serveurs de correction activeront votre pare-feu pour vous..
- Si votre stratégie d'intégrité indique que vous devez disposer des dernières mises à jour de Windows et que vous n'en avez pas, vous pourriez avoir un serveur WSUS dans votre zone de résolution qui installera les dernières mises à jour sur votre client..
Votre machine ne sera renvoyée sur le réseau de l'entreprise que si vos serveurs NAP le jugent sain. Vous pouvez appliquer NAP de quatre manières différentes, chacune ayant ses propres avantages:
- VPN - L'utilisation de la méthode d'application de VPN est utile dans une entreprise où des télétravailleurs travaillent à distance à partir de leur domicile et utilisent leurs propres ordinateurs. Vous ne pouvez jamais être sûr des malwares que quelqu'un pourrait installer sur un PC sur lesquels vous n'avez aucun contrôle. Lorsque vous utilisez cette méthode, la santé d'un client est vérifiée chaque fois qu'il établit une connexion VPN..
- DHCP - Lorsque vous utilisez la méthode d'application DHCP, le serveur DHCP ne communique à aucun client une adresse réseau valide tant qu'il n'a pas été jugé sain par votre infrastructure NAP..
- IPsec - IPsec est une méthode de chiffrement du trafic réseau à l'aide de certificats. Bien que cela ne soit pas très courant, vous pouvez également utiliser IPsec pour appliquer NAP..
- 802.1x - 802.1x est également parfois appelée authentification basée sur le port et constitue une méthode d'authentification des clients au niveau du commutateur. L'utilisation de la norme 802.1x pour appliquer une stratégie NAP est une pratique courante dans le monde d'aujourd'hui..
Connexions à distance
Pour une raison quelconque à notre époque, Microsoft veut toujours que vous sachiez à propos de ces connexions par numérotation primitives. Les connexions par ligne commutée utilisent le réseau téléphonique analogique, également appelé POTS (Plain Old Telephone Service), pour transmettre des informations d'un ordinateur à un autre. Ils font cela en utilisant un modem, qui est une combinaison des mots moduler et démoduler. Le modem est normalement connecté à votre PC à l’aide d’un câble RJ11 et module les flux d’informations numériques de votre PC en un signal analogique pouvant être transféré sur les lignes téléphoniques. Lorsque le signal atteint sa destination, il est démodulé par un autre modem et reconverti en un signal numérique que l'ordinateur peut comprendre. Pour créer une connexion d'accès à distance, cliquez avec le bouton droit sur l'icône d'état du réseau et ouvrez le Centre Réseau et partage..
Cliquez ensuite sur l’option Créer une nouvelle connexion ou un hyperlien réseau..
Maintenant, choisissez Configurer une connexion à distance et cliquez sur Suivant..
De là, vous pouvez remplir toutes les informations requises.
Remarque: si vous avez une question qui vous oblige à configurer une connexion d'accès à distance pour l'examen, ils vous fourniront les détails pertinents..
Réseaux privés virtuels
Les réseaux privés virtuels sont des tunnels privés que vous pouvez établir sur un réseau public, tel qu'Internet, pour vous permettre de vous connecter en toute sécurité à un autre réseau..
Par exemple, vous pouvez établir une connexion VPN depuis un PC sur votre réseau domestique vers votre réseau d'entreprise. De cette façon, il semblerait que le PC de votre réseau domestique fasse vraiment partie de votre réseau d'entreprise. En fait, vous pouvez même vous connecter à des partages réseau, par exemple si vous aviez pris votre PC et l'aviez branché physiquement à votre réseau de travail avec un câble Ethernet. La seule différence est bien sûr la vitesse: au lieu d’obtenir les vitesses Gigabit Ethernet que vous auriez si vous étiez physiquement au bureau, vous serez limité par la vitesse de votre connexion haut débit..
Vous vous demandez probablement à quel point ces «tunnels privés» sont sécuritaires, car ils «tunnelent» sur Internet. Est-ce que tout le monde peut voir vos données? Non, ils ne peuvent pas, et c'est parce que nous cryptons les données envoyées via une connexion VPN, d'où le nom de réseau «privé» virtuel. Le protocole utilisé pour encapsuler et chiffrer les données envoyées sur le réseau vous appartient, et Windows 7 prend en charge les éléments suivants:
Remarque: Malheureusement, vous devrez connaître ces définitions par cœur pour l'examen..
- Protocole de tunneling point à point (PPTP) - Le protocole de tunnelisation point à point permet d'encapsuler le trafic réseau dans un en-tête IP et de l'envoyer sur un réseau IP, tel qu'Internet..
- Encapsulation: Les trames PPP sont encapsulées dans un datagramme IP, à l'aide d'une version modifiée de GRE.
- Cryptage: Les trames PPP sont cryptées à l’aide du cryptage MPPE (Microsoft Point-to-Point Encryption). Les clés de chiffrement sont générées lors de l'authentification lorsque les protocoles Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) ou Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) sont utilisés..
- Protocole de tunneling de couche 2 (L2TP) - L2TP est un protocole de tunneling sécurisé utilisé pour le transport de trames PPP à l’aide du protocole Internet. Il est partiellement basé sur le protocole PPTP. Contrairement à PPTP, l'implémentation Microsoft de L2TP n'utilise pas MPPE pour chiffrer les trames PPP. Au lieu de cela, L2TP utilise IPsec en mode transport pour les services de chiffrement. La combinaison de L2TP et IPsec est connue sous le nom de L2TP / IPsec.
- Encapsulation: Les cadres PPP sont d'abord enveloppés d'un en-tête L2TP, puis d'un en-tête UDP. Le résultat est ensuite encapsulé en utilisant IPSec.
- Cryptage: Les messages L2TP sont cryptés avec le cryptage AES ou 3DES à l'aide de clés générées à partir du processus de négociation IKE.
- Protocole SSTP (Secure Socket Tunneling Protocol) - SSTP est un protocole de tunneling qui utilise HTTPS. Le port TCP 443 étant ouvert sur la plupart des pare-feu d'entreprise, il s'agit d'un excellent choix pour les pays qui n'autorisent pas les connexions VPN traditionnelles. Il est également très sécurisé car il utilise des certificats SSL pour le chiffrement..
- Encapsulation: Les trames PPP sont encapsulées dans des datagrammes IP.
- Cryptage: Les messages SSTP sont cryptés à l'aide de SSL.
- Echange de clés Internet (IKEv2) - IKEv2 est un protocole de tunneling qui utilise le protocole IPsec Tunnel Mode sur le port UDP 500..
- Encapsulation: IKEv2 encapsule les datagrammes à l'aide des en-têtes IPSec ESP ou AH.
- Cryptage: Les messages sont cryptés avec le cryptage AES ou 3DES à l'aide de clés générées à partir du processus de négociation IKEv2.
Configuration requise pour le serveur
Remarque: Vous pouvez évidemment avoir d'autres systèmes d'exploitation configurés pour être des serveurs VPN. Cependant, ce sont les conditions requises pour faire fonctionner un serveur Windows VPN.
Pour permettre aux utilisateurs de créer une connexion VPN à votre réseau, vous devez disposer d'un serveur exécutant Windows Server et disposer des rôles suivants:
- Routage et accès distant (RRAS)
- Serveur de stratégie réseau (NPS)
Vous devrez également configurer DHCP ou allouer un pool IP statique que les machines connectées via VPN peuvent utiliser..
Création d'une connexion VPN
Pour vous connecter à un serveur VPN, cliquez avec le bouton droit sur l'icône d'état du réseau et ouvrez le Centre Réseau et partage..
Cliquez ensuite sur l’option Créer une nouvelle connexion ou un hyperlien réseau..
Maintenant, choisissez de vous connecter à un lieu de travail et cliquez sur Suivant.
Ensuite, choisissez d'utiliser votre connexion haut débit existante.
P
Vous devez maintenant entrer l'adresse IP ou le nom DNS du serveur VPN sur le réseau auquel vous souhaitez vous connecter. Puis cliquez sur suivant.
Puis entrez votre nom d'utilisateur et votre mot de passe et cliquez sur Connecter.
Une fois que vous êtes connecté, vous pourrez voir si vous êtes connecté à un VPN en cliquant sur l'icône d'état du réseau..
Devoirs
- Lisez l'article suivant sur TechNet, qui vous guide tout au long de la planification de la sécurité pour un VPN..
Remarque: les devoirs d'aujourd'hui sont un peu hors de portée pour l'examen 70-680, mais ils vous permettront de mieux comprendre ce qui se passe dans la scène lorsque vous vous connectez à un VPN à partir de Windows 7..
Si vous avez des questions, vous pouvez me tweeter @taybgibb ou laisser un commentaire..