Polska   Zmień   |   Wszystkie strony Microsoft

Strona główna Windows Server 2008

Microsoft Polska  |  Windows Server System  


Zabezpieczenia i wymuszanie zasad

Ochrona sieci jest jednym z najtrudniejszych zadań, z którymi zmaga się obecnie informatyka. Administratorzy sieci muszą ustanawiać i wymuszać zasady zabezpieczeń, które zapewniają niezawodną ochronę, ale są wystarczająco elastyczne, aby zaspokoić potrzeby dotyczące łączności przy rosnącej liczbie użytkowników wewnętrznych i zewnętrznych, typów urządzeń, konfiguracji systemu i typów połączeń sieciowych. Oprócz kilku poprawek wprowadzonych w usłudze Active Directory, dzięki którym zarządzanie tożsamościami i dostępem jest wydajniejsze, system Windows Server 2008 oferuje dodatkowe ulepszenia dotyczące zabezpieczeń i zasad.

Usługi zasad sieciowych i dostępu sieciowego

Różnorodne metody oferowane przez usługi zasad sieciowych i dostępu sieciowego systemu Windows Server 2008 pomagają zapewnić użytkownikom bezpieczne, lokalne bądź zdalne połączenie z siecią oraz połączenia z segmentami sieci, a także pozwalają administratorom sieci centralnie zarządzać dostępem do sieci i zasadami dotyczącymi kondycji klienta. Dzięki usługom dostępu sieciowego można bezpieczniej wdrażać serwery prywatnej sieci wirtualnej (VPN), serwery oparte na połączeniu telefonicznym i routery oraz zapewniać dostęp do sieci bezprzewodowej zabezpieczonej za pomocą protokołu 802.1X. Można również wdrażać serwery RADIUS oraz proxy, a także za pomocą zestawu administracyjnego Menedżera połączeń tworzyć profile dostępu zdalnego, które umożliwiają komputerom klienckim bezpieczne łączenie się z siecią.

Usługi zasad sieciowych i dostępu sieciowego systemu Windows Server 2008 obejmują następujące rozwiązania związane z łącznością:

  • Ochrona dostępu do sieci. Ochrona dostępu do sieci (NAP) to nowa technologia służąca do tworzenia, wymuszania i blokowania zasad kondycji klienta, która jest dostępna dla systemów operacyjnych Windows XP, Windows Vista oraz Windows Server 2008. Dzięki ochronie dostępu do sieci administratorzy mogą ustanawiać i automatycznie wymuszać zasady kondycji klienta, które mogą zawierać wymagania związane z oprogramowaniem, aktualizacjami zabezpieczeń, konfiguracją komputera i innymi ustawieniami. Więcej informacji można znaleźć na stronie sieci Web poświęconej ochronie dostępu do sieci (NAP)(j. ang.).

  • Wysoce bezpieczny dostęp bezprzewodowy i przewodowy. Dzięki bezpieczniejszej i łatwej we wdrożeniu metodzie uwierzytelniania opartego na haśle dostęp do sieci używających protokołu 802.1X za pomocą punktów dostępu bezprzewodowego jest bezpieczniejszy. Dostęp przewodowy pomaga zabezpieczyć sieci z wdrożonymi przełącznikami uwierzytelniania opartego na protokole 802.1X, wymuszając uwierzytelnianie użytkowników intranetu przed nawiązaniem przez nich połączenia z siecią lub uzyskaniem adresu IP za pomocą protokołu DHCP.

  • Rozwiązania dostępu zdalnego. Rozwiązania dostępu zdalnego pozwalają zapewnić użytkownikom dostęp do sieci firmy za pośrednictwem prywatnej sieci wirtualnej (VPN) oraz tradycyjnego połączenia telefonicznego. Za pomocą rozwiązań prywatnej sieci wirtualnej (VPN) można również połączyć z siecią oddziały firmy, wdrożyć w sieci w pełni funkcjonalne oprogramowanie do kierowania ruchem sieciowym oraz udostępniać połączenia internetowe w intranecie.

  • Centralne zarządzanie zasadami sieciowymi przy użyciu serwera RADIUS oraz proxy. Zamiast konfigurowania zasad dostępu sieciowego dla każdego serwera dostępu sieciowego, takiego jak punkt dostępu bezprzewodowego, przełącznik uwierzytelniania opartego na protokole 802.1X, serwer prywatnej sieci wirtualnej (VPN) czy serwer oparty na połączeniu telefonicznym, można w pojedynczej lokalizacji utworzyć zasady uwzględniające wszystkie aspekty żądań połączeń z siecią. Zasady te mogą między innymi określać, kto i kiedy może łączyć się z siecią, a także jakie wymagania musi wcześniej spełnić.

Ochrona dostępu do sieci

Urządzenia klienckie są coraz bardziej narażone na złośliwe oprogramowanie, takie jak wirusy i robaki. Programy te mogą uzyskać dostęp do niezabezpieczonego lub niewłaściwie skonfigurowanego systemu hosta i za jego pomocą rozprzestrzeniać się na inne urządzenia znajdujące się w sieci firmy. Ochrona dostępu do sieci (NAP) firmy Microsoft oferuje nową platformę pozwalającą administratorom sieci ograniczyć występowanie takich problemów. Nowy zestaw składników systemu operacyjnego Windows Server 2008 i Windows Vista stanowi natomiast platformę, dzięki której komputery klienckie znajdujące się w sieci prywatnej muszą spełniać wymagania związane z kondycją klienta określone przez administratora.

Więcej informacji można znaleźć na stronie sieci Web poświęconej ochronie dostępu do sieci (NAP)(j. ang.)

Zapora systemu Windows z zabezpieczeniami zaawansowanymi

W systemach operacyjnych Windows Vista oraz Windows Server 2008 do konfiguracji Zapory systemu Windows oraz zabezpieczeń IPsec służy pojedyncze narzędzie — przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Domyślnie przystawka Zapora systemu Windows z zabezpieczeniami zaawansowanymi łączy w sobie i ulepsza dwie funkcje, które we wcześniejszych wersjach systemu Windows były konfigurowane oddzielnie:

  • Filtrowanie wszystkich informacji przychodzących i wychodzących, które używają protokołu IP w wersji 4 (IPv4) oraz w wersji 6 (IPv6). Wszystkie informacje przychodzące są domyślnie blokowane, chyba że stanowią odpowiedź na wcześniejsze żądanie (ruch na żądanie) albo istnieje reguła zezwalająca na ich wejście. Ruch wszystkich informacji wychodzących jest domyślnie włączony z wyjątkiem nieoczekiwanej komunikacji standardowych usług, która jest blokowana przez reguły zabezpieczeń usług. Można włączać ruch informacji dla określonych portów, adresów IPv4 lub IPv6, ścieżki i nazwy aplikacji, nazwy usługi uruchomionej na komputerze albo innych kryteriów.

  • Ochrona przychodzącego i wychodzącego ruchu sieciowego za pomocą protokołu IPsec pozwala weryfikować integralność ruchu sieciowego w celu uwierzytelniania tożsamości komputerów albo użytkowników wysyłających lub odbierających dane oraz opcjonalnie szyfrować przesyłane informacje, zapewniając ich poufność.

W poprzednich wersjach systemu Windows wdrożenie izolacji serwera lub domeny czasami wymagało utworzenia dużej liczby zasad protokołu IPsec, które zabezpieczały niektóre informacje, jednocześnie zezwalając na ruch sieciowy, który nie mógł zostać zabezpieczony za pomocą protokołu IPsec. Ten problem został rozwiązany w systemie Windows Server 2008 za pomocą nowego, domyślnego sposobu działania, dzięki któremu środowisko jest bezpieczniejsze, a rozwiązywanie problemów — łatwiejsze.