6.06 Расширенные сетевые функции Эффективность деятельности любой компании в значительной степени зависит от организации безопасного, простого и управля- емого способа подключения пользователей к ресурсам и данным. В Windows Vista многие сетевые функции были усовершенствованы с целью повышения качества и безопасности клиентского доступа к ресурсам при сохранении на минимальном уровне усилий по их настройке. Windows Vista обеспечивает расширенные возможности при работе в сети как для ИТ-администраторов, которые несут ответственность за развертывание, обслуживание и безопасность сетевых ресурсов, так и для конечных пользователей, нуждающихся в более надежных, мощных и гибких средствах. Стек TCP/IP нового поколения Оптимизировать производительность сети ИТ-администраторам поможет включенный в состав Windows Vista стек TCP/IP нового поколения, развитая архитектура которого обеспечивает автома- тическую настройку для повышения эффективности работы на протяжении длительного промежутка времени. Далее будут рассмотрены новые возможности стека TCP/IP. Двухуровневая архитектура протокола Интернета для IPv6 Стек TCP/IP нового поколения поддерживает двухуровневую архи- тектуру IP, в которой протоколы IPv4 и IPv6 совместно используют общий транспортный уровень и уровень кадрирования. Кроме того, протоколы IPv4 и IPv6 включены по умолчанию (для IPv6 не нужно устанавливать отдельные компоненты). Автоматическая настройка параметров стека на основе особенностей сетевой среды Стек TCP/IP нового поколения автоматически определяет сетевую среду и настраивает основные параметры, такие как окно приема TCP. Улучшенное автоматическое конфигурирование стека уменьшает объем ручной настройки параметров TCP/IP. В результате ускоряется передача данных по сети, эффективнее используется пропускная способность и снижается объем повторной передачи потерянных данных. Благодаря этим факторам существенно сокращается время, необходимое для пересылки большого файла или архивации жесткого диска по сети. Руководство по Windows Vista (вторая бета-версия) Стр. 282 из 334 © Корпорация Майкрософт, 2006 Отделения маршрутизации Чтобы предотвратить нежелательный трафик между интерфейсами для виртуальной частной сети (VPN), сервера терминалов и конфи- гураций, допускающих вход в систему нескольких пользователей, стек TCP/IP нового поколения поддерживает отделения маршрути- зации. Отделение маршрутизации — это комбинация набора интерфейсов и сеанса входа, которая имеет собственные таблицы маршрутизации IP. На компьютере может быть несколько отделений маршрутизации, которые изолированы друг от друга. Каждый интерфейс может принадлежать только одному отделению. Например, когда пользователь устанавливает VPN-подключение через Интернет с помощью стека TCP/IP, его компьютер частично соединяется с Интернетом и частной внутренней сетью, управляя записями в таблице маршрутизации IPv4. В некоторых ситуациях трафик из Интернета может быть перенаправлен через VPN- подключение в частную внутреннюю сеть. Отделения маршру- тизации в стеке TCP/IP нового поколения изолируют соединение с Интернетом от соединения с частной внутренней сетью за счет использования отдельных таблиц маршрутизации IP. Новые интерфейсы API для обеспечения безопасности и фильтрации пакетов Интерфейсы, используемые в стеке TCP/IP для обеспечения безо- пасности TCP/IP (фильтрация трафика локальных узлов), обработки с помощью межсетевого экрана, обработки с помощью фильтра и хранения данных фильтра пакетов, были заменены новым модулем — платформой фильтрации Windows (WFP). Платформа WFP обеспечивает функции фильтрации на всех уровнях стека протоколов TCP/IP. Эта платформа безопаснее, лучше интегрирована в стек, а также облегчает независимым поставщикам программного обеспечения задачу разработки драйверов, служб и приложений, предназначенных для фильтрации, анализа или модификации тра- фика TCP/IP. Дополнительные сведения о платформе WFP см. на веб- странице www.microsoft.com/whdc/device/network/WFP.mspx. Изменение сетевых параметров без перезагрузки компьютера Новый способ хранения обеспечивает динамичный контроль над параметрами конфигурации и не требует перезагрузки компьютера после их изменения. Расширенная поддержка В стеке TCP/IP нового поколения реализована всесторонняя поддержка динамической диагностики, включая поддержку базы управляющей информации TCP Management Information Base II (MIB-II), а также улучшены функции ведения журнала системных событий и трассировки. Руководство по Windows Vista (вторая бета-версия) Стр. 283 из 334 © Корпорация Майкрософт, 2006 Возможности для конечных пользователей Windows Vista помогает конечным пользователям устранять проблемы с сетью самостоятельно, не обращаясь в службу поддержки. Сетевой центр уведомляет пользователя о том, к какой сети подсоединен компьютер и установлено ли подключение к Интернету. Средство диагностики сетей Windows позволяет определять проблемы, оказывающие отрицательное воздействие на подключение к сети, и выполняет действия для автоматического устранения таких проблем. Беспроводная связь Беспроводным сетям отводится все более важное место в сетевой инфраструктуре многих компаний. Мобильные пользователи часто подключаются к Интернету или корпоративным сетям по беспроводным каналам связи из гостиниц, конференц-центров и аэропортов. При этом ИТ- специалисты должны настроить параметры защиты данных, которые не были бы слишком обременительными для пользователей и администраторов. В Windows Vista реализована собственная архитектура беспроводных сетей под названием Native WiFi, являющаяся составной частью базового сетевого стека. Среди многочисленных преимуществ этой архитектуры следует отметить гибкое развертывание на оборудо- вании разных производителей и моделей, одинаковые (независимо от оборудования) условия работы для пользователей и более надежные драйверы плат беспроводного сетевого интерфейса (NIC) сторонних производителей. При создании беспроводной сети Windows Vista по умолчанию выбирает наиболее безопасные параметры из числа поддерживаемых платой NIC. Для получения дополнительных сведений о работе в сети см. раздел 3.10: «Работа в сети» на стр. 110. Руководство по Windows Vista (вторая бета-версия) Стр. 284 из 334 © Корпорация Майкрософт, 2006 Стандартной проблемой беспроводной связи является управление параметрами конфигурации клиентских ПК. Для улучшения под- держки, уменьшения затрат на администрирование и повышения производительности пользователей компаниям нужно сохранять унифицированную конфигурацию на разных настольных системах. В Windows Vista реализован ряд усовершенствований, помогающих достичь этих целей. ?? Улучшенные возможности обнаружения и создания бес- проводных сетей и подключения к ним через интерфейс сетевого центра. ?? Служба единой регистрации в беспроводной сети, про- веряющая доступность сети перед тем, как пользователь проходит проверку подлинности в домене Active Directory. ?? Поддержка последних протоколов безопасности Института инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers, IEEE) на основе стандарта 802.11, включая Wi-Fi Protected Access 2 (WPA2). ?? Нейтрализация распространенных атак на беспроводные сети. ?? Улучшенная управляемость за счет применения объектов групповой политики для беспроводной связи и запускаемых из командной строки команд настройки и устранения неполадок. ?? Средства диагностики, помогающие устранять неполадки, связанные с беспроводными сетями. Расширенные возможности для пользователей В Windows Vista существенно расширен круг доступных возможностей по созданию и использованию беспроводных сетей. Беспроводные сети типа «компьютер-компьютер» создаются с помощью специ- ального мастера. При отображении списка доступных сетей в нем четко отмечаются беспроводные сети, которые не являются защищенными. Кроме того, подключаясь к беспроводной сети, Windows Vista проверяет характеристики платы беспроводного сетевого интерфейса и выбирает самые безопасные параметры. При установке Windows Vista применяется более безопасная конфигурация; по умолчанию настраиваются параметры, обеспечивающие повышенную безопасность. Единая регистрация в беспроводной сети Развертывание беспроводных сетей стало толчком к применению технологий сетевой проверки подлинности второго уровня (например, 802.1х), допускающих в защищенную сеть только раз- решенных пользователей и устройства и гарантирующих безопасность данных при передаче с помощью радиоволн. Функция единой Руководство по Windows Vista (вторая бета-версия) Стр. 285 из 334 © Корпорация Майкрософт, 2006 регистрации в надлежащее время выполняет сетевую проверку подлинности второго уровня с учетом конфигурации безопасности сети и при этом прекрасно интегрируется с интерфейсом входа в систему Windows. Развернуть профили единой регистрации на клиентских компью- терах администратор может с помощью групповой политики или через интерфейс командной строки. После настройки профиля единой регистрации перед входом в систему Windows нужно пройти проверку подлинности по стандарту 802.1x. Это позволяет решать задачи, требующие установки подключения к сети до выполнения входа в систему (например, обновление групповой политики, сценарии входа в систему и беспроводная начальная загрузка). Поддержка протоколов безопасности беспроводной связи Встроенная архитектура WiFi в Windows Vista обеспечивает широкую поддержку последних протоколов безопасности, включая WiFi Protected Access (WPA), WiFi Protected Access 2 (WPA2), Extensible Authentication Protocol (EAP), Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) и Wired Equivalent Privacy (WEP). Это позволяет Windows Vista взаимодействовать практически с любой инфраструктурой беспроводной связи. Путем применения предварительного ключа и протоколов WPA-PSK и WPA2-PSK можно повысить безопасность домашних сетей и сетей малых компаний. Windows Vista проверяет характеристики беспро- водной сети; при создании новой беспроводной сети по умолчанию выбирается наиболее безопасный протокол. Система безопасности Windows Vista может быть расширена. Благодаря структуре EAPHost операционная система Windows Vista поддерживает специальные механизмы проверки подлинности, разработанные поставщиками оборудования или другими компаниями. Защита от распространенных атак на беспроводные сети Для защиты беспроводных сетей от атак наиболее распространенных типов в Windows Vista было изменено поведение клиентов беспро- водной связи. Теперь клиент активно сканирует меньшее количество сетей и делает это лишь в случае получения соответствующего указания от пользователя. Кроме того, клиент автоматически подключается только к сетям, которые пользователь явным образом затребовал или указал в качестве предпочтительных, и уведомляет пользователя, если тот собрался установить соединение с незащищенной сетью. Руководство по Windows Vista (вторая бета-версия) Стр. 286 из 334 © Корпорация Майкрософт, 2006 Улучшенная управляемость В Windows Vista беспроводные сети логически эквивалентны своим проводным аналогам и управляются практически теми же методами. Используя новые параметры групповой политики, администраторы могут настраивать политики для клиентов беспроводной связи. Кроме того, командная строка Windows Vista позволяет осуществлять полноценное управление беспроводными сетями. С помощью оснастки «Групповая политика» из состава консоли управления Майкрософт (ММС) администраторы могут настраи- вать поведение клиентов беспроводной связи при подключении к беспроводным сетям и во время работы в них. Например, можно разработать политику, которая позволяет устанавливать беспроводные подключения только по определенному протоколу, только к выбранной беспроводной сети или только к защищенным сетям. Кроме того, через групповую политику можно запретить клиенту менять эти параметры. Интерфейс командной строки для управления беспроводной связью В состав Windows Vista входит улучшенный сетевой интерфейс командной строки Netsh, помогающий автоматизировать управление беспроводными подключениями, использовать сценарии и устранять возникающие неполадки. С помощью этого интерфейса администраторы могут проверять, изменять и удалять клиентские профили конфигурации беспро- водной сети. Эти профили можно также импортировать и экспортировать на другие компьютеры с целью ускорения их обслуживания. Руководство по Windows Vista (вторая бета-версия) Стр. 287 из 334 © Корпорация Майкрософт, 2006 Диагностика беспроводной сети В Windows Vista предусмотрены средства для диагностики беспроводных сетей, являющиеся частью расширяемой инфраструктуры диагностики сетей (NDF). Эта инфраструктура помогает пользователю устранить неполадки в работе сети. При неудачной попытке подключиться к сетевому ресурсу пользо- вателю предоставляются не трудные для понимания сообщения об ошибках, а четкие инструкции по решению проблемы. При наличии такой возможности Windows Vista устраняет неполадку автоматически; в противном случае пользователь получает простые указания, которые он выполняет самостоятельно, не обращаясь в службу поддержки. Кроме того, программой просмотра событий регистрируются более подробные сведения о проверяемых подключениях. Журнал собы- тий используется специалистами службы поддержки компании для выполнения дальнейших действий по устранению проблемы, если средствам диагностики беспроводных сетей не удалось справиться с ней самостоятельно или эти действия недоступны пользователю по причине отсутствия соответствующих прав. В некоторых случаях журналы событий позволяют существенно сократить время, необ- ходимое для устранения неполадок с беспроводной связью, что в свою очередь приводит к уменьшению затрат на обработку обра- щений в службу поддержки, а также повышению качества обслу- живания пользователей и производительности их труда. Кроме того, с помощью диспетчера Microsoft Operations Manager или другого средства централизованного управления администратор может автоматически собирать записи в журналах событий и анализировать их на наличие определенных тенденций и измене- ний в структуре беспроводных сетей. Руководство по Windows Vista (вторая бета-версия) Стр. 288 из 334 © Корпорация Майкрософт, 2006 Протокол IPv6 По мере быстрого увеличения количества сетевых устройств становится все труднее изменять масштаб архитектуры IPv4, приводя его в соответствие с растущими потребностями компаний. Сегодня ИТ-администраторам для обслуживания большего числа сетевых устройств приходится либо применять такие технологии, как преобразование сетевых адресов (NAT), что приводит к усложнению системы и может вызвать появление проблем с совместимостью приложений, либо объединять в одной сети общие и частные IP-адреса. Дополнительные решения и методики способны увеличить расходы на эксплуатацию сети и создать проблемы с безопасностью. Поддержка протокола IPv6 в Windows Vista позволяет компаниям обслуживать более широкий диапазон сетевых адресов, обходясь при этом без применения технологии NAT и других временных решений. Протокол IPv6 обеспечивает расширение адресного пространства, значительно превышающее возможности IPv4, и полностью поддерживает протокол IPSec. С помощью переходного механизма, обеспечивающего туннели- рование трафика IPv6 через инфраструктуру IPv4, компания может осуществить развертывание протокола IPv6, не выполняя коренного обновления своей сети. Протокол IPv6 в составе Windows Vista поддерживает технологию Teredo, которая делает возможными глобальную адресацию и сквозной обмен данными между приложениями с поддержкой протокола IPv6 на разных клиентских компьютерах Teredo. Благодаря технологии Teredo разработчикам приложений больше не прихо- дится в обязательном порядке создавать собственные решения для прохождения NAT. Преимущества технологии Teredo (встроенного в Windows Vista решения для прохождения NAT) доступны всем приложениям с поддержкой протокола IPv6. Защита сетевого доступа (NAP) В составе Windows Vista реализован агент защиты сетевого доступа, предоставляющий сетевым серверам доступа и одноранговым узлам сведения о состоянии работоспособности и конфигурации клиента. Клиенты, не имеющие необходимых обновлений безопас- ности или описаний вирусов либо не отвечающие иным обяза- тельным требованиям в отношении состояния, не допускаются в сеть до устранения имеющихся недостатков. Инфраструктура NAP в операционной системе Windows Server «Longhorn» на основании данных о соответствии клиента параметрам настроенной политики работоспособности принимает решение о его допуске в частную или защищенную сеть. В ограниченной сети клиент может быть направлен в распоряжение специальных служб для установки исправлений и описаний вирусов или выполнения других действий, Руководство по Windows Vista (вторая бета-версия) Стр. 289 из 334 © Корпорация Майкрософт, 2006 необходимых для удовлетворения требований политики работо- способности. Кроме того, NAP применяется для защиты сети от опасных клиентов удаленного доступа, а также опасных клиентов, подключающихся по локальной сети через проводные и беспро- водные каналы связи, которые прошли проверку подлинности по стандарту 802.1х. Протокол IPSec В эпоху стремительного развития и внедрения сетей, поддержи- вающих огромное количество подключений, компании попадают в непростую ситуацию, стараясь улучшить доступность без ухудшения безопасности. Сотрудники, деловые партнеры и клиенты требуют большей гибкости и мобильности при подключении к сетевым ресурсам. Расширение возможностей для подключения, несомненно, дает ряд преимуществ (таких как повышение производительности и сокращение эксплуатационных затрат), но, с другой стороны, порождает новые риски для сетевой инфраструктуры компании. К их числу относятся вирусные атаки, действия недобросовестных пользователей и вредоносных устройств, а также несанкциониро- ванный доступ к секретным данным. Реализация новой парадигмы обмена информацией ставит перед компаниями комплекс серьезных задач, включая следующие: ?? Снижение риска проникновения вредоносных программ (вирусов, червей, шпионских приложений и пр.), а также ограничение ущерба от атак, приводящих к взлому системы или вызывающих отказ в обслуживании ?? Защита конфиденциальности и целостности данных и объектов интеллектуальной собственности ?? Предотвращение несанкционированного (внутреннего или внешнего) доступа к доверенным активам ?? Снижение эксплуатационных расходов и затрат на администрирование ?? Выполнение требований законодательных актов и отраслевых норм Вариант протокола IPSec в составе Windows Vista открывает перед ИТ-администраторами следующие возможности: ?? Создание политик безопасности, основанных на учетных данных пользователей или компьютеров, в рамках системы авторизации доступа к сети ?? Использование групповой политики для централизованного распространения этих политик в соответствии с потреб- ностями компании ?? Создание политик брандмауэра Windows на базе протокола IPSec Руководство по Windows Vista (вторая бета-версия) Стр. 290 из 334 © Корпорация Майкрософт, 2006 Windows Vista позволяет ИТ-администраторам эффективно управлять доступом к важным информационным активам, используя следующие сценарии. ?? Изоляция сервера. Доступ к серверу или группе серверов администратор может ограничивать по компьютерам, портам, протоколу IP, пользователям или подсетям. Например, к SQL Server финансового отдела можно разрешить подключаться только веб-серверу «Финансы», который, в свою очередь, доступен только пользователям из группы «Финансы». ?? Изоляция домена. Администратор может настроить доступ к домену, разрешив все исходящие подключения, но огра- ничив входящие подключения к компьютерам в составе этого домена. Изоляция домена — решение, разработанное для выполнения требований акта Сарбейнса-Оксли о защите интеллектуальной собственности. Ограничение возможности подключения с компьютеров, не являющихся членами корпоративного домена Active Directory, снижает вероятность проникновения червей и вирусов. ?? Защита сетевого доступа. Администратор может разрешить подключение к корпоративной сети только компьютерам, которые являются работоспособными согласно классифи- кации NAP. Интеграция IPSec с NAP открывает возможность для применения политики работоспособности в режиме реального времени, чего нельзя добиться с помощью тех- нологии 802.1x или Dynamic Host Configuration Protocol (DHCP). Если состояние компьютера меняется на «нерабо- тоспособен», IPSec немедленно блокирует ему доступ к корпоративной сети. ?? Брандмауэр Windows с проверкой подлинности пользователей и компьютеров. Администратор может разрабатывать мощные политики межсетевого экрана, которые не позволяют определенным приложениям (сетевые сканеры) обходить межсетевой экран и ограни- чивают доступ по компьютерам, пользователям, протоколу IP, портам или подсетям. Для создания таких политик и управления ими предусмотрен централизованный интерфейс пользователя. Информирование о состоянии сети Платформа информирования о состоянии сети в составе Windows Vista сообщает приложениям об изменениях характеристик сетевого подключения с целью обеспечения бесперебойной работы конечного пользователя. Когда пользователь подключается к другой сети, сведения об этом передаются приложениям, поддерживающим Руководство по Windows Vista (вторая бета-версия) Стр. 291 из 334 © Корпорация Майкрософт, 2006 функцию информирования о состоянии сети, и они выполняют соответствующие действия. Например, при переключении с домашней сети на корпоративную могут перенастраиваться параметры межсетевого экрана, в результате чего у пользователя появляется доступ к средствам управления ИТ-инфраструктурой, а групповая политика определяет подключение к корпоративной сети и автоматически начинает обработку изменений политики, не ожидая следующего цикла обнаружения. Качество службы на основе политик Механизм качества службы (QoS) на основе политик в составе операционных систем Windows Vista и Windows Server «Longhorn» предотвращает перегрузку сети за счет централизованного управления пропускной способностью узла. Например, в случае если обмен данными с приложением для управления ресурсами предприятия (ERP), обслуживающим филиалы компании, имеет самый высокий приоритет в глобальной сети, время отклика при вводе данных ERP или получении к ним доступа для сотрудников филиала будет оставаться стабильно небольшим независимо от загруженности глобальной сети другим трафиком. В сегодняшних условиях осуществлять классификацию сетевого трафика и управ- ление им весьма непросто. Критически важный и чувствительный к задержкам трафик вынужден конкурировать за пропускную способность с второстепенным трафиком и трафиком, который допускает задержки (таким как передача большого объема данных). В то же время пользователи и компьютеры со специфичными требованиями к производительности сети могут нуждаться в разном уровне обслуживания. Подобная проблема с обеспечением прогнозируемой производительности сети прежде всего возникает при подключениях к глобальной сети или при работе с чувстви- тельными к задержкам приложениями (такими как голосовая связь через Интернет или видео). Однако нужно помнить, что задача поддержания сетевого обслуживания на предсказуемом уровне актуальна для любой сетевой среды и не только для голосовой связи через Интернет, но и для всех бизнес-приложений. Теперь ИТ-отделы компаний имеют возможность создавать гибкие политики QoS для назначения приоритетов и/или регулирования исходящего сетевого трафика без внесения изменений в приложения. Эти политики применяются к исходящему трафику на основании одного из следующих критериев или их комбинации: отправляющее приложение, развертывание через групповую политику (например, группа пользователей или компьютеров), исходный IP-адрес/ IP-адрес назначения, исходный порт/порт назначения, протокол. Руководство по Windows Vista (вторая бета-версия) Стр. 292 из 334 © Корпорация Майкрософт, 2006 Расширенные сетевые функции — основные возможности Возможность Краткое описание Бета- версия Инфраструктура диагностики сетей Выполняет анализ причин возникновения типичных проблем с сетью и устраняет их автоматически или предоставляет необходимые инструкции конечному пользователю. 2 Сетевой центр Компонент для централизованного и удобного просмотра состояния сети и ее параметров. 2 Протокол IPv6 Поддержка расширенного адресного пространства для крупных корпоративных сетей. 2 Брандмауэр Windows в режиме повышенной безопасности Интеграция межсетевого экрана с функциями проверки подлинности и/или шифрования протокола IPSec с целью повышения безопасности сетевого подключения к ресурсам. 2 Защита сетевого доступа (NAP) Проверка компьютеров под управлением Windows Vista на соответствие установленным администратором критериям работоспособности перед допуском в корпоративную сеть. 2 Информирование о состоянии сети Платформа, позволяющая приложениям определять сеть, к которой подключен пользователь, и создавать оптимальные условия для работы в любой сети. 2 Качество службы (QoS) на основе политик Назначение приоритетов и ограничение пропускной способности, доступной пользователю или приложению. 2 Отделения маршрутизации Предотвращают отправку данных из одного сетевого подключения по другому сетевому подключению. 2 Настройка групповой политики для беспро- водных сетей Удобные настройка и развертывание параметров корпоративной групповой политики для беспроводной сети с центральной консоли. 2 Интерфейс подключения Удобный единый интерфейс для подключения к любым беспроводным и корпоративным (VPN, RAS) сетям и создания подключений удаленного доступа. В первый раз настраивать подключения помогают специальные мастеры. 1 |