|
Попробуйте вспомнить, когда в последний раз вы на протяжении всего дня работали без подключения к корпоративной сети. Подумать страшно – ни проверить электронную почту. Ни побродить по Интернету. Нельзя воспользоваться сетевыми принтерами или файлами. Нет доступа к важным данным в базе данных по продажам. Да в таких условиях вовсе невозможно работать. Подключение к сети является непременным условием нормальной работы большинства людей. Более того, пользователи все чаще хотят мобильности, возможности подключения своих рабочих портативных компьютеров практически к любой общедоступной или домашней сети, где бы они не находились. Представляете себе все разнообразие проблем безопасности? Разработчики группы сетевых технологий в ОС Windows Vista™ понимают, насколько важно обеспечить надежную работу по сети. Они приложили массу усилий, чтобы создать лучший набор новаторских решений по сетевым технологиям после Windows® 95. В ОС Windows Vista по сети легче работать, сеть стала безопаснее, сетью удобнее управлять и сеть можно расширить до самых больших размеров. После выпуска Windows XP прошло уже пять лет. За это время многое изменилось – возникла потребность в более широких возможностях беспроводного доступа, где бы пользователи не находились; вступили в силу новые правительственные и отраслевые постановления, например, закон Сарбейнса-Оксли и закон о возможности переноса страховок по болезням и ответственности за них (HIPAA); сокращение затрат и более эффективное использование оборотных капиталовложений стало насущной необходимостью. Пользователи хотят иметь сетевые ресурсы «под рукой» и возмущаются при малейшем намеке на проблему со связью. И, наконец, пользователи стали намного мобильнее, причем подключаться они желают не только к своей корпоративной сети, но и практически к любой сети города. Сначала о стеке В ОС Windows Vista реализована новая версия стека TCP/IP, существенным образом улучшающая несколько наиболее важных аспектов сетевой работы и позволяющая добиться повышения производительности и пропускной способности, а также собственная архитектура Wi-Fi и интерфейсы API для проверки сетевых пакетов. Для максимального использования сетевых возможностей необходима комплексная настройка конфигурационных параметров TCP/IP. В Windows Vista не приходится делать это вручную, так как система сама анализирует сетевые условия и автоматически оптимизирует сетевые параметры. В сетях с большими потерями данных, например, в беспроводных сетях, Windows Vista способна лучше восстанавливать информацию после потери одного или нескольких пакетов. Она может динамически увеличивать или уменьшать окно TCP на прием, что позволяет использовать всю ширину канала. При передаче файлов по высокоскоростной глобальной сети с большим временем отклика или при скачивании файлов из сети Интернет пользователи несомненно заметят существенное сокращение времени передачи файлов. Кроме того, в состав базового сетевого стека Windows Vista включена собственная архитектура беспроводного соединения (собственный интерфейс Wi-Fi). К числу его преимуществ можно отнести гибкое использование во многих моделях устройств различных торговых марок, схожие приемы работы с разными устройствами и более надежные драйверы беспроводных сетевых карт независимых поставщиков. Беспроводными сетями в ОС Windows Vista можно управлять централизованно, причем соединения по таким сетям поддерживают новейшие протоколы безопасности и позволяют пользователям работать с меньшими задержками. В стеке TCP/IP нового поколения реализована новая архитектура сетевой защиты Windows Filtering Platform (WFP) с интерфейсами API, позволяющими независимым разработчикам программного обеспечения участвовать в процессе принятия решений о фильтрации пакетов на нескольких уровнях стека протокола TCP/IP без необходимости написания собственных приложений привилегированного режима. Эта архитектура обеспечивает поддержку таких функций сетевого экрана нового поколения, как проверка подлинности при соединении и динамическое конфигурирование сетевого экрана при использовании приложениями интерфейса Windows Sockets API (политика, зависящая от приложения). Облегчение задач пользователей Узнать о состоянии сети, то есть проверить наличие соединения, выяснить провайдера соединения, узнать, в местной сети или в сети Интернет они находятся, пользователи теперь могут из единого центра управления сетевыми возможностями (смотри рисунок 1). Кроме того они могут просматривать состояние различных сетевых служб на своих компьютерах. Виден ли компьютер в местной сети? Какие папки и принтеры открыты у них для доступа по сети? Пользователь может создать сеть (временную или инфраструктурную беспроводную сеть, сеть VPN или домашнее широкополосное соединение) или подключиться к существующей сети любого типа. Рисунок 1 Центр управления сетевыми возможностями(Click the image for a larger view) Система Windows Vista способна самостоятельно диагностировать и разрешать многие проблемы со связью, так что пользователю не приходится обращаться в службу техподдержки. Инфраструктура диагностики сетевого соединения (Network Diagnostics Framework) позволяет ОС Windows Vista выявлять основные причины проблем со связью в контексте операции приложения. Например, если пользователь не может попасть на какой-либо Интернет-сайт, то данная система диагностики попытается отследить проблему по всей цепочке связи, начиная от определения наличия активного беспроводного соединения и действительного IP адреса, вплоть до установления связи с DNS сервером, нахождения прокси-сервера и получения ответа от требуемого веб-сервера. В случае определения причины проблемы пользователь получает сообщение с четким описанием проблемы и способов ее разрешения (смотри рисунок 2). Иногда проблема устраняется простым щелчком мыши на данном сообщении. В некоторых случаях пользователю придется внести изменения в настройки, и диалоговое окно доставит пользователя в необходимое место. А в случаях, когда пользователь просто не может выполнить необходимые действия по причине недостатка знаний или отсутствия прав, в обозреватель событий записываются более полные сведения, поэтому служба техподдержки может быстро устранить проблему, не тратя часы на поиск неполадок. Рисунок 2 Поиск и устранение неисправностей подключения В ОС Windows Vista используются интерфейсы API Network Awareness, вызываемые приложениями для выяснения состояния соединения и определения типа сети (домен, сеть общего доступа или частная сеть), к которой подключен компьютер в настоящий момент. Если ОС Windows Vista может получить сетевой доступ к контроллеру домена, то она автоматически выбирает профиль «Домен». Другие сети в эту категорию попасть не могут. Все другие сети определяются как сети общего доступа, если пользователь или приложение не укажет, что сеть частная. Сети с прямым подключением к Интернет или сети в общественных местах, например, в аэропортах или Интернет-кафе, следует оставить в категории сетей общего доступа. К категории частных сетей следует относить только те сети, которые защищены частным межсетевым шлюзом, например, домашние сети или небольшие корпоративные сети. Наличие интерфейса Network Awareness позволяет таким приложениям, как сетевой экран с дополнительными функциями безопасности (Windows Firewall with Advanced Security) (описываемый ниже), использовать различные настройки для сетей разного типа и переходить на эти настройки автоматически при изменении типа сети. Например, администратор может настроить сетевой экран таким образом, чтобы при подключении компьютера к сети с доменом определенные порты для программы управления рабочим столом были открыты, но автоматически закрывались при работе в общедоступных хот-спотах. Групповая политика в ОС Windows Vista также определяется типом сетевого подключения: при подключении компьютера к сети с доменом система автоматически начинает обрабатывать новые настройки групповой политики, не ожидая следующего цикла обновления. Это означает, что ОС Windows Vista автоматически запрашивает новые настройки групповой политики при подключении компьютера к сети с доменом даже в том случае, когда она выходит из спящего режима. Это позволяет администраторам более оперативно вводить новые настройки безопасности, когда время играет существенную роль. Обеспечение безопасности сети При работе по сети существует несколько типов опасностей – подключение к беспроводным сетям злоумышленников, имитирующим сети общего доступа; подключение зараженных ПК к корпоративной сети; и попытка неуправляемых ресурсов получить доступ к закрытым для них ресурсам. Перечисленные опасности могут загрузить сетевого администратора на весь рабочий день и заставить беспокойно ворочаться всю ночь. ОС Windows Vista может облегчить борьбу со всеми этими опасностями благодаря дополнительным функциям сетевой защиты, простым в настройке и все объемлющим одновременно. Собственная архитектура Wi-Fi в Windows Vista имеет широкую поддержку новейших протоколов безопасности, в том числе корпоративной и персональной версии протокола Wi-Fi Protected Access (WPA) 2, протокола PEAP-TLS и протокола PEAP-MS-CHAP v2 (защищенный наращиваемый протокол аутентификации с обеспечением безопасности на транспортном уровне и с протоколом взаимной аутентификации). Такая широкая поддержка обеспечивает возможность взаимодействия между Windows Vista и почти всеми беспроводными устройствами. Windows Vista анализирует характеристики беспроводной сетевой карты, что позволяет по умолчанию выбрать наиболее безопасный протокол при подключении к беспроводной сети или создании такой сети. При помощи платформы EAP-HOST ОС Windows Vista может поддерживать специализированные механизмы аутентификации, разработанные поставщиком беспроводных устройств или какой-либо организацией. В ОС Windows Vista реализованы многочисленные усовершенствования клиентской части беспроводного соединения, позволяющие отражать ненаправленные беспроводные атаки. Такой клиент автоматически подключается только к сетям, указанным пользователем в списке разрешенных сетей, или подключается по прямому требованию пользователя. Ко временным сетям он автоматически не подключается. Кроме того, клиент выдает предупреждение, если пользователь собирается установить соединение с ненадежной сетью. Активный поиск разрешенных сетей клиент осуществляет по сокращенному списку и только по указанию пользователя, что усложняет злоумышленникам задачу определения названия сети, к которой пользователь пытается подключиться, и подмены ее своей сетью с тем же именем. Собственный клиент беспроводного соединения ОС Windows Vista поддерживает функцию единого входа (SSO), осуществляющую аутентификацию пользователя в сети на уровне Layer 2 в необходимый момент времени с учетом настроек сетевой безопасности, причем вход в сеть и вход в систему Windows при этом взаимосвязаны. После создания профиля единого входа вход в сеть будет осуществляться раньше входа в систему Windows. Эта возможность позволяет выполнять такие операции, как обновление групповой политики, запуск скриптов регистрации, начальная загрузка по беспроводной сети, требующие подключения к сети прежде входа пользователя в систему. Сетевой экран с дополнительными функциями безопасности обеспечивает новый уровень сетевой защиты в системе Windows с поддержкой фильтрации входящих и исходящих пакетов и функции повышения стойкости служб (Windows Service Hardening). Если сетевой экран обнаруживает, что поведение какой-либо службы Windows отклоняется от нормального поведения, описанного в сетевых правилах системы повышения стойкости служб, то он блокирует эту службу. Данный сетевой экран поддерживает и функцию разрешенного обхода (Authenticated Bypass), позволяющую некоторым компьютерам после проверки их подлинности службой IPsec обходить правила сетевого экрана для выполнения таких задач, как удаленное управление. Одно из наиболее существенных изменений в сетевом экране заключается в его объединении со службой IPSec. Раньше для создания многоуровневой совокупности правил сетевой безопасности администраторам приходилось полагаться на два отдельных инструмента – сетевой экран и средство применения протокола IPsec и управления им. В Windows Vista для защиты сети от несанкционированного доступа администраторы могут создавать простые правила сетевой безопасности, объединяющие правила сетевого экрана и правила IPSec. Благодаря такому объединению можно осуществлять сквозную передачу данных по сети после установления подлинности обменивающихся сторон с обеспечением расширяемого многоуровневого доступа к доверенным сетевым ресурсам и/ или защиты конфиденциальности и целостности данных. Администратор может логически разделить корпоративную сеть на зоны, доступ в которые может быть предоставлен любому компьютеру (в том числе с правами гостя), или только компьютерам, прошедшим аутентификацию в домене (отделение домена). Кроме того, администратор может отделить некоторые серверы, доступ к которым следует предоставлять только определенной группе пользователей или компьютеров, например, сервер приложений отдела кадров с разрешением доступа только компьютерам отдела кадров (отделение сервера), как показано на рисунке 3. Рисунок 3 Изоляция серверов и доменов Вирусы или черви могут проникать в частные сети через портативные компьютеры и быстро заражать другие компьютеры. При подключении компьютера с ОС Windows Vista к сети на основе сервера Windows Server под кодовым названием "Longhorn" (следующая версия Windows Server) поддерживается функция защиты сетевого доступа (NAP), обеспечивающая снижение риска прямого подключения зараженных компьютеров к частным сетям или их подключения по туннелю VPN. Если на компьютере с ОС Windows Vista не установлены последние обновления по безопасности, нет образов вирусов или обнаружены другие нарушения корпоративных требований по безопасности, то NAP не предоставляет этому компьютеру полный доступ к сети. Вместо этого данный компьютер будет подключен к ограниченной сети, где на него можно скачать и установить обновления, образы вирусов или конфигурационные настройки, необходимые для соответствия действующим требованиям по защите от вирусов. Упрощение управления сетью Сетевые возможности в ОС Windows Vista спроектированы с поддержкой управляемости по всем основным параметрам, позволяющей сократить расходы на внедрение беспроводных сетей и политик сетевой безопасности, а также обеспечить качество обслуживания приложений и пользователей. Для управления сетевыми функциями в ОС Windows Vista широко используются скрипты групповой политики или командной строки, выполняемые в сетевой оболочке NETSH, поэтому вам не требуется изучать или внедрять новый инструмент управления, а можно получить большую отдачу от вложенных средств в систему Active Directory® и использовать созданную вами структуру подразделения (OU). Внедрение правил сетевой безопасности (с объединением политик сетевого экрана и службы IPsec) и управление этими правилами упрощается благодаря использованию одного встроенного в консоль управления MMC приложения (сетевого экрана с дополнительными функциями безопасности), сопровождающего пользователя подсказками (смотри рисунок 4), или скриптов командной строки, выполняемых в оболочке NETSH. Это новое встроенное приложение позволяет легко и удобно реализовать правила фильтрации входящих или исходящих потоков, а также правила установления безопасной связи, ограничивающие доступ конкретным пользователям, компьютерам или приложениям с обеспечением административного управления на уровне мельчайших деталей. Для обеспечения соответствия политике безопасности на основе сценариев служба IPSec может затребовать проверку подлинности пользователей, компьютеров или отсутствия вирусов (совместно с функцией защиты сетевого доступа). Встроенное приложение облегчает создание правил отделения сервера или домена, а поскольку оно работает на основе групповой политики, вы можете применять эти правила гибким образом, в зависимости от структуры вашей организации. Рисунок 4 Брандмауэр Windows с Advanced Security При помощи групповой политики вы можете задавать способ подключения клиентов мобильных систем к беспроводным сетям и правила работы в этих сетях. Например, в компании может быть принята политика, обязывающая использовать при всех беспроводных соединениях только один определенный протокол или устанавливать все соединения только с одной определенной беспроводной сетью. Эти установки задаются при помощи групповой политики, что позволяет исключить вероятность изменения этих настроек конечным пользователем. Оболочка NETSH позволяет автоматизировать поиск неполадок в беспроводных соединениях и использовать при этом скрипты. С командной строки администраторы могут проверять, изменять или удалять конфигурационные профили беспроводной сети. Эти конфигурационные профили можно экспортировать на другие компьютеры или импортировать из других компьютеров, что упрощает настройку нескольких компьютеров с одинаковыми функциями. Приложения, которым необходима высокая скорость передачи данных, стремятся захватить всю имеющуюся пропускную способность, причем в таких приложениях обычно не предусмотрена передача центрального управления пропускной способностью ИТ-администраторам, что может привести к ухудшению качества сети. Расширение пропускной способности может и не решить такие проблемы, так как эти же самые приложения захватят и дополнительную пропускную способность. При помощи использующей политики функции качества обслуживания (QoS) администраторы могут устанавливать приоритеты и/ или ограничивать исходящий сетевой трафик без внесения изменений в приложения. На основе политик можно присваивать исходящему трафику код дифференцированного обслуживания (DSCP), используемый маршрутизаторами для преимущественного выделения пропускной способности, или возложить на ОС Windows Vista задачу регулирования объема исходящего трафика независимо от настроек маршрутизатора. Сочетание этих двух методов обеспечивает дополнительную гибкость. Процедура создания политики службы QoS показана на рисунке 5. Рисунок 5 Создание политики QoS Расширение сети до масштабов предприятия и более крупных размеров Организациям масштаба предприятия часто приходится решать задачи расширения своей сети. Например, у вас могут закончиться допустимые IP-адреса, особенно в тех случаях, когда в интересах дела каждому пользователю необходимо предоставить несколько таких сетевых устройств, как дополнительные портативные компьютеры или смартфоны. Или, другой пример, вы хотите запустить дополнительные сетевые службы, например, IPsec, но вас беспокоит чрезмерная загрузка ЦП. ОС Windows Vista позволяет снять ваши опасения по поводу расширяемости сети благодаря поддержке протокола IPv6 и передачи нагрузки аппаратным устройствам. Проблему нехватки свободных адресов IPv4 многие правительственные организации, поставщики интернет-услуг и другие организации решают путем перехода на протокол IPv6, новую версию сетевого протокола, лежащего в основе сети Интернет. ОС Windows Vista поддерживает оба протокола IPv4 и IPv6 с использованием двухуровневой архитектуры стека IP. Протокол IPv6 разрешен по умолчанию, а поддержка двухуровневого стека позволяет вам осуществить постепенный переход по предусмотренной в протоколе IPv6 технологии, направляющей трафик в формате протокола IPv6 по туннелю в частной сети IPv4 или в сети Интернет. В Windows Vista реализована собственная поддержка виртуальных частных сетей (VPN) с протоколом PPPv6 и протоколом туннелирования на уровне Layer 2 (L2TP/IPv6), что позволяет пользователям с удаленным доступом использовать преимущества сетей IPv6. Windows Vista поддерживает передачу функций обработки сетевого трафика специализированным сетевым адаптерам. К числу новых возможностей передачи нагрузки можно отнести протокол IPv6 и архитектуру TCP Chimney. Эти нововведения позволяют оптимизировать параметры и пропускную способность сети с максимальным использованием всех преимуществ современных высокоскоростных сетей. Благодаря применению совместимых сетевых адаптеров можно исключить узкие места в обработке сетевых пакетов, например, непроизводительную загрузку ЦП и ограничение пропускной способности памяти, без внесения изменений в существующие приложения или средства управления сетью. Для устранения возможных узких мест при обработке сетевого трафика в сетевом стеке предусмотрена и поддержка распределения нагрузки на принимающей стороне, что позволяет динамически выравнивать входящий сетевой трафик с распределением нагрузки между несколькими процессорами или ядрами. Выводы ОС Windows Vista являет собой наиболее существенное обновление сетевых возможностей операционной системы за весь период времени, прошедший после выпуска Windows 95. Пользователям стало проще использовать преимущества проводных и беспроводных сетей в своих поездках. Благодаря новому самонастраиваемому сетевому стеку ускоряется передача файлов по сети. На предприятиях снижается степень рисков в отношении безопасности их сетей благодаря, в числе прочего, улучшенной защите от угроз со стороны мобильных пользователей и беспроводных соединений. Системным администраторам ОС Windows Vista становится проще управлять сетью при помощи создания детальных политик безопасности для сетевого трафика и использования службы QoS для наиболее ответственных приложений. Эти новые возможности позволяют вам более гибко использовать свою инфраструктуру сети при одновременном сокращении затрат времени на ее администрирование и повышении производительности работы конечных пользователей. Дополнительные ресурсы
|
|