تعلم المهوس مدرسة ويندوز 7 - الوصول عن بعد
في الجزء الأخير من السلسلة ، نظرنا في كيفية إدارة أجهزة كمبيوتر Windows واستخدامها من أي مكان طالما كنت على نفس الشبكة. ولكن ماذا لو لم تكن كذلك?
تأكد من الاطلاع على المقالات السابقة في سلسلة Geek School هذه في Windows 7:
- إدخال مدرسة كيف جيك كيف
- الترقيات والهجرات
- تكوين الأجهزة
- إدارة الأقراص
- إدارة التطبيقات
- إدارة Internet Explorer
- أساسيات عنونة IP
- الشبكات
- الشبكات اللاسلكية
- جدار حماية Windows
- الإدارة عن بعد
وتنبقي لبقية المسلسل طوال هذا الأسبوع.
حماية شبكة الوصول
حماية الوصول إلى الشبكة هي محاولة Microsoft للتحكم في الوصول إلى موارد الشبكة استنادًا إلى صحة العميل الذي يحاول الاتصال بها. على سبيل المثال ، في الحالة التي تكون فيها مستخدمًا للكمبيوتر المحمول ، قد يكون هناك العديد من الأشهر التي تكون فيها على الطريق ولا تقم بتوصيل الكمبيوتر المحمول بشبكة الشركة الخاصة بك. خلال هذا الوقت ليس هناك ما يضمن عدم إصابة جهاز الكمبيوتر المحمول الخاص بك بفيروس أو برامج ضارة ، أو حتى تلقي تحديثات تعريفات مكافحة الفيروسات.
في هذه الحالة ، عندما تعود إلى المكتب وتوصيل الجهاز بالشبكة ، سيحدد NAP تلقائيًا صحة الماكينات مقابل سياسة قمت بإعدادها على أحد خوادم NAP. إذا فشل الجهاز المتصل بالشبكة في الفحص الصحي ، فسيتم نقله تلقائيًا إلى قسم مقيّد في شبكتك يسمى منطقة الإصلاح. عندما تكون في منطقة المعالجة ، ستقوم خوادم الإصلاح تلقائيًا بمحاولة إصلاح المشكلة في جهازك. بعض الأمثلة يمكن أن تكون:
- إذا تم تعطيل جدار الحماية وتطلب سياستك تمكينه ، فستمكّن خوادم الإصلاح جدارتك من الحماية.
- إذا كانت سياستك الصحية تنص على أنك بحاجة إلى أحدث تحديثات Windows ولا يمكنك الحصول على خادم WSUS في منطقة الإصلاح الخاصة بك والتي ستقوم بتثبيت آخر التحديثات على العميل الخاص بك.
لن يتم نقل جهازك إلا مرة أخرى إلى شبكة الشركة إذا اعتبرته خوادم NAP أمرا صحيا. هناك أربع طرق مختلفة يمكنك من خلالها تنفيذ خطة العمل الوطنية ، لكل منها مميزاته الخاصة:
- VPN - يُعد استخدام طريقة إنفاذ VPN أمرًا مفيدًا في شركة يكون لديك فيها عمال عن بعد يعملون عن بعد من المنزل ، باستخدام أجهزة الكمبيوتر الخاصة بهم. لا يمكنك أبدًا التأكد من البرامج الضارة التي قد يثبتها شخص ما على جهاز كمبيوتر لا تتحكم فيه. عند استخدام هذه الطريقة ، سيتم التحقق من صحة العميل في كل مرة يبدأ فيها اتصال VPN.
- DHCP - عند استخدام طريقة تنفيذ DHCP ، لن يتم منح العميل عناوين شبكة صالحة من خادم DHCP حتى يتم إعتباره سليمًا من خلال بنية NAP الأساسية.
- أمن بروتوكول الإنترنت - يعد IPsec طريقة لتشفير حركة مرور الشبكة باستخدام الشهادات. على الرغم من أنه ليس شائعًا جدًا ، يمكنك أيضًا استخدام IPsec لفرض NAP.
- 802.1X - يُطلق على 802.1x أحيانًا اسم المصادقة المستندة إلى المنفذ وهي طريقة لمصادقة العملاء عند مستوى التبديل. يعد استخدام معيار 802.1x لفرض سياسة NAP ممارسة قياسية في عالم اليوم.
اتصالات الطلب الهاتفي
لسبب ما في هذا اليوم وهذا العصر ، لا تزال مايكروسوفت تريد معرفة تلك الاتصالات الهاتفية البدائية. تستخدم اتصالات الطلب الهاتفي شبكة الهاتف التناظرية ، والمعروفة أيضًا بـ POTS (خدمة الهاتف العادية القديمة) ، لتوصيل المعلومات من كمبيوتر إلى آخر. يفعلون ذلك باستخدام مودم ، وهو مزيج من الكلمات تعدل وتشكل. يتم توصيل المودم بجهاز الكمبيوتر الخاص بك ، عادة باستخدام كابل RJ11 ، ويقوم بتحويل تدفقات المعلومات الرقمية من جهاز الكمبيوتر الخاص بك إلى إشارة تناظرية يمكن نقلها عبر خطوط الهاتف. عندما تصل الإشارة إلى وجهتها ، يتم إزالتها بواسطة مودم آخر وتحويلها مرة أخرى إلى إشارة رقمية يمكن أن يفهمها الكمبيوتر. لإنشاء اتصال الطلب الهاتفي ، انقر بزر الماوس الأيمن على رمز حالة الشبكة وافتح مركز الشبكة والمشاركة.
ثم انقر فوق إعداد ارتباط تشعبي أو اتصال جديد بالشبكة.
اختر الآن إعداد اتصال الطلب الهاتفي وانقر فوق التالي.
من هنا يمكنك ملء جميع المعلومات المطلوبة.
ملاحظة: إذا تلقيت سؤالًا يتطلب منك إعداد اتصال طلب هاتفي في الاختبار ، فستقدم التفاصيل ذات الصلة.
شبكات خاصة افتراضية
الشبكات الافتراضية الخاصة هي أنفاق خاصة يمكنك إنشاؤها عبر شبكة عامة ، مثل الإنترنت ، بحيث يمكنك الاتصال بأمان بشبكة أخرى.
على سبيل المثال ، قد تقوم بإنشاء اتصال VPN من جهاز كمبيوتر على الشبكة المنزلية ، إلى شبكة الشركة الخاصة بك. وبهذه الطريقة ، سيبدو الأمر وكأن الكمبيوتر الشخصي على الشبكة المنزلية هو جزء من شبكة شركتك. في الواقع ، يمكنك حتى الاتصال بمشاركات الشبكة ، مثل ما إذا كنت قد أخذت الكمبيوتر الخاص بك وقمت بتوصيله فعليًا بشبكة العمل الخاصة بك باستخدام كبل Ethernet. الاختلاف الوحيد هو السرعة بالطبع: بدلاً من الحصول على سرعات Gigabit Ethernet التي ستقوم بها إذا كنت في المكتب فعليًا ، ستقتصر على سرعة اتصالك واسع النطاق.
ربما تتساءل عن مدى أمان هذه "الأنفاق الخاصة" لأنها "نفق" عبر الإنترنت. هل يمكن للجميع رؤية بياناتك؟ لا ، لا يمكنهم ذلك ، لأننا نقوم بتشفير البيانات المرسلة عبر اتصال VPN ، ومن هنا تأتي الشبكة الافتراضية "الخاصة". يتم ترك البروتوكول المستخدم لتغليف وتشفير البيانات المرسلة عبر الشبكة ، كما يدعم Windows 7 ما يلي:
ملاحظة: للأسف هذه التعريفات سوف تحتاج إلى معرفة عن ظهر قلب للامتحان.
- بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) - يسمح بروتوكول Tunneling من نقطة إلى نقطة بتضمين حركة مرور الشبكة في رأس IP وإرسالها عبر شبكة IP ، مثل الإنترنت.
- التغليف: يتم تغليف إطارات PPP في مخطط بيانات IP ، باستخدام نسخة معدلة من GRE.
- التشفير: يتم تشفير إطارات PPP باستخدام Microsoft Point-to-Point Encryption (MPPE). يتم إنشاء مفاتيح التشفير أثناء المصادقة حيث يتم استخدام بروتوكول Microsoft Challenge Handshake Protocol الإصدار 2 (MS-CHAP v2) أو بروتوكولات أمان بروتوكول المصادقة القابل للامتداد - بروتوكول طبقة النقل (EAP-TLS).
- بروتوكول نفق الطبقة الثانية (L2TP) - L2TP هو بروتوكول نفق آمن يستخدم لنقل إطارات PPP باستخدام بروتوكول الإنترنت ، ويستند جزئيًا إلى PPTP. بخلاف PPTP ، لا يستخدم تطبيق Microsoft L2TP MPPE لتشفير إطارات PPP. بدلاً من ذلك ، يستخدم L2TP IPsec في وضع النقل لخدمات التشفير. يُعرف الجمع بين L2TP و IPsec كـ L2TP / IPsec.
- التغليف: يتم التفاف الإطارات PPP أولاً برأس L2TP ثم رأس UDP. ثم يتم تغليف النتيجة باستخدام IPSec.
- التشفير: يتم تشفير رسائل L2TP باستخدام تشفير AES أو 3DES باستخدام مفاتيح تم إنشاؤها من عملية تفاوض IKE.
- بروتوكول نفق مأخذ التوصيل الآمن (SSTP) - SSTP هو بروتوكول نفق يستخدم HTTPS. نظرًا لأن منفذ TCP 443 مفتوح على معظم جدران الحماية الخاصة بالشركات ، يعد هذا خيارًا رائعًا للبلدان التي لا تسمح باتصالات VPN التقليدية. كما أنها آمنة جدًا نظرًا لأنها تستخدم شهادات SSL للتشفير.
- التغليف: يتم تغليف إطارات PPP في مخططات بيانات IP.
- التشفير: يتم تشفير رسائل SSTP باستخدام SSL.
- مفتاح تبادل الإنترنت (IKEv2) - IKEv2 هو بروتوكول نفق يستخدم بروتوكول وضع نفق IPsec عبر منفذ UDP 500.
- التغليف: IKEv2 بتغليف datagrams باستخدام رؤوس IPSec ESP أو AH.
- التشفير: يتم تشفير الرسائل إما مع AES أو التشفير 3DES باستخدام مفاتيح ولدت من عملية التفاوض IKEv2.
متطلبات الخادم
ملاحظة: من الواضح أنه يمكن إعداد أنظمة تشغيل أخرى لتكون خوادم VPN. ومع ذلك ، هذه هي المتطلبات للحصول على خادم Windows VPN قيد التشغيل.
للسماح للأشخاص بإنشاء اتصال شبكة ظاهرية خاصة (VPN) بالشبكة ، يجب أن يكون لديك خادم يعمل بنظام التشغيل Windows Server وأن يكون لديك الأدوار التالية مثبتة:
- التوجيه والوصول عن بعد (RRAS)
- خادم نهج الشبكة (NPS)
ستحتاج أيضًا إلى إعداد DHCP أو تخصيص تجمع IP ثابت يمكن للآلات التي تتصل عبر VPN استخدامه.
خلق اتصال VPN
للاتصال بخادم VPN ، انقر بزر الماوس الأيمن على رمز حالة الشبكة وافتح مركز الشبكة والمشاركة.
ثم انقر فوق إعداد ارتباط تشعبي أو اتصال جديد بالشبكة.
اختر الآن الاتصال بمكان العمل وانقر فوق التالي.
ثم اختر استخدام اتصال النطاق العريض الموجود لديك.
P
الآن سوف تحتاج إلى إدخال IP أو اسم DNS لخادم VPN على الشبكة التي تريد الاتصال بها. ثم انقر فوق التالي.
ثم أدخل اسم المستخدم وكلمة المرور الخاصة بك وانقر فوق الاتصال.
بمجرد اتصالك ، ستتمكن من معرفة ما إذا كنت متصلاً بشبكة ظاهرية خاصة (VPN) عن طريق النقر فوق رمز حالة الشبكة.
واجب منزلي
- اقرأ المقالة التالية على TechNet ، التي توجهك خلال تخطيط الأمان ل VPN.
ملاحظة: إن الواجب المنزلي اليوم بعيد قليلاً عن نطاق امتحان 70-680 ولكنه سيعطيك فهمًا راسخًا لما يحدث خلف المشهد عندما تتصل بشبكة ظاهرية خاصة (VPN) من Windows 7.
إذا كان لديك أي أسئلة ، يمكنك تغرد لي @ taybgibb ، أو مجرد ترك تعليق.