Windows Server 2008 Ochrona dostępu do sieci (NAP)

Transkrypt

1 Microsoft Windows Server 2008 Ochrona dostępu do sieci (NAP) Joseph Davies i Tony Northrup przy współpracy członków zespołu Microsoft Networking Team

2 Microsoft Windows Server 2008: Ochrona dostępu do sieci (NAP) Edycja polska Microsoft Press Original English language edition 2008Microsoft Corporation Tytuł oryginału: Windows Server 2008 Networking and Network Access Protection (NAP) Polish edition by APN PROMISE Sp. z o. o. Warszawa 2008 APN PROMISE Sp. z o. o., biuro: Warszawa, ul. Zielna 39 tel. (022) ; fax (022) mspress@promise.pl Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana ani rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny), włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez pisemnej zgody wydawcy. Microsoft, Microsoft Press, Active Directory, ActiveX, Internet Explorer, MSDN, Outlook, SQL Server, Visual Basic, Visual Studio, Windows, Windows Media, Windows Server oraz Windows Vista są zarejestrowanymi znakami towarowymi Microsoft Corporation. Wszystkie inne nazwy handlowe i towarowe występujące w niniejszej publikacji mogą być znakami towarowymi zastrzeżonymi lub nazwami zastrzeżonymi odpowiednich firm odnośnych właścicieli. Przykłady firm, produktów, osób i wydarzeń opisane w niniejszej książce są fikcyjne i nie odnoszą się do żadnych konkretnych firm, produktów, osób i wydarzeń. Ewentualne podobieństwo do jakiejkolwiek rzeczywistej firmy, organizacji, produktu, nazwy domeny, adresu poczty elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone. APN PROMISE Sp. z o. o. dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji. APN PROMISE Sp. z o. o. nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli APN PROMISE została powiadomiona o możliwości wystąpienia szkód. ISBN: Przekład: Krzysztof Szkudlarek, Marcin Chościłowicz, Agnieszka Styś Redakcja: Marek Włodarz Korekta: Ewa Swędrowska Skład i łamanie: MAWart Marek Włodarz

3 Dla Davida Wrighta Joseph Davies Dla Jenny Lozier Tony Northrup

4 iv Spis treści Spis treści Podziękowania...xvii Wprowadzenie... xix Konwencje wykorzystane w książce... xx Wskazówki dla Czytelnika... xx O zawartości płyty CD... xxi Wymagania systemowe... xxii Pomoc techniczna... xxii Część I Infrastruktura adresowania i przepływu pakietów 1 Protokół IPv Pojęcia... 3 Warstwy sieciowe... 3 Adresowanie protokołu IPv Prywatne adresy protokołu IPv Mechanizm automatycznego nadawania prywatnych adresów IP (APIPA)... 8 Adresy rozgłoszeniowe... 8 Translacja adresów sieciowych...10 Adresowanie w warstwie 2 i w warstwie Protokoły warstwy 4: UDP i TCP...13 Czynniki wymagające uwzględnienia podczas planowania i projektowania...14 Projektowanie połączenia z siecią Internet...14 Tworzenie schematu adresowania protokołu IPv Planowanie adresów hostów...17 Korzystanie z tuneli VPN...17 Planowanie nadmiarowości...19 Korzystanie z komputerów z kilkoma połączeniami sieciowymi...20 Kroki procesu wdrożenia...21 Ręczne konfigurowanie klientów pracujących z protokołem IPv Konfigurowanie sposobu zachowywania się klienta w sytuacji braku dostępnego serwera DHCP...22 Dodawanie nowych tras do tabeli tras...22 Bieżące zadania administracyjne...23 Rozwiązywanie problemów...23 ARP...23 Ipconfig...24 Netstat...25 PathPing...26 Monitor wydajności...27 Ping...28

5 Spis treści v Menedżer zadań...29 Diagnostyka sieci systemu Windows Network Diagnostics...29 Podsumowanie rozdziału...30 Informacje dodatkowe Protokół IPv Pojęcia...31 Różnice pomiędzy protokołami IPv4 i IPv Adresowanie protokołu IPv Automatyczna konfiguracja protokołu IPv DHCPv Wykrywanie sąsiadów...42 Zabezpieczenia protokołu IPv Technologie wspomagające przechodzenie do protokołu IPv Czynniki wymagające uwzględnienia podczas planowania i projektowania...51 Migracja do protokołu IPv Uzyskiwanie adresów IPv Planowanie aktualizacji infrastruktury sieciowej...52 Planowanie wykorzystania technologii wspierających przechodzenie do protokołu IPv Kroki procesu wdrożenia...55 Wyłączanie protokołu IPv Ręczne konfigurowanie protokołu IPv Konfigurowanie protokołu IPv6 za pomocą skryptu...57 Włączanie obsługi technologii ISATAP...57 Włączanie obsługi technologii Teredo...60 Konfigurowanie komputera jako routera protokołu IPv Bieżące zadania administracyjne...65 Rozwiązywanie problemów...65 Netsh...65 Ipconfig...66 Nslookup...67 Rozwiązywanie problemów związanych z funkcjonowaniem technologii Teredo..68 Podsumowanie rozdziału...69 Informacje dodatkowe Protokół DHCP...71 Pojęcia...71 Proces przydzielania adresu przez serwer DHCP...71 Cykl życia klienta DHCP...73 Czynniki wymagające uwzględnienia podczas planowania i projektowania...73 Serwery DHCP...74 Agenci przekazywania DHCP...75 Czas trwania dzierżawy DHCP...76 Projektowanie zakresów...77 Łączenie serwerów DHCP w klastry...78

6 vi Spis treści Dynamiczny system DNS...78 Kroki procesu wdrożenia...79 Serwery DHCP...79 Agenci przekazywania DHCP...89 Konfiguracja klienta protokołu DHCP...90 Bieżące zadania administracyjne...91 Monitorowanie serwerów DHCP...92 Ręczne archiwizowanie i odtwarzanie serwera DHCP...93 Rozwiązywanie problemów...94 Rozwiązywanie problemów związanych z klientami protokołu DHCP...95 Rozwiązywanie problemów związanych z serwerami DHCP...95 Używanie funkcji rejestrowania inspekcji do analizy zachowania serwera DHCP...96 Podsumowanie rozdziału...97 Informacje dodatkowe Zapora systemu Windows z zabezpieczeniami zaawansowanymi...99 Pojęcia...99 Filtrowanie pakietów za pomocą zapory ogniowej systemu Windows Ochrona przesyłanych w sieci danych za pomocą protokołu IPsec Czynniki wymagające uwzględnienia podczas planowania i projektowania Planowanie zasad zapory ogniowej systemu Windows Ochrona komunikacji za pomocą protokołu IPsec Kroki procesu wdrożenia Konfigurowanie ustawień zapory ogniowej za pomocą zasad grupy Reguły zabezpieczeń połączeń IPsec Bieżące zadania administracyjne Rozwiązywanie problemów Funkcja rejestrowania zapory ogniowej systemu Windows Monitorowanie skojarzeń zabezpieczeń protokołu IPsec Korzystanie z monitora sieci Podsumowanie rozdziału Informacje dodatkowe Zarządzanie mechanizmem QoS przy użyciu zasad grupy Pojęcia Przyczyny problemów z wydajnością sieci W czym może pomóc stosowanie mechanizmu QoS Mechanizm QoS dla ruchu wychodzącego Mechanizm QoS dla ruchu przychodzącego Implementacja mechanizmu QoS Czynniki wymagające uwzględnienia podczas planowania i projektowania Określanie celów stosowania mechanizmu QoS Planowanie wartości kodów DSCP Planowanie dławienia ruchu Wymagania sprzętowe i programowe Planowanie obiektów zasad grupy oraz zasad QoS

7 Spis treści vii Zasady QoS dla komputerów mobilnych pracujących z systemem Windows Vista Kroki procesu wdrożenia Sposób konfigurowania mechanizmów QoS za pomocą ustawień zasad grupy 153 Konfigurowanie ogólnosystemowych ustawień QoS Bieżące zadania administracyjne Usuwanie zasad QoS Edycja zasad QoS Monitorowanie działania mechanizmu QoS Rozwiązywanie problemów Analizowanie zasad QoS Sprawdzanie zachowywania w sieci kodów DSCP Izolowanie przyczyn problemów z wydajnością sieci Podsumowanie rozdziału Informacje dodatkowe Budowanie skalowalnych sieci Pojęcia TCP Chimney Offload Receive-Side Scaling (Skalowanie po stronie odbierającej) NetDMA IPsec Offload Czynniki wymagające uwzględnienia podczas planowania i projektowania Ocenianie skalowalnych technologii sieciowych Testy obciążeniowe serwerów Monitorowanie wydajności serwera Kroki procesu wdrożenia Konfigurowanie technologii TCP Chimney Offload Konfigurowanie technologii Receive-Side Scaling Konfigurowanie technologii NetDMA Konfigurowanie technologii IPsec Offload Bieżące zadania administracyjne Rozwiązywanie problemów Rozwiązywanie problemów związanych z funkcjonowaniem technologii TCP Chimney Offload Rozwiązywanie problemów związanych z funkcjonowaniem technologii IPsec Offload Podsumowanie rozdziału Informacje dodatkowe Część II Infrastruktura rozwiązywania nazw 7 Usługa DNS Pojęcia Hierarchia systemu DNS Strefy systemu DNS

8 viii Spis treści Rekordy systemu DNS Dynamiczne aktualizacje DNS Tłumaczenie nazw przez system DNS Czynniki wymagające uwzględnienia podczas planowania i projektowania Strefy DNS Rozmieszczenie serwerów DNS Replikacja stref DNS Zabezpieczenia systemu DNS Strefa GlobalNames Kroki procesu wdrożenia Konfigurowanie serwera DNS Konfigurowanie serwera DHCP Konfigurowanie klientów usługi DNS Konfigurowanie nadmiarowych serwerów DNS Bieżące zadania administracyjne Dodawanie zasobów rekordów Administrowanie strefami Automatyczne monitorowanie Promowanie strefy pomocniczej na strefą podstawową Rozwiązywanie problemów Dzienniki zdarzeń Korzystanie z programu Nslookup Rejestrowanie w trybie Debug po stronie serwera Korzystanie z programu DNSLint Korzystanie z programu DCDiag Korzystanie z monitora sieci Podsumowanie rozdziału Informacje dodatkowe Usługa WINS Pojęcia Historia Nazwy systemu NetBIOS Tłumaczenie nazw przez usługę WINS Rejestracje klientów WINS Czynniki wymagające uwzględnienia podczas planowania i projektowania Rozmieszczenie serwerów WINS Replikacja WINS Kroki procesu wdrożenia Konfigurowanie serwera WINS Konfigurowanie replikacji WINS Konfigurowanie klientów usługi WINS Bieżące zadania administracyjne Wykonywanie kopii zapasowej bazy danych serwera WINS Kompaktowanie bazy danych serwera WINS Sprawdzanie spójności bazy danych

9 Spis treści ix Monitorowanie serwera WINS Dodawanie statycznych rekordów WINS Usuwanie rekordów WINS Rozwiązywanie problemów Rozwiązywanie problemów związanych z serwerami WINS Rozwiązywanie problemów związanych z klientami serwera WINS Podsumowanie rozdziału Informacje dodatkowe Część III Infrastruktura dostępu do sieci 9 Infrastruktura uwierzytelniania Pojęcia Usługa katalogowa domeny Active Directory Infrastruktura klucza publicznego Zasady grupy RADIUS Czynniki wymagające uwzględnienia podczas planowania i projektowania Usługa katalogowa Active Directory Infrastruktura PKI Zasady grupy Serwer RADIUS Kroki procesu wdrożenia Wdrażanie usługi katalogowej Active Directory Wdrażanie infrastruktury PKI Zasady grupy Serwery RADIUS Stosowanie serwerów proxy protokołu RADIUS do uwierzytelniania pomiędzy domenami Stosowanie serwerów proxy protokołu RADIUS do skalowania infrastruktury uwierzytelniania Bieżące zadania administracyjne Usługa Active Directory Infrastruktura PKI Zasady grupy Serwery RADIUS Narzędzia służące do rozwiązywania problemów Usługa Active Directory Infrastruktura PKI Zasady grupy Serwery RADIUS Podsumowanie rozdziału Informacje dodatkowe

10 x Spis treści 10 Sieci bezprzewodowe IEEE Pojęcia Obsługa standardów IEEE Zabezpieczenia sieci bezprzewodowej Składniki bezprzewodowych sieci typu Czynniki wymagające uwzględnienia podczas planowania i projektowania Technologie zabezpieczeń bezprzewodowych Tryby uwierzytelniania bezprzewodowego Infrastruktura sieci intranetowej Rozmieszczenie bezprzewodowych punktów dostępowych Infrastruktura uwierzytelniania Klienci bezprzewodowi Infrastruktura PKI Narzucanie 802.1X i platforma NAP Wdrażanie chronionego dostępu do sieci bezprzewodowej Wdrażanie certyfikatów Konfigurowanie kont i grup usługi katalogowej Active Directory Konfigurowanie serwerów NPS Wdrażanie bezprzewodowych punktów dostępowych Konfigurowanie klientów bezprzewodowych Bieżące zadania administracyjne Zarządzanie kontami użytkowników i komputerów Zarządzanie bezprzewodowymi punktami dostępowymi Aktualizowanie profili bezprzewodowych w formacie XML Rozwiązywanie problemów Narzędzia systemu Windows służące do rozwiązywania problemów związanych z sieciami bezprzewodowymi Rozwiązywanie problemów na bezprzewodowym kliencie z systemem Windows Rozwiązywanie problemów związanych z bezprzewodowymi punktami dostępowymi Rozwiązywanie problemów związanych z funkcjonowaniem infrastruktury uwierzytelniania Podsumowanie rozdziału Informacje dodatkowe Uwierzytelnianie IEEE 802.1X w sieciach przewodowych Pojęcia Składniki przewodowej sieci z uwierzytelnianiem 802.1X Czynniki wymagające uwzględnienia podczas planowania i projektowania Metody uwierzytelniania połączeń przewodowych Tryby uwierzytelniania połączeń przewodowych Infrastruktura uwierzytelniania Klienci przewodowi Infrastruktura PKI Narzucanie 802.1X i platforma NAP

11 Spis treści xi Wdrażanie dostępu do sieci przewodowej z uwierzytelnianiem 802.1X Wdrażanie certyfikatów Konfigurowanie kont i grup usługi katalogowej Active Directory Konfigurowanie serwerów NPS Konfigurowanie przełączników sieciowych z obsługą standardu 802.1X Konfigurowanie klientów przewodowych Bieżące zadania administracyjne Zarządzanie kontami użytkowników i komputerów Zarządzanie przełącznikami sieciowymi z obsługą standardu 802.1X Aktualizowanie profili przewodowych w formacie XML Rozwiązywanie problemów Narzędzia systemu Windows, służące do rozwiązywania problemów związanych z sieciami przewodowymi Rozwiązywanie problemów na przewodowym kliencie z systemem Windows Rozwiązywanie problemów związanych z przełącznikami sieciowymi, obsługującymi standard 802.1X Rozwiązywanie problemów związanych z funkcjonowaniem infrastruktury uwierzytelniania Podsumowanie rozdziału Informacje dodatkowe Zdalny dostęp poprzez połączenia VPN Pojęcia Składniki opartego na systemie Windows, zdalnego dostępu za pośrednictwem połączeń VPN Czynniki wymagające uwzględnienia podczas planowania i projektowania Protokoły połączeń VPN Metody uwierzytelniania Serwery VPN Infrastruktura sieci Internet Infrastruktura sieci Intranet Jednoczesność dostępu dla klientów VPN do sieci Internet oraz do sieci intranetowej Infrastruktura uwierzytelniania Klienci VPN Infrastruktura PKI Narzucanie VPN i platforma NAP Dodatkowe kwestie związane z bezpieczeństwem Silne szyfrowanie łącza Filtrowanie pakietów połączenia VPN na serwerze VPN Filtrowanie przez zaporę ogniową pakietów połączeń VPN Wykorzystywanie serwerów VPN do różnych celów Blokowanie ruchu trasowanego przez klientów VPN Jednoczesność dostępu Nieużywane protokoły VPN Wdrażanie zdalnego dostępu do sieci opartego na połączeniach VPN

12 xii Spis treści Wdrażanie certyfikatów Konfigurowanie infrastruktury dostępu do sieci Internet Konfigurowanie kont użytkowników i grup usługi katalogowej Active Directory Konfigurowanie serwerów RADIUS Wdrażanie serwerów VPN Konfigurowanie infrastruktury sieci intranetowej Wdrażanie klientów VPN Bieżące zadania administracyjne Zarządzanie kontami użytkowników Zarządzanie serwerami VPN Aktualizowanie profili menedżera połączeń Rozwiązywanie problemów Narzędzia służące do rozwiązywania problemów Rozwiązywanie problemów związanych ze zdalnym dostępem za pomocą połączeń VPN Podsumowanie rozdziału Informacje dodatkowe Połączenia VPN pomiędzy lokalizacjami Pojęcia Omówienie funkcji trasowania z wybieraniem numeru na żądanie Składniki opartych na systemie Windows połączeń VPN pomiędzy dwiema lokalizacjami Czynniki wymagające uwzględnienia podczas planowania i projektowania Protokoły VPN Metody uwierzytelniania Routery VPN Infrastruktura sieci Internet Infrastruktura wewnętrznej sieci w łączonych lokalizacjach Infrastruktura uwierzytelniania Infrastruktura PKI Wdrażanie połączeń VPN pomiędzy lokalizacjami Wdrażanie certyfikatów Konfigurowanie infrastruktury dostępu do sieci Internet Konfigurowanie kont użytkowników i grup usługi katalogowej Active Directory Konfigurowanie serwerów RADIUS Wdrażanie routerów odbierających Wdrażanie routerów wywołujących Konfigurowanie infrastruktury sieci wewnętrznej Konfigurowanie infrastruktury sieciowej znajdującej się pomiędzy lokalizacjami Bieżące zadania administracyjne Zarządzanie kontami użytkowników Zarządzanie routerami VPN

13 Spis treści xiii Rozwiązywanie problemów Narzędzia służące do rozwiązywania problemów Rozwiązywanie problemów związanych z połączeniami VPN łączącymi dwie lokalizacje Podsumowanie rozdziału Informacje dodatkowe Część IV Infrastruktura ochrony dostępu do sieci 14 Omówienie mechanizmu ochrony dostępu do sieci Potrzeba stosowania ochrony dostępu do sieci Złośliwe oprogramowanie i jego wpływ na stosowanie komputerów w przedsiębiorstwie Ochrona przez złośliwym oprogramowaniem w sieciach korporacyjnych Rola platformy NAP Korzyści biznesowe ze stosowania platformy NAP Składniki platformy NAP Agenci kondycji systemu oraz składniki weryfikujące kondycję systemu Klienci i serwery narzucania Serwery NPS Metody narzucania Narzucanie IPsec Narzucanie 802.1X Narzucanie VPN Narzucanie DHCP Sposób działania platformy NAP Sposób działania narzucania IPsec Sposób działania narzucania 802.1X Sposób działania narzucania VPN Sposób działania narzucania DHCP Podsumowanie rozdziału Informacje dodatkowe Przygotowanie mechanizmów ochrony dostępu do sieci Ocena aktualnej infrastruktury sieciowej Komputery intranetowe Pomocnicza infrastruktura sieciowa Serwery zasad kondycji NAP Czynniki wymagające uwzględnienia podczas planowania i projektowania Kroki procesu wdrożenia Bieżące zadania administracyjne Konfiguracja zasad wymogów kondycji Składniki zasad wymogów kondycji Sposób przeprowadzania oceny kondycji klienta NAP Czynniki wymagające uwzględnienia podczas planowania i projektowania zasad wymogów kondycji

14 xiv Spis treści Serwery naprawcze Serwery naprawcze a metody narzucania NAP Czynniki wymagające uwzględnienia w procesie planowania i projektowania serwerów naprawczych Podsumowanie rozdziału Informacje dodatkowe Narzucanie IPsec Omówienie metod narzucania IPsec Sieci logiczne tworzone przez metody narzucania IPsec Procesy zachodzące podczas inicjowania komunikacji objętej metodami narzucania IPSec Reguły zabezpieczeń połączeń dla metod narzucania IPsec Czynniki wymagające uwzględnienia podczas planowania i projektowania Usługa katalogowa Active Directory Infrastruktura PKI Urzędy rejestrowania kondycji Zasady protokołu IPsec Klienci NAP Wdrażanie metod narzucania IPSec Konfigurowanie usługi Active Directory Konfigurowanie infrastruktury PKI Konfigurowanie urzędów rejestrowania kondycji Konfigurowanie serwerów zasad kondycji NAP Konfigurowanie serwerów naprawczych w sieci granicznej Konfigurowanie klientów NAP Punkt kontrolny dla procesu wdrażania metod narzucania IPsec w trybie raportowania Konfigurowanie i stosowanie zasad protokołu IPsec Bieżące zadania administracyjne Dodawanie nowego klienta NAP Dodawanie nowych agentów SHA oraz nowych modułów SHV Zarządzanie urzędami certyfikacji platformy NAP Zarządzanie urzędami rejestrowania kondycji Rozwiązywanie problemów Narzędzia służące do rozwiązywania problemów Rozwiązywanie problemów związanych z metodami narzucania IPSec Podsumowanie rozdziału Informacje dodatkowe Narzucanie 802.1X Omówienie metod narzucania 802.1X Stosowanie list ACL Stosowanie sieci VLAN Czynniki wymagające uwzględnienia podczas planowania i projektowania Grupa zabezpieczeń dla wykluczania NAP

15 Spis treści xv Metody uwierzytelniania 802.1X Typ narzucania 802.1X Punkty dostępowe 802.1X Klienci NAP Wdrażanie metod narzucania 802.1X Konfigurowanie usługi Active Directory Konfigurowanie metody uwierzytelniania opartej na protokole PEAP Konfigurowanie punktów dostępowych 802.1X Konfigurowanie serwerów naprawczych w sieci z ograniczeniami Konfigurowanie serwerów zasad kondycji NAP Konfigurowanie klientów NAP Punkt kontrolny dla procesu wdrażania metod narzucania 802.1X w trybie raportowania Testowanie ograniczania dostępu do sieci Konfigurowanie zasad sieci dla niezgodnych klientów NAP do pracy w trybie odroczonego narzucania Konfigurowanie zasady sieciowej do pracy w trybie narzucania Bieżące zadania administracyjne Dodawanie nowego klienta NAP Dodawanie nowych agentów SHA oraz nowych modułów SHV Zarządzanie punktami dostępowymi 802.1X Rozwiązywanie problemów Narzędzia służące do rozwiązywania problemów Rozwiązywanie problemów związanych z metodami narzucania 802.1X Podsumowanie rozdziału Informacje dodatkowe Narzucanie VPN Omówienie metod narzucania VPN Czynniki wymagające uwzględnienia podczas planowania i projektowania Stosowanie składnika Network Access Quarantine Control Grupa zabezpieczeń dla wykluczania NAP Rodzaje filtrowania pakietów Metody uwierzytelniania połączeń VPN Serwery VPN Klienci NAP Wdrażanie metod narzucania VPN Konfigurowanie usługi Active Directory Konfigurowanie serwerów VPN Konfigurowanie metody uwierzytelniania opartej na protokole PEAP Konfigurowanie serwerów naprawczych Konfigurowanie serwerów zasad kondycji NAP Konfigurowanie klientów NAP Punkt kontrolny dla procesu wdrażania metod narzucania VPN w trybie raportowania Testowanie ograniczania dostępu do sieci

16 xvi Spis treści Konfigurowanie trybu odroczonego narzucania Konfigurowanie zasady sieciowej do pracy w trybie narzucania Bieżące zadania administracyjne Dodawanie nowego klienta NAP Dodawanie nowych agentów SHA oraz nowych modułów SHV Rozwiązywanie problemów Narzędzia służące do rozwiązywania problemów Rozwiązywanie problemów związanych z metodami narzucania VPN Podsumowanie rozdziału Informacje dodatkowe Narzucanie DHCP Omówienie metod narzucania DHCP Czynniki wymagające uwzględnienia podczas planowania i projektowania Grupa zabezpieczeń dla wykluczania NAP Serwery DHCP Serwery zasad kondycji NAP Zasady wymogów kondycji dla określonych zakresów DHCP Opcje DHCP dla klientów NAP Sposób zachowywania się metod narzucania DHCP w przypadku braku dostępności serwera zasad kondycji NAP Klienci NAP Wdrażanie metod narzucania DHCP Konfigurowanie serwerów naprawczych Konfigurowanie serwerów zasad kondycji NAP Konfigurowanie klientów NAP Konfigurowanie serwerów DHCP Punkt kontrolny dla procesu wdrażania metod narzucania DHCP w trybie raportowania Testowanie ograniczania dostępu do sieci Konfigurowanie trybu odroczonego narzucania Konfigurowanie zasady sieciowej do pracy w trybie narzucania Bieżące zadania administracyjne Dodawanie nowego klienta NAP Dodawanie nowych agentów SHA oraz nowych modułów SHV Rozwiązywanie problemów Narzędzia służące do rozwiązywania problemów Rozwiązywanie problemów związanych z metodami narzucania DHCP Podsumowanie rozdziału Informacje dodatkowe Indeks

17 Podziękowania Joseph Davies i Tony Northrup pragną podziękować licznym członkom zespołu zajmującego się tworzeniem systemu Windows Server 2008 oraz innym ekspertom z firmy Microsoft, którzy przyczynili się do powstania tej książki, poświęcając setki godzin swojego cennego czasu na dokładne przeglądanie treści kolejnych rozdziałów pod kątem precyzji podanych w nich informacji technicznych, wnosząc własne uwagi do treści rozdziałów oraz niestrudzenie służąc nam swoimi radami, zachętami oraz pomocą przy tworzeniu tej książki. W szczególności chcielibyśmy podziękować następującym współautorom z firmy Microsoft, za napisanie notatek uzupełniających ( Prosto ze źródła ), zawierających tak dokładne informacje o wewnętrznych aspektach funkcjonowania systemu i jego elementów, które mogły być znane tylko tym ekspertom (w kolejności według rozdziałów): Dmitry Anipko, programista z grupy Windows Core Networking Group Sean Siler, menedżer programu IPv6 w zespole Windows Core Networking Group Santosh Chandwani, menedżer wiodącego programu z grupy Enterprise Networking Group Ian Hameroff, starszy menedżer produktu z grupy Security and Access Product Marketing Gabe Frost, menedżer produktu z grupy Windows Core Networking Rade Trimceski, menedżer programu z grupy Windows Networking and Devices Group Jeff Westhead, starszy inżynier oprogramowania z grupy Enterprise Networking Group Anthony Witecki, starszy konsultant z działu Microsoft Services, Public Sector Chris Irwin, inżynier z grupy Premier Field Engineering Group Clay Seymour, inżynier eskalacji problemów w dziale Enterprise Platform Support Tim Quinn, inżynier eskalacji problemów w dziale Enterprise Platform Support James McIllece, autor artykułów technicznych z działu Windows Server User Assistance Group Samir Jain, wiądący menedżer programu z centrum India Development Center Greg Lindsay, autor artykułów technicznych z grupy Windows Server User Assistance Group John Morello, starszy menedżer programu z grupy Windows Server Customer Connection Group W czasie powstawania tej książki, system Windows Server 2008 znajdował się jeszcze w fazie tworzenia i wielu spośród najbardziej błyskotliwych pracowników firmy Microsoft recenzowało jej rozdziały dokonując korekt, ostrzegając o zmianach wprowadzanych do systemu operacyjnego i sugerując umieszczenie w książce dodatkowych informacji. xvii

18 xviii Podziękowania Dlatego chcieliśmy serdecznie podziękować wszystkim naszym recenzentom (wymienionym w kolejności według rozdziałów): Mike Barrett, Dmitri Anipko, Ben Shultz, Thiago Hirai, Mahesh Narayanan, Santosh Chandwani, Jason Popp, Hermant Banavar, Osama Mazahir, Ian Hameroff, Rade Trimceski, Alireza Dabagh, Chandra Nukala, Arren Conner, Jeff Westhead, Sudhakar Pasupuleti, Yi Zhao, Subhasish Bhattacharya, Tim Quinn, Clay Seymour, Chris Irwin, Greg Lindsay, James MacIllece, Anthony Leibovitz, Sreenivas Addagatla, Arvind Jayakar, Brit Weston, Lee Gibson, Drew Baron, Brit Weston, Dhiraj Gupta, Samir Jain, Puja Pandey, Tushar Gupta, Manu Jeewani, Jim Holtzman, Kevin Rhodes, Steve Espinosa, Tom Kelnar, Kedar Mohare, Pat Fetty, Gavin Carius, Wai-O Hui, Harini Muralidharan, Richard Costleigh, Ryan Hurst, Chris Edson, Chandra Nukala, Abhishek Tiwari, Aanand Ramachandran, John Morrello oraz Barry Mendonca. Dodatkowe podziękowania chcielibyśmy złożyć członkom społeczności Microsoft Security Review Board za ich dokładne zapoznanie się z treścią całej książki. Jeśli pominęliśmy kogokolwiek na powyższej liście, prosimy o wybaczenie! Joseph chciałby w tym miejscu wyrazić osobiste podziękowanie i uhonorować Grega Lindsaya za poświęcenie swojego czasu i wysiłku na wielogodzinne spotkania, dyskusje, recenzje techniczne oraz napisanie kilku zamieszczonych w tej książce notatek uzupełniających dotyczących systemu ochrony dostępu do sieci. Tony pragnie także wyrazić osobiste podziękowanie dla Boba Hogana za jego wkład w powstanie tej książki znacznie wykraczający poza obowiązki edytora technicznego oraz dla Hayleya Bellamy za pomoc w rozwiązaniu krytycznego problemu sprzętowego. Na koniec chcielibyśmy wspólnie podziękować naszemu znakomitemu zespołowi redakcyjnemu z wydawnictwa Microsoft Press za jego pracę nad tym projektem. Nasze podziękowania kierujemy do Martina DelRe, Jennego Moss Bensona, Maureena Zimmermana, Marii Gargiulo i Susan McClung, Joela Rosenthala, Boba Hogana, Mary Rosewood oraz do Setha Maislina z Interactive Composition Corporation, za ich niesłabnącą energię i niezmordowane zaangażowanie, które przyczyniło się do powodzenia tego przedsięwzięcia. Joseph i Tony

19 Wprowadzenie Zapraszamy do lektury Sieci w systemie Windows Server 2008 oraz ochrona dostępu do sieci. Przy tworzeniu odpowiedniej infrastruktury adresowania i przesyłania pakietów, używającej protokołu IPv4 (Internet Protocol version 4) i IPv6 (Internet Protocol), protokołu DHCP (Dynamic Host Configuration Protocol), indywidualnych zapór ogniowych i protokołu IPSec (Internet Protocol security), opartych na zasadach mechanizmów jakości usług (QoS Quality of Service) oraz innych skalowanych technologii sieciowych, korzystać można ze wskazówek wdrożeniowych, podanych w części I tej książki. Przy tworzeniu infrastruktury tłumaczenia nazw na adresy IP, opartej na usłudze DNS (Domain Name System) oraz WINS (Windows Internet Name Service), wykorzystać można wskazówki wdrożeniowe, zawarte w części II. Ze wskazówek podanych w części III tej książki można także skorzystać podczas wdrażania infrastruktury dostępu do sieci, składającej się z usług domeny Active Directory, infrastruktury klucza publicznego, zasad grupy oraz serwerów RADIUS (Remote Authentication Dial-In User Service), zapewniających centralizację funkcji uwierzytelniania, autoryzowania i ewidencjonowania informacji o aktywności. Przygotowana w ten sposób infrastruktura dostępu do sieci może obsługiwać wiele różnych metod uwierzytelnianego i autoryzowanego dostępu do sieci, włącznie z sieciami bezprzewodowymi typu IEEE (Institute of Electrical and Electronics Engineers), uwierzytelniającymi przełącznikami sieci Ethernet oraz połączeniami sieci VPN (Virtual Private Network Wirtualna sieć prywatna). Po przygotowaniu odpowiedniej infrastruktury adresowania i przesyłania pakietów, tłumaczenia nazw na adresy oraz dostępu do sieci, korzystając ze wskazówek podanych w części IV można wdrożyć w sieci platformę NAP (Network Access Protection Ochrona dostępu do sieci), pozwalającą na egzekwowanie zgodności z przyjętymi wymogami w zakresie kondycji systemu dla komunikacji chronionej za pomocą protokołu IPSec, sieci przewodowych i bezprzewodowych z uwierzytelnianiem dostępu według standardu IEEE 802.1X, zdalnego dostępu do sieci za pomocą połączeń VPN oraz klientów pobierających swoją konfigurację adresową z serwera DHCP. xix

20 xx Wprowadzenie Konwencje wykorzystane w książce Dla lepszego uwypuklenia specalnych funkcji lub zastosowań, w książce tej przyjęte zostały następujące konwencje: Wskazówki dla Czytelnika W treści tej książki można spotkać następujące wskazówki dla Czytelnika, przekazujące dodatkowe użyteczne informacje: Wskazówka dla Czytelnika Uwaga Znaczenie Podkreśla wagę konkretnego pojęcia lub wyjaśnia specjalne przypadki, które mogą nie mieć zastosowania w każdej sytuacji. Dodatkowe informacje Odsyła Czytelnika do źródeł zawierających bardziej wyczerpujące informacje na dany temat. Na dysku CD Zwraca uwagę Czytelnika na związane z tematem łącza, znajdujące się na towarzyszącej książce płycie CD, mogące ułatwiać realizację opisywanego w tekście zadania. Notatki uzupełniające W tekście tej książki występują następujące notatki uzupełniające, dostarczające dodatkowych informacji na temat wewnętrznych szczegółów działania, wskazówek oraz porad, dotyczących działania sieci oraz technologii ochrony dostępu do sieci (NAP): Notatka uzupełniająca Prosto ze źródła Sposób działania Znaczenie Informacje redagowane przez ekspertów z firmy Microsoft, dostarczające pochodzących prosto ze źródła informacji na temat wewnętrznego sposobu działania opisywanych technologii, wskazówek praktycznych oraz wskazówek pomagających w rozwiązywaniu napotykanych problemów. Zawiera dodatkowe objaśnienia omawianej funkcji oraz sposobu jej działania. Przykłady poleceń Poniżej przedstawione zostały konwencje typograficzne, używane w zamieszonych w tej książce przykładach poleceń: Styl Czcionka pogrubiona Znaczenie Oznacza tekst, który musi zostać wpisany przez użytkownika (zaznaczone w ten sposób znaki muszą zostać wpisane dokładnie tak, jak to pokazano w przykładzie).