Расширенные сетевые возможности
🕛 06.01.2009, 05:25
Эффективность деятельности любой компании в значительной степени зависит от организации безопасного, простого и управляемого способа подключения пользователей к ресурсам и данным. В Windows Vista многие сетевые функции были усовершенствованы с целью повышения качества и безопасности клиентского доступа к ресурсам и максимального упрощения процедуры настройки. Windows Vista обеспечивает расширенные возможности при работе в сети как для ИТ-администраторов, которые несут ответственность за развертывание, обслуживание и безопасность сетевых ресурсов, так и для пользователей, нуждающихся в более надежных, мощных и устойчивых средствах. Стек TCP/IP нового поколения
Оптимизировать производительность сети ИТ-администраторам поможет включенный в Windows Vista стек TCP/IP нового поколения, развитая архитектура которого обеспечивает автоматическую настройку с целью повышения эффективности работы на протяжении длительного промежутка времени. Далее будут рассмотрены новые возможности стека TCP/IP. Двухуровневая архитектура IP-протокола для поддержки IPv6 Стек TCP/IP нового поколения поддерживает двухуровневую архитектуру IP, в которой протоколы IPv4 и IPv6 совместно используют общий транспортный уровень и уровень кадрирования. Кроме того, протоколы IPv4 и IPv6 включены по умолчанию (для IPv6 не нужно ус танавливать отдельные компоненты). Автоматическая настройка параметров стека в зависимости от особенностей сетевой среды Стек TCP/ IP нового поколения автоматич ески определяет сетевую среду и настраивает основные параметры, такие как окно приема TCP. Улучшенная автоматическая настройка стека уменьшает объем работы по ручной настройке параметров TCP/IP. В результате ускоряется передача данных по сети, эффективнее используется пропускная способность и снижается объем повторной передачи потерянных данных. Благодаря этим факторам существенно сокращается время, необходимое для пересылки большого файла или архивации жесткого диска по сети. Новые интерфейсы для обеспечения безопасности и фильтрации пакетов Интерфейсы, используемые в современном стеке TCP/IP для обеспечения безопасности TCP/IP (фильтрация трафика ло к альных узлов), обработчики межсетевого экрана, обработчики фильтра и хранилище данных фильтра пакетов были заменены новым модулем, известным как платформа фильтрации Windows (WFP). Платформа WFP обеспечивает функции фильтрации на вс ех уровнях стека протоколов TCP/IP. Эта платформа безопаснее и лучше интегрирована со стеком. Она также облегчает независимым поставщикам программного обеспечения задачу разработки драйверов, служб и приложений, предназначенных для фильтрации, анализа или модификации трафика TCP/IP. Дополнительные сведения о платформе WFP см. на веб-странице www.microsoft.com/whdc/device/network/WFP.mspx.
Расширенная поддержка
В стеке TCP/IP нового поколения реализована всесторонняя поддержка динамической диагностики, включая поддержку базы управляющей информации TCP II (MIB-II), а также улучшены функции ведения журнала системных событий и трассировки. Возможности для пользователей Windows Vista помогает пользователям ус транять проблемы с сетью самостоятельно, без обращения в службу поддержки. Центр управления сетями и общим доступом уведомляет пользователя о том, к какой сети присоединен компьютер и ус тановлено ли подключение к Интернету. Средство диагностики сетей Windows позволяет выявлять проблемы, оказывающие отрицательное воздействие на подключение к сети, и при возможности устранять такие проблемы автоматически. Беспроводные сети Беспроводным сетям отводится все более важное мес то в сетевой инфраструктуре многих организаций. Мобильные пользователи часто подключаются к Интернету или корпоративным сетям по беспроводным каналам связи из гос тиниц, конференцзалов и аэропортов. При этом ИТ-специалисты должны настроить такие параметры защиты данных, которые не были бы слишком обременительными для пользователей и администраторов. В Windows Vista предусмотрена собственная архитектура беспроводных сетей под названием Native Wi-Fi, являющаяся составной частью базового сетевого стека. В числе многочисленных преимущес тв этой арх итектуры следует отметить гибкое развертывание на оборудовании разных производителей и моделей, не зависящие от оборудования условия работы для пользователей и более надежные драйверы адаптеров беспроводной сети сторонних производителей. При создании беспроводной сети Windows Vista по умолчанию выбирает наиболее безопасные параметры из числа поддерживаемых сетевым адаптером. Стандартной проблемой беспроводной связи является управление параметрами конфигурации клиентских ПК. Для улучшения поддержки, уменьшения затрат на администрирование и повышения производительности пользователей организациям нужно сохранять унифицированную конфигурацию на разных настольных компьютерах.
В Windows Vista реализован ряд усовершенствований, помогающих достичь этих целей:
- улучшенные возможности обнаружения и создания беспроводных сетей и подключения к ним через интерфейс Центра управления сетями и общим доступом;
- служба единого входа в беспроводные сети, проверяющая доступность сети перед тем, как пользователь проходит проверку подлинности в домене Active Di rectory;
- возможность настройки новейших протоколов безопасности Института инженеров по электротехнике и электронике (IEEE) на основе стандарта 802.11, включая WPA2;
- нейтрализация распространенных способов атак на беспроводные сети;
- улучшение управляемости за счет применения объектов групповой политики для беспроводных подключений и запускаемых из командной строки команд для настройки и ус транения неполадок;
- средства диагностики, помогающие ус транять неполадки, связанные с беспроводными сетями.
Расширенные возможности для пользователей
В Windows Vista существенно расширен круг доступных возможностей по созданию и использованию беспроводных сетей. Специальный мастер помогает создавать временные беспроводные сети. При отображении списка доступных сетей в Windows Vista четко указываются беспроводные сети, которые не являются защищенными. Кроме того, при подключении к беспроводной сети Windows Vista проверяет характеристики беспроводного адаптера и выбирает самые безопасные параметры. При установке Windows Vista применяется более безопасная конфигурация и по умолчанию настраиваются параметры, обеспечивающие повышенную безопасность.
Единый вход в беспроводную сеть
Развитие беспроводных сетей послужило толчком к применению технологий сетевой проверки подлинности второго уровня (например, 802.1X), допускающих в защищенную сеть только разрешенных пользователей и разрешенные ус тройс тва и гарантирующих безопасность данных при радиопередаче. Служба единого входа в надлежащее время выполняет сетевую проверку подлинности второго уровня с учетом конфигурации безопасности сети и при этом прекрасно интегрируется с интерфейсом входа в систему Windows. Развернуть профили единого входа на клиентских компьютерах администратор может с помощью групповой политики или через интерфейс командной стройки. После настройки профиля единого входа перед входом в систему Windows нужно пройти проверку подлинности по стандарту 802.1X. Это позволяет решать задачи, требующие установления подключения к сети до выполнения входа в систему (например, обновление объектов групповой политики, сценарии входа в систему и присоединение беспроводного клиента к домену). Поддержка протоколов безопасности беспроводной связи Собственная архитектура Wi-Fi в Windows Vista обеспечивает широкую поддержку для новейших протоколов безопасности, включая WPA, WPA2, EAP, PEAP-TLS и WEP. Это дает Windows Vista возможность взаимодействовать практически с любой инфрас труктурой беспроводной связи.
Применение предварительного ключа (PSK) и проверки подлинности WPA-PSK и WPA2-PSK позволяет улучшать безопасность домашних сетей и сетей малых предприятий. Windows Vista проверяет характеристики беспроводной сети и по умолчанию выбирает наиболее безопасный протокол при создании новой беспроводной сети. Система безопасности Windows Vista является расширяемой. Благодаря инфраструктуре EAPHost операционная система Windows Vista поддерживает специальные механизмы проверки подлинности, разработанные производителями оборудования или другими организациями.
Защита от распространенных атак на беспроводные сети
Для защиты беспроводных сетей от наиболее распространенных типов атак в Windows Vista был внесен ряд изменений в поведение клиентов беспроводной связи. Теперь клиент выполняет активный поиск меньшего количества сетей, которые настроены пользователем как скрытые. Кроме того, клиент автоматически подключается только к сетям, которые пользователь явным образом затребовал или указал в качестве предпочтительных, и уведомляет пользователя, если тот собрался установить соединение с незащищенной сетью. Улучшенная управляемость В Windows Vista беспроводные сети логически эквивалентны своим проводным собратьям и управляются практически теми же методами. Используя новые параметры групповой политики, администраторы могут настраивать политики для беспроводных клиентов. Кроме того, полноценно управлять беспроводными сетями можно и с помощью командной строки Windows Vista. Использование оснастки «Групповая политика» консоли управления (ММС) дает администраторам возможность настраивать поведение беспроводных клиентов при подключении к беспроводным сетям и во время работы в них. Например, можно разработать политику, которая позволяет устанавливать беспроводные подключения только по определенному протоколу, только к выбранной беспроводной сети или только к защищенным сетям. Кроме того, через групповую политику можно запретить клиенту изменять эти параметры.
Интерфейс командной строки для управления беспроводной связью
В состав Windows Vis ta входит улучшенный сетевой интерфейс командной строки со средством Netsh, помогающим автоматизировать управление беспроводными подключениями, использовать сценарии и устранять возникающие неполадки. С помощью этого интерфейса администраторы могут проверять, изменять и удалять клиентские профили конфигурации беспроводной сети. Эти профили можно также импортировать с других компьютеров или экспортировать на них для ускорения процесса подготовки подключения компьютеров к сети. Диагностика беспроводной сети В Windows Vista предусмотрены средства для диагностики беспроводных сетей, являющиеся частью расширяемой инфраструктуры диагностики сетей (NDF). Эта инфраструктура помогает пользователю устранять неполадки в работе сети. При неудачной попытке подключиться к сетевому ресурсу пользователю предоставляются четкие инс трукции по решению проблемы, а не трудные для понимания сообщения об ошибках. При наличии возможности Windows Vista устраняет неполадку самостоятельно; в противном случае пользователь получает простые инструкции, которые он может выполнить самостоятельно, не обращаясь в службу поддержки. Кроме того, программа просмотра событий регистрирует более подробные сведения о проверяемых подключениях. Журнал событий используется специалистами службы поддержки организации для выполнения дальнейших действий по ус транению неполадки, если средствам диагностики беспроводных сетей не удалось справиться с ней самостоятельно или если эти действия недоступны пользователю по причине отсутствия соответствующих прав. В некоторых случаях журналы событий позволяют существенно сократить время, необходимое для устранения неполадок с подключением к беспроводным сетям, что в свою очередь приводит к уменьшению затрат на обработку обращений в службу поддержки, улучшению качества обслуживания пользователей и повышению производительности их труда. Кроме того, с помощью диспетчера Microsoft Operations Manager или другого средства централизованного управления администратор может автоматически собирать записи из журналов событий и анализировать их на наличие определенных тенденций и изменений в структуре беспроводных сетей. Протокол IPv6 По мере быстрого роста количества сетевых ус тройс тв становится все труднее изменять масштаб архитектуры IPv4, приводя его в соответствие с растущими потребностями организаций. Сегодня ИТ-администраторам для обслуживания большего числа сетевых ус тройс тв приходится либо применять такие технологии, как преобразование сетевых адресов (NAT), что приводит к усложнению системы и может вызвать появление проблем с совместимостью приложений, либо объединять в одной сети общие и частные IP-адреса. Другие частные подходы и методики способны увеличить расходы на эксплуатацию сети и поставить под угрозу безопасность. Поддержка протокола IPv6 в Windows Vista позволяет компаниям обслуживать более широкий диапазон сетевых адресов, обходясь при этом без применения технологии NAT и других временных решений. Протокол IPv6 обеспечивает расширение адресного пространства, значительно превышающее возможности IPv4, и полностью поддерживает протокол IPSec. С помощью переходного механизма, обеспечивающего туннелирование трафика IPv6 через инфраструктуру IPv4, компания может осуществить развертывание протокола IPv6, не прибегая к коренному обновлению своей сети. Протокол IPv6, входящий в состав Windows Vista, поддерживае т технологию Teredo, которая делает во зможными глобальную адресацию и сквозной обмен данными между приложениями с поддержкой протокола IPv6 на разных клиентских компьютерах Teredo (именно эти компьютеры используются в большинстве современных технологий NAT). Благодаря использованию технологии Teredo разработчикам приложений не приходится создавать собственные решения для выполнения NAT-преобразования. Преимущества технологии Teredo (встроенного в Windows Vista решения для NAT) доступны всем приложениям с поддержкой протокола IPv6. Протокол SMB 2.0 Компьютеры, работающие под управлением Windows, используют по умолчанию для общего до с ту п а к файлам протокол SMB, также называемый протоколом CI F S. Операционная система Windows Vista поддерживает новую версию этого протокола, SMB 2.0, которая была переработана с учетом особенностей современных сетевых сред и потребностей файловых серверов следующего поколения. Усовершенствования, реализованные в протоколе SMB 2.0, позволяют уменьшить количество пакетов в командах SMB, увеличить размер буфера и количество открытых файлов. Компьютеры, работающие под управлением Windows Vista, поддерживают обе версии протокола: SMB 1.0 (для предыдущих версий Windows) и SMB 2.0 (для Windows Vista и Windows Server Longhorn).
Защита доступа к сети (NAP) В состав Windows Vista входит агент NAP, предоставляющий серверам и компьютерам в одноранговой сети сведения о работоспособности и конфигурации клиента. Клиенты, не имеющие необходимых обновлений безопасности или сигнатур вирусов либо не отвечающие иным обязательным требованиям в отношении своего состояния, не допускаются в сеть до устранения имеющихся недостатков. Инфраструктура NAP в операционной системе Windows Server Longhorn на основании данных о соответствии клиента параметрам настроенной политики работоспособнос ти принимает решение о его допуске в частную или защищенную сеть. В ограниченной сети клиенту может быть предоставлен доступ к специальным службам для установки исправлений и сигнатур вирусов или выполнения других действий, необходимых для удовлетворения требований политики работоспособности. Кроме того, NAP применяется для защиты сети от опасных клиентов удаленного доступа, а также от опасных клиентов, подключающихся по локальной сети через проводные и беспроводные каналы связи, и использует проверку подлинности по стандарту 802.1X.
Протокол IPSec
В эпоху стремительного развития и внедрения сетей, поддерживающих огромное количество подключений, организации попадают в непростую ситуацию, стараясь улучшить доступность без ущерба для безопасности. Работники, деловые партнеры и клиенты требуют большей гибкости и мобильнос ти при подключении к сетевым ресурсам. Расширение возможностей для подключения несомненно дает ряд преимуществ (например, в виде повышения производительности и сокращения эксплуатационных затрат), но с другой стороны, порождает новые риски для сетевой инфраструктуры организации. К их числу относятся вирусные атаки, которые могут обходиться очень дорого, недобросовестные пользователи и вредоносные устройства, а также несанкционированный доступ к конфиденциальной информации.
Реализация новой парадигмы обмена информацией ставит перед организациями комплекс серьезных задач, включая следующие:
- снижение риска проникновения вредоносных программ (вирусов, программ-червей, программ-шпионов и пр.), а также ограничение ущерба от взлома систем и атак типа «отказ в обслуживании»;
- защита конфиденциальности и целостности секретных данных и объектов интеллектуальной собственности;
- предотвращение несанкционированного (внутреннего или внешнего) доступа к доверенным активам;
- снижение эксплуатационных расходов и затрат на администрирование;
- выполнение требований законодательных актов и отраслевых норм. Реализация протокола IPSec, входящего в состав Windows Vista, открывает перед ИТ-администраторами следующие возможности:
- внедрение политик безопасности, основанных на учетных данных пользователей или компьютеров, в рамках системы авторизации доступа к сети;
- использование групповой политики для централизованного распространения этих политик в соответствии с потребностями компании;
- создание политик брандмауэра Windows на основе протокола IPSec. Windows Vista позволяет ИТ-администраторам эффективно управлять доступом к важным информационным активам в следующих сценариях.
- Изоляция сервера. Администратор может ограничивать доступ к серверу или группе серверов по компьютерам, портам, протоколу IP, пользователям или подсетям. Например, можно разрешить подключаться к SQL Server финансового отдела только веб-серверу «Финансы», который, в свою очередь, доступен только пользователям из группы «Финансы».
- Изоляция домена. Администратор может настроить доступ к домену, разрешив все исходящие подключения, но ограничив входящие подключения к компьютерам этого домена. Изоляция домена - решение, разработанное для выполнения требований закона Сарбейнса-Оксли по защите интеллектуальной собственности. Ограничение возможности подключения с компьютеров, не являющихся членами корпоративного домена Active Directory, снижает вероятность проникновения программчервей и вирусов.
- Защита доступа к сети. Администратор может разрешить подключение к корпоративной сети только компьютерам, которые являются работоспособными согласно классификации NAP. Интеграция IPSec с NAP открывает возможность для применения политики работоспособности в режиме реального времени, чего нельзя добиться с помощью технологии 802.1X или протокола DHCP. Ес ли состояние компьютера меняется на «неработоспособный», IPSec немедленно запрещает этому компьютеру инициировать обмен данными с другими компьютерами, входящими в домен.
- Брандмауэр Windows с авторизацией пользователей и компьютеров. Администратор может определять расширенные политики межсетевого экрана, которые не позволяют определенным приложениям проникать сквозь межсетевой экран (сетевые сканеры) и ограничивают доступ по компьютерам, пользователям, протоколу IP, портам или подсетям. Для создания и управления такими политиками предусмотрен централизованный интерфейс пользователя.
Служба сведений о подключенных сетях
Служба сведений о подключенных сетях, предусмотренная в Windows Vista, сообщает приложениям об изменениях характеристик сетевого подключения с целью обеспечения бесперебойной работы пользователя. Когда пользователь подключается к другой сети, сведения об этом передаются приложениям, поддерживающим эту функцию, и они выполняют соответствующие действия. Например, при переключении с домашней сети на корпоративную могут перенастраиваться параметры межсетевого экрана, в результате чего пользователю предоставляется доступ к средствам управления ИТ-инфраструктурой, а групповая политика обнаруживает подключение к корпоративной сети и автоматически начинает обработку изменений политики, не ожидая следующего цикла обнаружения. Качество службы на основе политик Механизм качества службы (QoS) на основе политик в составе операционных систем Windows Vista и Windows Server Longhorn предотвращает перегрузку сети за счет централизованного управления пропускной способнос тью узла. Например, когда обмен данными, который филиал компании ведет по глобальной сети с приложением для управления ресурсами предприятия (ERP), имеет самый высокий приоритет, время отклика при вводе данных ERP или получении к ним доступа для сотрудников филиала будет оставаться стабильно низким, даже если подключение к глобальной сети загружено другим трафиком.
Раньше устанавливать приоритеты и управлять сетевым трафиком было весьма непросто. Критически важный и чувствительный к задержкам трафик вынужден был делить пропускную способность с второстепенным трафиком и трафиком, который допускает задержки (например, передача большого объема данных). В то же время пользователи и компьютеры с особыми требованиями к производительности сети могли нуждаться в различном уровне обслуживания. Подобная проблема с обеспечением прогнозируемой производительности сети в первую очередь проявлялась при подключениях по глобальной сети или с чувствительными к задержкам приложениями, например голосовая связь через IP-протокол (VoIP) или видео. Однако нужно помнить, что задача поддержания сетевого обслуживания на предсказуемом уровне актуальна для любой сетевой среды и не только для приложений VoIP, но и для всех специальных приложений. Теперь ИТ-отделы компаний имеют возможность создавать гибкие политики QoS для назначения приоритетов и регулирования исходящего сетевого трафика без внесения изменений в приложения. Эти политики применяются к ис ходящему трафику на основании одного из следующих критериев или их комбинации: отправляющее приложение, развертывание через групповую политику (например, группа пользователей или компьютеров), исходный IP-адрес и IP-адрес назначения, исходный порт и порт назначения, протокол. Расширенные сетевые возможности - основные возможности Возможность Краткое описание Интерфейс подключения Удобный единый интерфейс для подключения к беспроводным сетям, удаленного подключения к ко р по р ати вным сетям и соз дания подключений удаленного доступа . В первый раз настраивать подключения помогают специальные мастеры.
Настройка групповой политики для беспроводных сетей
Удобная настройка и развертывание параметров корпоративной групповой политики для беспроводной сети с центральной ко н со ли. Протокол IPv6 Поддержка расширенного адресного прос транс тва для больших корпоративных сетей. Защита доступа к сети (NAP) Проверка компьютеров под управлением Windows Vista на соответствие установленным администратором критериям работоспособности перед допуском в корпоративную сеть. Центр управления сетями и общим доступом Компонент для удобного централизованного просмотра сос тояния сети и ее параметров. Служба сведений о подключенных сетях Платформа, позволяющая приложениям определять сеть, к которой подключен пользователь, и создавать оптимальные условия для работы в любой сети. Инфраструктура диагностики сетей Выполняет анализ причин возникновения типичных проблем с сетью и предоставляет пользователю руководство по их автоматическому устранению. Возможность Краткое описание Качество службы (QoS) на основе политик Назначение приоритетов и ограничение пропускной способности, доступной пользователю или приложению.
Протокол SMB 2.0
Оптимизация использования пропускной способнос ти сети и операций общего доступа к файлам и принтерам для компьютеров под управлением Windows Vista. Брандмауэр Windows в режиме повышенной безопасности Интеграция межсетевого экрана с функциями проверки подлинности и шифрования протокола IPSec с целью повышения безопасности сетевого подключения к ресурсам.