Windows Server 2008 Ochrona dostępu do sieci (NAP)

Microsoft Windows Server 2008 Ochrona dostępu do sieci (NAP) Joseph Davies i Tony Northrup przy współpracy członków zespołu Microsoft Networking Team

Microsoft Windows Server 2008: Ochrona dostępu do sieci (NAP) Edycja polska Microsoft Press Original English language edition 2008Microsoft Corporation Tytuł oryginału: Windows Server 2008 Networking and Network Access Protection (NAP) Polish edition by APN PROMISE Sp. z o. o. Warszawa 2008 APN PROMISE Sp. z o. o., biuro: 00-108 Warszawa, ul. Zielna 39 tel. (022) 355-16-00; fax (022) 355-16-99 e-mail: mspress@promise.pl Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana ani rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny), włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez pisemnej zgody wydawcy. Microsoft, Microsoft Press, Active Directory, ActiveX, Internet Explorer, MSDN, Outlook, SQL Server, Visual Basic, Visual Studio, Windows, Windows Media, Windows Server oraz Windows Vista są zarejestrowanymi znakami towarowymi Microsoft Corporation. Wszystkie inne nazwy handlowe i towarowe występujące w niniejszej publikacji mogą być znakami towarowymi zastrzeżonymi lub nazwami zastrzeżonymi odpowiednich firm odnośnych właścicieli. Przykłady firm, produktów, osób i wydarzeń opisane w niniejszej książce są fikcyjne i nie odnoszą się do żadnych konkretnych firm, produktów, osób i wydarzeń. Ewentualne podobieństwo do jakiejkolwiek rzeczywistej firmy, organizacji, produktu, nazwy domeny, adresu poczty elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone. APN PROMISE Sp. z o. o. dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji. APN PROMISE Sp. z o. o. nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli APN PROMISE została powiadomiona o możliwości wystąpienia szkód. ISBN: 978-83-7541-024-2 Przekład: Krzysztof Szkudlarek, Marcin Chościłowicz, Agnieszka Styś Redakcja: Marek Włodarz Korekta: Ewa Swędrowska Skład i łamanie: MAWart Marek Włodarz

Dla Davida Wrighta Joseph Davies Dla Jenny Lozier Tony Northrup

iv Spis treści Spis treści Podziękowania...xvii Wprowadzenie... xix Konwencje wykorzystane w książce... xx Wskazówki dla Czytelnika... xx O zawartości płyty CD... xxi Wymagania systemowe... xxii Pomoc techniczna... xxii Część I Infrastruktura adresowania i przepływu pakietów 1 Protokół IPv4... 3 Pojęcia... 3 Warstwy sieciowe... 3 Adresowanie protokołu IPv4... 4 Prywatne adresy protokołu IPv4... 6 Mechanizm automatycznego nadawania prywatnych adresów IP (APIPA)... 8 Adresy rozgłoszeniowe... 8 Translacja adresów sieciowych...10 Adresowanie w warstwie 2 i w warstwie 3...12 Protokoły warstwy 4: UDP i TCP...13 Czynniki wymagające uwzględnienia podczas planowania i projektowania...14 Projektowanie połączenia z siecią Internet...14 Tworzenie schematu adresowania protokołu IPv4...15 Planowanie adresów hostów...17 Korzystanie z tuneli VPN...17 Planowanie nadmiarowości...19 Korzystanie z komputerów z kilkoma połączeniami sieciowymi...20 Kroki procesu wdrożenia...21 Ręczne konfigurowanie klientów pracujących z protokołem IPv4...21 Konfigurowanie sposobu zachowywania się klienta w sytuacji braku dostępnego serwera DHCP...22 Dodawanie nowych tras do tabeli tras...22 Bieżące zadania administracyjne...23 Rozwiązywanie problemów...23 ARP...23 Ipconfig...24 Netstat...25 PathPing...26 Monitor wydajności...27 Ping...28

Spis treści v Menedżer zadań...29 Diagnostyka sieci systemu Windows Network Diagnostics...29 Podsumowanie rozdziału...30 Informacje dodatkowe...30 2 Protokół IPv6...31 Pojęcia...31 Różnice pomiędzy protokołami IPv4 i IPv6...32 Adresowanie protokołu IPv6...34 Automatyczna konfiguracja protokołu IPv6...40 DHCPv6...42 Wykrywanie sąsiadów...42 Zabezpieczenia protokołu IPv6...43 Technologie wspomagające przechodzenie do protokołu IPv6...43 Czynniki wymagające uwzględnienia podczas planowania i projektowania...51 Migracja do protokołu IPv6...51 Uzyskiwanie adresów IPv6...52 Planowanie aktualizacji infrastruktury sieciowej...52 Planowanie wykorzystania technologii wspierających przechodzenie do protokołu IPv6...54 Kroki procesu wdrożenia...55 Wyłączanie protokołu IPv6...55 Ręczne konfigurowanie protokołu IPv6...56 Konfigurowanie protokołu IPv6 za pomocą skryptu...57 Włączanie obsługi technologii ISATAP...57 Włączanie obsługi technologii Teredo...60 Konfigurowanie komputera jako routera protokołu IPv6...61 Bieżące zadania administracyjne...65 Rozwiązywanie problemów...65 Netsh...65 Ipconfig...66 Nslookup...67 Rozwiązywanie problemów związanych z funkcjonowaniem technologii Teredo..68 Podsumowanie rozdziału...69 Informacje dodatkowe...69 3 Protokół DHCP...71 Pojęcia...71 Proces przydzielania adresu przez serwer DHCP...71 Cykl życia klienta DHCP...73 Czynniki wymagające uwzględnienia podczas planowania i projektowania...73 Serwery DHCP...74 Agenci przekazywania DHCP...75 Czas trwania dzierżawy DHCP...76 Projektowanie zakresów...77 Łączenie serwerów DHCP w klastry...78

vi Spis treści Dynamiczny system DNS...78 Kroki procesu wdrożenia...79 Serwery DHCP...79 Agenci przekazywania DHCP...89 Konfiguracja klienta protokołu DHCP...90 Bieżące zadania administracyjne...91 Monitorowanie serwerów DHCP...92 Ręczne archiwizowanie i odtwarzanie serwera DHCP...93 Rozwiązywanie problemów...94 Rozwiązywanie problemów związanych z klientami protokołu DHCP...95 Rozwiązywanie problemów związanych z serwerami DHCP...95 Używanie funkcji rejestrowania inspekcji do analizy zachowania serwera DHCP...96 Podsumowanie rozdziału...97 Informacje dodatkowe...97 4 Zapora systemu Windows z zabezpieczeniami zaawansowanymi...99 Pojęcia...99 Filtrowanie pakietów za pomocą zapory ogniowej systemu Windows... 100 Ochrona przesyłanych w sieci danych za pomocą protokołu IPsec... 100 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 106 Planowanie zasad zapory ogniowej systemu Windows... 107 Ochrona komunikacji za pomocą protokołu IPsec... 109 Kroki procesu wdrożenia... 117 Konfigurowanie ustawień zapory ogniowej za pomocą zasad grupy... 117 Reguły zabezpieczeń połączeń IPsec... 125 Bieżące zadania administracyjne... 130 Rozwiązywanie problemów... 132 Funkcja rejestrowania zapory ogniowej systemu Windows... 133 Monitorowanie skojarzeń zabezpieczeń protokołu IPsec... 136 Korzystanie z monitora sieci... 136 Podsumowanie rozdziału... 137 Informacje dodatkowe... 137 5 Zarządzanie mechanizmem QoS przy użyciu zasad grupy... 139 Pojęcia... 139 Przyczyny problemów z wydajnością sieci... 139 W czym może pomóc stosowanie mechanizmu QoS... 141 Mechanizm QoS dla ruchu wychodzącego... 142 Mechanizm QoS dla ruchu przychodzącego... 145 Implementacja mechanizmu QoS... 145 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 146 Określanie celów stosowania mechanizmu QoS... 146 Planowanie wartości kodów DSCP... 146 Planowanie dławienia ruchu... 149 Wymagania sprzętowe i programowe... 150 Planowanie obiektów zasad grupy oraz zasad QoS... 151

Spis treści vii Zasady QoS dla komputerów mobilnych pracujących z systemem Windows Vista... 152 Kroki procesu wdrożenia... 153 Sposób konfigurowania mechanizmów QoS za pomocą ustawień zasad grupy 153 Konfigurowanie ogólnosystemowych ustawień QoS... 157 Bieżące zadania administracyjne... 159 Usuwanie zasad QoS... 159 Edycja zasad QoS... 160 Monitorowanie działania mechanizmu QoS... 160 Rozwiązywanie problemów... 163 Analizowanie zasad QoS... 163 Sprawdzanie zachowywania w sieci kodów DSCP... 166 Izolowanie przyczyn problemów z wydajnością sieci... 167 Podsumowanie rozdziału... 168 Informacje dodatkowe... 169 6 Budowanie skalowalnych sieci... 171 Pojęcia... 171 TCP Chimney Offload... 172 Receive-Side Scaling (Skalowanie po stronie odbierającej)... 174 NetDMA... 176 IPsec Offload... 177 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 178 Ocenianie skalowalnych technologii sieciowych... 178 Testy obciążeniowe serwerów... 180 Monitorowanie wydajności serwera... 181 Kroki procesu wdrożenia... 184 Konfigurowanie technologii TCP Chimney Offload... 184 Konfigurowanie technologii Receive-Side Scaling... 184 Konfigurowanie technologii NetDMA... 185 Konfigurowanie technologii IPsec Offload... 185 Bieżące zadania administracyjne... 186 Rozwiązywanie problemów... 186 Rozwiązywanie problemów związanych z funkcjonowaniem technologii TCP Chimney Offload... 187 Rozwiązywanie problemów związanych z funkcjonowaniem technologii IPsec Offload... 188 Podsumowanie rozdziału... 189 Informacje dodatkowe... 189 Część II Infrastruktura rozwiązywania nazw 7 Usługa DNS... 193 Pojęcia... 193 Hierarchia systemu DNS... 193 Strefy systemu DNS... 194

viii Spis treści Rekordy systemu DNS... 194 Dynamiczne aktualizacje DNS... 195 Tłumaczenie nazw przez system DNS... 196 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 197 Strefy DNS... 198 Rozmieszczenie serwerów DNS... 199 Replikacja stref DNS... 201 Zabezpieczenia systemu DNS... 202 Strefa GlobalNames... 204 Kroki procesu wdrożenia... 205 Konfigurowanie serwera DNS... 205 Konfigurowanie serwera DHCP... 217 Konfigurowanie klientów usługi DNS... 219 Konfigurowanie nadmiarowych serwerów DNS... 220 Bieżące zadania administracyjne... 221 Dodawanie zasobów rekordów... 221 Administrowanie strefami... 222 Automatyczne monitorowanie... 222 Promowanie strefy pomocniczej na strefą podstawową... 225 Rozwiązywanie problemów... 226 Dzienniki zdarzeń... 226 Korzystanie z programu Nslookup... 227 Rejestrowanie w trybie Debug po stronie serwera... 229 Korzystanie z programu DNSLint... 230 Korzystanie z programu DCDiag... 231 Korzystanie z monitora sieci... 233 Podsumowanie rozdziału... 233 Informacje dodatkowe... 234 8 Usługa WINS... 235 Pojęcia... 235 Historia... 235 Nazwy systemu NetBIOS... 236 Tłumaczenie nazw przez usługę WINS... 237 Rejestracje klientów WINS... 238 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 239 Rozmieszczenie serwerów WINS... 239 Replikacja WINS... 240 Kroki procesu wdrożenia... 242 Konfigurowanie serwera WINS... 242 Konfigurowanie replikacji WINS... 242 Konfigurowanie klientów usługi WINS... 243 Bieżące zadania administracyjne... 245 Wykonywanie kopii zapasowej bazy danych serwera WINS... 246 Kompaktowanie bazy danych serwera WINS... 246 Sprawdzanie spójności bazy danych... 247

Spis treści ix Monitorowanie serwera WINS... 248 Dodawanie statycznych rekordów WINS... 249 Usuwanie rekordów WINS... 251 Rozwiązywanie problemów... 252 Rozwiązywanie problemów związanych z serwerami WINS... 252 Rozwiązywanie problemów związanych z klientami serwera WINS... 254 Podsumowanie rozdziału... 258 Informacje dodatkowe... 258 Część III Infrastruktura dostępu do sieci 9 Infrastruktura uwierzytelniania... 261 Pojęcia... 261 Usługa katalogowa domeny Active Directory... 261 Infrastruktura klucza publicznego... 265 Zasady grupy... 271 RADIUS... 275 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 280 Usługa katalogowa Active Directory... 281 Infrastruktura PKI... 282 Zasady grupy... 284 Serwer RADIUS... 285 Kroki procesu wdrożenia... 295 Wdrażanie usługi katalogowej Active Directory... 295 Wdrażanie infrastruktury PKI... 296 Zasady grupy... 306 Serwery RADIUS... 307 Stosowanie serwerów proxy protokołu RADIUS do uwierzytelniania pomiędzy domenami... 316 Stosowanie serwerów proxy protokołu RADIUS do skalowania infrastruktury uwierzytelniania... 324 Bieżące zadania administracyjne... 329 Usługa Active Directory... 329 Infrastruktura PKI... 330 Zasady grupy... 330 Serwery RADIUS... 330 Narzędzia służące do rozwiązywania problemów... 332 Usługa Active Directory... 332 Infrastruktura PKI... 332 Zasady grupy... 333 Serwery RADIUS... 333 Podsumowanie rozdziału... 335 Informacje dodatkowe... 335

x Spis treści 10 Sieci bezprzewodowe IEEE 802.11... 339 Pojęcia... 339 Obsługa standardów IEEE 802.11... 340 Zabezpieczenia sieci bezprzewodowej... 343 Składniki bezprzewodowych sieci typu 802.11... 349 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 350 Technologie zabezpieczeń bezprzewodowych... 350 Tryby uwierzytelniania bezprzewodowego... 353 Infrastruktura sieci intranetowej... 354 Rozmieszczenie bezprzewodowych punktów dostępowych... 356 Infrastruktura uwierzytelniania... 361 Klienci bezprzewodowi... 363 Infrastruktura PKI... 376 Narzucanie 802.1X i platforma NAP... 380 Wdrażanie chronionego dostępu do sieci bezprzewodowej... 380 Wdrażanie certyfikatów... 381 Konfigurowanie kont i grup usługi katalogowej Active Directory... 383 Konfigurowanie serwerów NPS... 383 Wdrażanie bezprzewodowych punktów dostępowych... 385 Konfigurowanie klientów bezprzewodowych... 389 Bieżące zadania administracyjne... 396 Zarządzanie kontami użytkowników i komputerów... 396 Zarządzanie bezprzewodowymi punktami dostępowymi... 396 Aktualizowanie profili bezprzewodowych w formacie XML... 397 Rozwiązywanie problemów... 398 Narzędzia systemu Windows służące do rozwiązywania problemów związanych z sieciami bezprzewodowymi... 398 Rozwiązywanie problemów na bezprzewodowym kliencie z systemem Windows... 407 Rozwiązywanie problemów związanych z bezprzewodowymi punktami dostępowymi... 409 Rozwiązywanie problemów związanych z funkcjonowaniem infrastruktury uwierzytelniania... 415 Podsumowanie rozdziału... 422 Informacje dodatkowe... 422 11 Uwierzytelnianie IEEE 802.1X w sieciach przewodowych... 425 Pojęcia... 425 Składniki przewodowej sieci z uwierzytelnianiem 802.1X... 426 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 427 Metody uwierzytelniania połączeń przewodowych... 427 Tryby uwierzytelniania połączeń przewodowych... 431 Infrastruktura uwierzytelniania... 433 Klienci przewodowi... 434 Infrastruktura PKI... 441 Narzucanie 802.1X i platforma NAP... 444

Spis treści xi Wdrażanie dostępu do sieci przewodowej z uwierzytelnianiem 802.1X... 445 Wdrażanie certyfikatów... 445 Konfigurowanie kont i grup usługi katalogowej Active Directory... 448 Konfigurowanie serwerów NPS... 448 Konfigurowanie przełączników sieciowych z obsługą standardu 802.1X... 450 Konfigurowanie klientów przewodowych... 452 Bieżące zadania administracyjne... 456 Zarządzanie kontami użytkowników i komputerów... 456 Zarządzanie przełącznikami sieciowymi z obsługą standardu 802.1X... 457 Aktualizowanie profili przewodowych w formacie XML... 457 Rozwiązywanie problemów... 458 Narzędzia systemu Windows, służące do rozwiązywania problemów związanych z sieciami przewodowymi... 458 Rozwiązywanie problemów na przewodowym kliencie z systemem Windows... 464 Rozwiązywanie problemów związanych z przełącznikami sieciowymi, obsługującymi standard 802.1X... 466 Rozwiązywanie problemów związanych z funkcjonowaniem infrastruktury uwierzytelniania... 470 Podsumowanie rozdziału... 477 Informacje dodatkowe... 478 12 Zdalny dostęp poprzez połączenia VPN... 481 Pojęcia... 481 Składniki opartego na systemie Windows, zdalnego dostępu za pośrednictwem połączeń VPN... 484 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 486 Protokoły połączeń VPN... 486 Metody uwierzytelniania... 491 Serwery VPN... 494 Infrastruktura sieci Internet... 498 Infrastruktura sieci Intranet... 500 Jednoczesność dostępu dla klientów VPN do sieci Internet oraz do sieci intranetowej... 505 Infrastruktura uwierzytelniania... 507 Klienci VPN... 509 Infrastruktura PKI... 513 Narzucanie VPN i platforma NAP... 518 Dodatkowe kwestie związane z bezpieczeństwem... 518 Silne szyfrowanie łącza... 519 Filtrowanie pakietów połączenia VPN na serwerze VPN... 519 Filtrowanie przez zaporę ogniową pakietów połączeń VPN... 519 Wykorzystywanie serwerów VPN do różnych celów... 532 Blokowanie ruchu trasowanego przez klientów VPN... 534 Jednoczesność dostępu... 535 Nieużywane protokoły VPN... 536 Wdrażanie zdalnego dostępu do sieci opartego na połączeniach VPN... 536

xii Spis treści Wdrażanie certyfikatów... 536 Konfigurowanie infrastruktury dostępu do sieci Internet... 541 Konfigurowanie kont użytkowników i grup usługi katalogowej Active Directory... 542 Konfigurowanie serwerów RADIUS... 542 Wdrażanie serwerów VPN... 544 Konfigurowanie infrastruktury sieci intranetowej... 549 Wdrażanie klientów VPN... 552 Bieżące zadania administracyjne... 559 Zarządzanie kontami użytkowników... 559 Zarządzanie serwerami VPN... 559 Aktualizowanie profili menedżera połączeń... 562 Rozwiązywanie problemów... 562 Narzędzia służące do rozwiązywania problemów... 562 Rozwiązywanie problemów związanych ze zdalnym dostępem za pomocą połączeń VPN... 567 Podsumowanie rozdziału... 575 Informacje dodatkowe... 575 13 Połączenia VPN pomiędzy lokalizacjami... 577 Pojęcia... 577 Omówienie funkcji trasowania z wybieraniem numeru na żądanie... 578 Składniki opartych na systemie Windows połączeń VPN pomiędzy dwiema lokalizacjami... 584 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 585 Protokoły VPN... 585 Metody uwierzytelniania... 588 Routery VPN... 592 Infrastruktura sieci Internet... 597 Infrastruktura wewnętrznej sieci w łączonych lokalizacjach... 600 Infrastruktura uwierzytelniania... 603 Infrastruktura PKI... 605 Wdrażanie połączeń VPN pomiędzy lokalizacjami... 609 Wdrażanie certyfikatów... 609 Konfigurowanie infrastruktury dostępu do sieci Internet... 614 Konfigurowanie kont użytkowników i grup usługi katalogowej Active Directory... 615 Konfigurowanie serwerów RADIUS... 616 Wdrażanie routerów odbierających... 618 Wdrażanie routerów wywołujących... 625 Konfigurowanie infrastruktury sieci wewnętrznej... 632 Konfigurowanie infrastruktury sieciowej znajdującej się pomiędzy lokalizacjami... 635 Bieżące zadania administracyjne... 637 Zarządzanie kontami użytkowników... 637 Zarządzanie routerami VPN... 638

Spis treści xiii Rozwiązywanie problemów... 640 Narzędzia służące do rozwiązywania problemów... 640 Rozwiązywanie problemów związanych z połączeniami VPN łączącymi dwie lokalizacje... 641 Podsumowanie rozdziału... 651 Informacje dodatkowe... 652 Część IV Infrastruktura ochrony dostępu do sieci 14 Omówienie mechanizmu ochrony dostępu do sieci... 657 Potrzeba stosowania ochrony dostępu do sieci... 657 Złośliwe oprogramowanie i jego wpływ na stosowanie komputerów w przedsiębiorstwie... 657 Ochrona przez złośliwym oprogramowaniem w sieciach korporacyjnych... 659 Rola platformy NAP... 664 Korzyści biznesowe ze stosowania platformy NAP... 667 Składniki platformy NAP... 668 Agenci kondycji systemu oraz składniki weryfikujące kondycję systemu... 671 Klienci i serwery narzucania... 672 Serwery NPS... 672 Metody narzucania... 673 Narzucanie IPsec... 674 Narzucanie 802.1X... 674 Narzucanie VPN... 675 Narzucanie DHCP... 675 Sposób działania platformy NAP... 676 Sposób działania narzucania IPsec... 677 Sposób działania narzucania 802.1X... 678 Sposób działania narzucania VPN... 679 Sposób działania narzucania DHCP... 680 Podsumowanie rozdziału... 682 Informacje dodatkowe... 682 15 Przygotowanie mechanizmów ochrony dostępu do sieci... 685 Ocena aktualnej infrastruktury sieciowej... 685 Komputery intranetowe... 686 Pomocnicza infrastruktura sieciowa... 688 Serwery zasad kondycji NAP... 690 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 690 Kroki procesu wdrożenia... 693 Bieżące zadania administracyjne... 694 Konfiguracja zasad wymogów kondycji... 695 Składniki zasad wymogów kondycji... 695 Sposób przeprowadzania oceny kondycji klienta NAP... 704 Czynniki wymagające uwzględnienia podczas planowania i projektowania zasad wymogów kondycji... 709

xiv Spis treści Serwery naprawcze... 710 Serwery naprawcze a metody narzucania NAP... 712 Czynniki wymagające uwzględnienia w procesie planowania i projektowania serwerów naprawczych... 713 Podsumowanie rozdziału... 714 Informacje dodatkowe... 715 16 Narzucanie IPsec... 717 Omówienie metod narzucania IPsec... 717 Sieci logiczne tworzone przez metody narzucania IPsec... 719 Procesy zachodzące podczas inicjowania komunikacji objętej metodami narzucania IPSec... 720 Reguły zabezpieczeń połączeń dla metod narzucania IPsec... 723 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 726 Usługa katalogowa Active Directory... 726 Infrastruktura PKI... 727 Urzędy rejestrowania kondycji... 734 Zasady protokołu IPsec... 742 Klienci NAP... 743 Wdrażanie metod narzucania IPSec... 744 Konfigurowanie usługi Active Directory... 745 Konfigurowanie infrastruktury PKI... 745 Konfigurowanie urzędów rejestrowania kondycji... 750 Konfigurowanie serwerów zasad kondycji NAP... 758 Konfigurowanie serwerów naprawczych w sieci granicznej... 763 Konfigurowanie klientów NAP... 763 Punkt kontrolny dla procesu wdrażania metod narzucania IPsec w trybie raportowania... 767 Konfigurowanie i stosowanie zasad protokołu IPsec... 768 Bieżące zadania administracyjne... 775 Dodawanie nowego klienta NAP... 776 Dodawanie nowych agentów SHA oraz nowych modułów SHV... 776 Zarządzanie urzędami certyfikacji platformy NAP... 776 Zarządzanie urzędami rejestrowania kondycji... 778 Rozwiązywanie problemów... 780 Narzędzia służące do rozwiązywania problemów... 780 Rozwiązywanie problemów związanych z metodami narzucania IPSec... 784 Podsumowanie rozdziału... 792 Informacje dodatkowe... 792 17 Narzucanie 802.1X... 795 Omówienie metod narzucania 802.1X... 795 Stosowanie list ACL... 798 Stosowanie sieci VLAN... 800 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 801 Grupa zabezpieczeń dla wykluczania NAP... 801

Spis treści xv Metody uwierzytelniania 802.1X... 801 Typ narzucania 802.1X... 802 Punkty dostępowe 802.1X... 802 Klienci NAP... 803 Wdrażanie metod narzucania 802.1X... 805 Konfigurowanie usługi Active Directory... 806 Konfigurowanie metody uwierzytelniania opartej na protokole PEAP... 806 Konfigurowanie punktów dostępowych 802.1X... 808 Konfigurowanie serwerów naprawczych w sieci z ograniczeniami... 809 Konfigurowanie serwerów zasad kondycji NAP... 809 Konfigurowanie klientów NAP... 819 Punkt kontrolny dla procesu wdrażania metod narzucania 802.1X w trybie raportowania... 823 Testowanie ograniczania dostępu do sieci... 823 Konfigurowanie zasad sieci dla niezgodnych klientów NAP do pracy w trybie odroczonego narzucania... 825 Konfigurowanie zasady sieciowej do pracy w trybie narzucania... 826 Bieżące zadania administracyjne... 828 Dodawanie nowego klienta NAP... 828 Dodawanie nowych agentów SHA oraz nowych modułów SHV... 828 Zarządzanie punktami dostępowymi 802.1X... 829 Rozwiązywanie problemów... 829 Narzędzia służące do rozwiązywania problemów... 829 Rozwiązywanie problemów związanych z metodami narzucania 802.1X... 832 Podsumowanie rozdziału... 836 Informacje dodatkowe... 836 18 Narzucanie VPN... 839 Omówienie metod narzucania VPN... 839 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 843 Stosowanie składnika Network Access Quarantine Control... 843 Grupa zabezpieczeń dla wykluczania NAP... 845 Rodzaje filtrowania pakietów... 845 Metody uwierzytelniania połączeń VPN... 846 Serwery VPN... 847 Klienci NAP... 847 Wdrażanie metod narzucania VPN... 850 Konfigurowanie usługi Active Directory... 851 Konfigurowanie serwerów VPN... 851 Konfigurowanie metody uwierzytelniania opartej na protokole PEAP... 852 Konfigurowanie serwerów naprawczych... 852 Konfigurowanie serwerów zasad kondycji NAP... 853 Konfigurowanie klientów NAP... 861 Punkt kontrolny dla procesu wdrażania metod narzucania VPN w trybie raportowania... 864 Testowanie ograniczania dostępu do sieci... 864

xvi Spis treści Konfigurowanie trybu odroczonego narzucania... 866 Konfigurowanie zasady sieciowej do pracy w trybie narzucania... 867 Bieżące zadania administracyjne... 869 Dodawanie nowego klienta NAP... 869 Dodawanie nowych agentów SHA oraz nowych modułów SHV... 869 Rozwiązywanie problemów... 870 Narzędzia służące do rozwiązywania problemów... 870 Rozwiązywanie problemów związanych z metodami narzucania VPN... 873 Podsumowanie rozdziału... 877 Informacje dodatkowe... 877 19 Narzucanie DHCP... 879 Omówienie metod narzucania DHCP... 879 Czynniki wymagające uwzględnienia podczas planowania i projektowania... 882 Grupa zabezpieczeń dla wykluczania NAP... 882 Serwery DHCP... 883 Serwery zasad kondycji NAP... 884 Zasady wymogów kondycji dla określonych zakresów DHCP... 884 Opcje DHCP dla klientów NAP... 885 Sposób zachowywania się metod narzucania DHCP w przypadku braku dostępności serwera zasad kondycji NAP... 885 Klienci NAP... 885 Wdrażanie metod narzucania DHCP... 887 Konfigurowanie serwerów naprawczych... 887 Konfigurowanie serwerów zasad kondycji NAP... 888 Konfigurowanie klientów NAP... 893 Konfigurowanie serwerów DHCP... 895 Punkt kontrolny dla procesu wdrażania metod narzucania DHCP w trybie raportowania... 900 Testowanie ograniczania dostępu do sieci... 901 Konfigurowanie trybu odroczonego narzucania... 903 Konfigurowanie zasady sieciowej do pracy w trybie narzucania... 903 Bieżące zadania administracyjne... 905 Dodawanie nowego klienta NAP... 905 Dodawanie nowych agentów SHA oraz nowych modułów SHV... 905 Rozwiązywanie problemów... 906 Narzędzia służące do rozwiązywania problemów... 906 Rozwiązywanie problemów związanych z metodami narzucania DHCP... 909 Podsumowanie rozdziału... 912 Informacje dodatkowe... 913 Indeks... 931

Podziękowania Joseph Davies i Tony Northrup pragną podziękować licznym członkom zespołu zajmującego się tworzeniem systemu Windows Server 2008 oraz innym ekspertom z firmy Microsoft, którzy przyczynili się do powstania tej książki, poświęcając setki godzin swojego cennego czasu na dokładne przeglądanie treści kolejnych rozdziałów pod kątem precyzji podanych w nich informacji technicznych, wnosząc własne uwagi do treści rozdziałów oraz niestrudzenie służąc nam swoimi radami, zachętami oraz pomocą przy tworzeniu tej książki. W szczególności chcielibyśmy podziękować następującym współautorom z firmy Microsoft, za napisanie notatek uzupełniających ( Prosto ze źródła ), zawierających tak dokładne informacje o wewnętrznych aspektach funkcjonowania systemu i jego elementów, które mogły być znane tylko tym ekspertom (w kolejności według rozdziałów): Dmitry Anipko, programista z grupy Windows Core Networking Group Sean Siler, menedżer programu IPv6 w zespole Windows Core Networking Group Santosh Chandwani, menedżer wiodącego programu z grupy Enterprise Networking Group Ian Hameroff, starszy menedżer produktu z grupy Security and Access Product Marketing Gabe Frost, menedżer produktu z grupy Windows Core Networking Rade Trimceski, menedżer programu z grupy Windows Networking and Devices Group Jeff Westhead, starszy inżynier oprogramowania z grupy Enterprise Networking Group Anthony Witecki, starszy konsultant z działu Microsoft Services, Public Sector Chris Irwin, inżynier z grupy Premier Field Engineering Group Clay Seymour, inżynier eskalacji problemów w dziale Enterprise Platform Support Tim Quinn, inżynier eskalacji problemów w dziale Enterprise Platform Support James McIllece, autor artykułów technicznych z działu Windows Server User Assistance Group Samir Jain, wiądący menedżer programu z centrum India Development Center Greg Lindsay, autor artykułów technicznych z grupy Windows Server User Assistance Group John Morello, starszy menedżer programu z grupy Windows Server Customer Connection Group W czasie powstawania tej książki, system Windows Server 2008 znajdował się jeszcze w fazie tworzenia i wielu spośród najbardziej błyskotliwych pracowników firmy Microsoft recenzowało jej rozdziały dokonując korekt, ostrzegając o zmianach wprowadzanych do systemu operacyjnego i sugerując umieszczenie w książce dodatkowych informacji. xvii

xviii Podziękowania Dlatego chcieliśmy serdecznie podziękować wszystkim naszym recenzentom (wymienionym w kolejności według rozdziałów): Mike Barrett, Dmitri Anipko, Ben Shultz, Thiago Hirai, Mahesh Narayanan, Santosh Chandwani, Jason Popp, Hermant Banavar, Osama Mazahir, Ian Hameroff, Rade Trimceski, Alireza Dabagh, Chandra Nukala, Arren Conner, Jeff Westhead, Sudhakar Pasupuleti, Yi Zhao, Subhasish Bhattacharya, Tim Quinn, Clay Seymour, Chris Irwin, Greg Lindsay, James MacIllece, Anthony Leibovitz, Sreenivas Addagatla, Arvind Jayakar, Brit Weston, Lee Gibson, Drew Baron, Brit Weston, Dhiraj Gupta, Samir Jain, Puja Pandey, Tushar Gupta, Manu Jeewani, Jim Holtzman, Kevin Rhodes, Steve Espinosa, Tom Kelnar, Kedar Mohare, Pat Fetty, Gavin Carius, Wai-O Hui, Harini Muralidharan, Richard Costleigh, Ryan Hurst, Chris Edson, Chandra Nukala, Abhishek Tiwari, Aanand Ramachandran, John Morrello oraz Barry Mendonca. Dodatkowe podziękowania chcielibyśmy złożyć członkom społeczności Microsoft Security Review Board za ich dokładne zapoznanie się z treścią całej książki. Jeśli pominęliśmy kogokolwiek na powyższej liście, prosimy o wybaczenie! Joseph chciałby w tym miejscu wyrazić osobiste podziękowanie i uhonorować Grega Lindsaya za poświęcenie swojego czasu i wysiłku na wielogodzinne spotkania, dyskusje, recenzje techniczne oraz napisanie kilku zamieszczonych w tej książce notatek uzupełniających dotyczących systemu ochrony dostępu do sieci. Tony pragnie także wyrazić osobiste podziękowanie dla Boba Hogana za jego wkład w powstanie tej książki znacznie wykraczający poza obowiązki edytora technicznego oraz dla Hayleya Bellamy za pomoc w rozwiązaniu krytycznego problemu sprzętowego. Na koniec chcielibyśmy wspólnie podziękować naszemu znakomitemu zespołowi redakcyjnemu z wydawnictwa Microsoft Press za jego pracę nad tym projektem. Nasze podziękowania kierujemy do Martina DelRe, Jennego Moss Bensona, Maureena Zimmermana, Marii Gargiulo i Susan McClung, Joela Rosenthala, Boba Hogana, Mary Rosewood oraz do Setha Maislina z Interactive Composition Corporation, za ich niesłabnącą energię i niezmordowane zaangażowanie, które przyczyniło się do powodzenia tego przedsięwzięcia. Joseph i Tony

Wprowadzenie Zapraszamy do lektury Sieci w systemie Windows Server 2008 oraz ochrona dostępu do sieci. Przy tworzeniu odpowiedniej infrastruktury adresowania i przesyłania pakietów, używającej protokołu IPv4 (Internet Protocol version 4) i IPv6 (Internet Protocol), protokołu DHCP (Dynamic Host Configuration Protocol), indywidualnych zapór ogniowych i protokołu IPSec (Internet Protocol security), opartych na zasadach mechanizmów jakości usług (QoS Quality of Service) oraz innych skalowanych technologii sieciowych, korzystać można ze wskazówek wdrożeniowych, podanych w części I tej książki. Przy tworzeniu infrastruktury tłumaczenia nazw na adresy IP, opartej na usłudze DNS (Domain Name System) oraz WINS (Windows Internet Name Service), wykorzystać można wskazówki wdrożeniowe, zawarte w części II. Ze wskazówek podanych w części III tej książki można także skorzystać podczas wdrażania infrastruktury dostępu do sieci, składającej się z usług domeny Active Directory, infrastruktury klucza publicznego, zasad grupy oraz serwerów RADIUS (Remote Authentication Dial-In User Service), zapewniających centralizację funkcji uwierzytelniania, autoryzowania i ewidencjonowania informacji o aktywności. Przygotowana w ten sposób infrastruktura dostępu do sieci może obsługiwać wiele różnych metod uwierzytelnianego i autoryzowanego dostępu do sieci, włącznie z sieciami bezprzewodowymi typu IEEE 802.11 (Institute of Electrical and Electronics Engineers), uwierzytelniającymi przełącznikami sieci Ethernet oraz połączeniami sieci VPN (Virtual Private Network Wirtualna sieć prywatna). Po przygotowaniu odpowiedniej infrastruktury adresowania i przesyłania pakietów, tłumaczenia nazw na adresy oraz dostępu do sieci, korzystając ze wskazówek podanych w części IV można wdrożyć w sieci platformę NAP (Network Access Protection Ochrona dostępu do sieci), pozwalającą na egzekwowanie zgodności z przyjętymi wymogami w zakresie kondycji systemu dla komunikacji chronionej za pomocą protokołu IPSec, sieci przewodowych i bezprzewodowych z uwierzytelnianiem dostępu według standardu IEEE 802.1X, zdalnego dostępu do sieci za pomocą połączeń VPN oraz klientów pobierających swoją konfigurację adresową z serwera DHCP. xix

xx Wprowadzenie Konwencje wykorzystane w książce Dla lepszego uwypuklenia specalnych funkcji lub zastosowań, w książce tej przyjęte zostały następujące konwencje: Wskazówki dla Czytelnika W treści tej książki można spotkać następujące wskazówki dla Czytelnika, przekazujące dodatkowe użyteczne informacje: Wskazówka dla Czytelnika Uwaga Znaczenie Podkreśla wagę konkretnego pojęcia lub wyjaśnia specjalne przypadki, które mogą nie mieć zastosowania w każdej sytuacji. Dodatkowe informacje Odsyła Czytelnika do źródeł zawierających bardziej wyczerpujące informacje na dany temat. Na dysku CD Zwraca uwagę Czytelnika na związane z tematem łącza, znajdujące się na towarzyszącej książce płycie CD, mogące ułatwiać realizację opisywanego w tekście zadania. Notatki uzupełniające W tekście tej książki występują następujące notatki uzupełniające, dostarczające dodatkowych informacji na temat wewnętrznych szczegółów działania, wskazówek oraz porad, dotyczących działania sieci oraz technologii ochrony dostępu do sieci (NAP): Notatka uzupełniająca Prosto ze źródła Sposób działania Znaczenie Informacje redagowane przez ekspertów z firmy Microsoft, dostarczające pochodzących prosto ze źródła informacji na temat wewnętrznego sposobu działania opisywanych technologii, wskazówek praktycznych oraz wskazówek pomagających w rozwiązywaniu napotykanych problemów. Zawiera dodatkowe objaśnienia omawianej funkcji oraz sposobu jej działania. Przykłady poleceń Poniżej przedstawione zostały konwencje typograficzne, używane w zamieszonych w tej książce przykładach poleceń: Styl Czcionka pogrubiona Znaczenie Oznacza tekst, który musi zostać wpisany przez użytkownika (zaznaczone w ten sposób znaki muszą zostać wpisane dokładnie tak, jak to pokazano w przykładzie).