Windows Server 2008. Третья бета-версия
advertisement
МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Содержание Windows Server 2008. Третья бета-версия ...................................................................................1 Основные возможности продукта ............................................................................................1 Windows Server 2008: диспетчер серверов ..............................................................................2 Идентификация и доступ в Windows Server 2008 ..................................................................6 Службы терминалов в Windows Server 2008 Beta 3 .............................................................12 Internet Information Services 7.0 в Windows Server 2008 Beta 3 ...........................................17 Windows Vista and Window Server 2008—Better Together! ..................................................19 Защита сетевого доступа (NAP) в Windows Server «Longhorn» .........................................23 http://www.microsoft.com/rus/windowsserver2008/ Опубликовано 25 апреля 2007 Windows Server 2008. Третья бета-версия Серверная операционная система следующего поколения позволяет тратить меньше времени на выполнение повседневных операций, уделяя основное внимание развитию бизнеса Операционная система Microsoft Windows Server 2008 помогает повысить гибкость серверной инфраструктуры, сэкономить время и сократить затраты. Мощные новые средства управления и усовершенствованные функции безопасности дают обеспечивают полный контроль над серверами и расширенную защиту, за счет чего придется меньше заниматься рутинными задачами, посвящая основную часть времени развитию бизнеса. Основные возможности продукта Улучшенные контроль и управляемость Windows Server 2008 позволяет лучше контролировать инфраструктуру серверов и сети и сосредотачивать свои усилия на решении задач первоочередной важности. Диспетчер серверов ускоряет установку и настройку серверов и упрощает текущее управление серверными ролями из единой консоли. Windows PowerShell, новая оболочка с интерфейсом командной строки, поддерживающая более 130 средств и встроенный язык программирования, позволяет администратору автоматизировать выполнение рутинных операций по управлению системами, особенно на нескольких серверах. Установка основных компонентов сервера — новый вариант установки выбранных ролей, при котором развертываются только МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE нужные компоненты и подсистемы без графического интерфейса пользователя, в результате чего создается сервер с высокой отказоустойчивостью, требующий меньше обслуживания и обновлений. Гибкость для удовлетворения меняющихся потребностей Windows Server 2008 дает возможность создавать гибкие и динамичные центры данных, которые отвечают непрерывно меняющимся потребностям компании. Шлюз служб терминалов и удаленные программы обеспечивают беспрепятственный удаленный доступ и публикацию приложений для быстрого и удобного их развертывания и централизованного управления без использования сети VPN. Internet Information Server (IIS) 7 и .NET Framework 3.0 формируют комплексную платформу для разработки приложений, которые связывают работников друг с другом и с данными, обеспечивая таким образом наглядное представление, совместное использование и обработку информации. Устойчивая база для развития бизнеса Windows Server 2008 повышает уровень безопасности операционной системы и среды в целом, формируя надежный фундамент, на котором можно развивать свой бизнес. Windows Server 2008 помогает защищать серверы, сети, данные и учетные записи пользователей от сбоев и вторжений. Технология защиты доступа к сети позволяет изолировать компьютеры, которые не отвечают требованиям действующих политик безопасности, и обеспечивает для сети механизм ограничения доступа, устранения недостатков и непрерывной проверки соответствия. Служба управления правами Active Directory поддерживает постоянную защиту конфиденциальных данных, помогает сократить риски, обеспечивает соблюдение регулятивных норм и формирует платформу для комплексной защиты информации. Контроллер домена только для чтения (RODC) позволяет развертывать службы Active Directory с ограниченной репликацией полной базы данных Active Directory для улучшения защиты на случай кражи или взлома сервера. Windows Server 2008: диспетчер серверов МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Диспетчер серверов — новый компонент операционной системы Windows Server 2008. Он представляет собой единый интерфейс, через который ИТ-администратор может выполнять все действия по установке, настройке серверных ролей и функций Windows Server 2008 и управлению ими. Диспетчер серверов объединяет в себе функции ряда компонентов Microsoft Windows Server 2003, таких как «Управление сервером», «Мастер настройки сервера» и «Установка и удаление программ». С помощью диспетчера серверов можно настраивать на компьютере разные функции и роли. Роль сервера в Windows Server 2008 описывает основное назначение сервера. Администратор может выделить под определенную роль весь сервер или установить несколько ролей на одном и том же компьютере. Например, на одном сервере могут быть одновременно развернуты роли сервера DHCP и сервера DNS. Функция сервера описывает не его основное назначение, а вспомогательное, или резервное. Так, после установки роли файлового сервера администратор может принять решение о развертывании функции отказоустойчивости кластеров, чтобы обеспечить большую избыточность файлового сервера. Интерфейс диспетчера сервера Диспетчер серверов поддерживает графический интерфейс пользователя и средства с интерфейсом командной строки, позволяющие эффективно устанавливать, настраивать роли и функции Windows Server 2008 и управлять ими. Установка и исходная настройка с помощью задач первоначальной настройки (ICT). Компонент ICT помогает выполнить процедуры установки и первоначальной настройки нового сервера (определение пароля администратора и имени компьютера, введение компьютера в состав домена, включение Центра обновления Windows, активация ролей сервера и т. д.). Он заменяет функцию послеустановочных обновлений безопасности из Windows Server 2003 с пакетом обновления 1 (SP1), но в отличие от нее охватывает все задачи по настройке нового сервера, а не только имеющие отношение к безопасности. Добавление и настройка новых ролей, удаление установленных ролей. Для добавления и настройки новых ролей и удаления существующих используются мастеры добавления и удаления ролей. Каждая роль может включать в себя одну или несколько служб и необязательные элементы для нее. Например, с помощью мастера добавления ролей можно выбрать роль служб терминалов, а затем службу шлюза служб терминалов для этой роли. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE На открывающихся страницах мастера настройте параметры конфигурации, наиболее отвечающие вашим потребностям. Установленный шлюз служб терминалов можно позже удалить с помощью мастера удаления ролей. Добавление и удаление функций. Добавление новых и удаление установленных функций производится с помощью мастеров добавления и удаления функций. В отличие от ролей, функции нельзя настраивать с помощью мастера добавления функций. Мастер добавления функций позволяете просмотреть полный перечень функций, включая средства удаленного администрирования сервера (RSAT), и выбрать для установки одну из них, например функцию отказоустойчивости кластеров. Просмотр состояния установленных ролей и выполнение задач управления ими. Консоль диспетчера серверов обеспечивает консолидированное представление сервера, включая информацию о его конфигурации, состояние установленных ролей и функций, а также ссылки для добавления и удаления ролей, служб и функций сервера. Кроме того, в диспетчере серверов имеются средства управления установленными ролями и функциями. Благодаря достигаемому с помощью диспетчера серверов повышению продуктивности труда требуется меньше времени на развертывание и обслуживание инфраструктуры, а также управление ею; появляется возможность уделять основное внимание использованию новых функций с целью решения стратегических вопросов. После установки шлюза служб терминалов запустите диспетчер сервера и перейдите на домашнюю страницу роли «Службы терминалов», чтобы просмотреть списки сопоставленных ей событий, служб, ресурсов и вспомогательных элементов. Кроме того, можно открыть надстройку управления шлюзом служб терминалов и выполнить необходимую настройку. Установка ролей и функций с помощью командной строки и сценариев. Servermanagercmd — средство с интерфейсом командной стройки, позволяющее устанавливать и удалять роли и функции, используя командную строку или сценарии. Кроме того, с его помощью можно запросить у сервера список как доступных ролей и функций, так и установленных. Установка основных компонентов сервера Windows Server 2008 Операционная система Microsoft Windows Server 2008 поддерживает новый вариант установки — установку основных компонентов сервера. Создаваемая при этом среда с минимально необходимыми для выполнения определенной серверной роли функциональными возможностями требует меньше усилий по МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE обслуживанию и управлению и менее уязвима. Установка основных серверных компонентов поддерживается для следующих ролей: Службы домена Active Directory Службы Active Directory Lightweight Directory Services (AD LDS) Сервер DHCP Сервер DNS Файловые службы Сервер печати Службы потоков мультимедиа Кроме того, поддерживаются следующие дополнительные функции: Отказоустойчивость кластеров Майкрософт Балансировка нагрузки сети Подсистема для UNIXприложений Архивация данных Windows Многопутевой ввод-вывод Управление съемными носителями Шифрование дисков Windows Bitlocker Протокол SNMP Служба WINS Клиент Telnet Качество службы (QoS) Для создания среды с минимально необходимыми функциональными возможностями устанавливаются только те двоичные файлы, которые используются соответствующей ролью сервера. Например, не устанавливается оболочка проводника. Стандартным интерфейсом пользователя в конфигурации с основными компонентами сервера является командная строка. Управлять установленным и настроенным сервером можно локально (с помощью командной строки) или удаленно (с помощью удаленного рабочего стола). Кроме того, для удаленного управления можно использовать консоль управления Майкрософт (ММС) или специальные средства с интерфейсом командной строки. Преимущества установки основных компонентов сервера Предусмотренная в Windows Server 2008 возможность установки только основных компонентов сервера имеет следующие преимущества. Уменьшение объема обслуживания. Поскольку для создания управляемого сервера (DHCP, файловый сервер, сервер печати, DNS, службы потоков мультимедиа, AD LDS или Active Directory) МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE устанавливаются только самые необходимые компоненты, то соответственно снижается объем работ по его обслуживанию. Сокращение количества уязвимостей. Так как экземпляр сервера имеет минимальную конфигурацию, на нем выполняется меньше приложений и служб, за счет чего сокращается количество возможных направлений для проведения атак. Уменьшение потребности в управлении. Сокращение количества установленных на сервере приложений и служб означает, что меньше объектов нуждается в управлении. Меньший объем дискового пространства. Для установки основных компонентов сервера требуется около 1 ГБ дискового пространства и еще 2 ГБ для последующей эксплуатации системы. Идентификация и доступ в Windows Server 2008 Управление учетными записями пользователей является задачей первостепенной важности для многих современных компаний. Людям требуется доступ к многочисленным системам и ресурсам в корпоративной сети с устройств разных типов. Поскольку эти системы могут не взаимодействовать друг с другом, одному человеку зачастую приходится пользоваться несколькими учетными записями. При этом усложняется управление избыточными учетными записями, теряется время и увеличиваются риски безопасности по причине возможного возникновения ошибок. Решения Майкрософт по управлению идентификацией пользователей и правами доступа — это набор платформенных технологий и продуктов, созданных для управления учетными записями и связанными с ними правами на доступ. Благодаря акценту на безопасности и удобстве использования они помогают компаниям увеличивать производительность, сокращать затраты на ИТ и упрощать управление идентификацией пользователей и правами доступа. Решения Майкрософт для управления идентификацией пользователей и правами доступа можно разделить на пять четких категорий: Службы каталогов (EN). Упрощают управление пользователями и устройствами. Строгая проверка подлинности (EN). Защищает доступ, применяя дополнительные средства помимо имени пользователя и пароля. Федеративная идентификация (EN). Безопасная совместная работа невзирая на границы организации. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Защита информации (EN). Безопасность конфиденциальных данных независимо от того, куда они направляются. Управление жизненным циклом учетных записей (EN). Автоматизация управления идентификацией пользователей и правами доступа. В Microsoft Windows Server 2008 платформа Майкрософт для управления идентификацией пользователей и правами доступа дополнена несколькими новыми функциями и технологиями, которые помогают компаниям повысить эксплуатационную эффективность, упростить соблюдение регулятивных норм и усилить безопасность. Новое в службах каталогов Контроллеры домена только для чтения. Одной из наиболее значимых новых функций для доменных служб Active Directory (AD DS) в Windows Server 2008 является контроллер домена только для чтения (RODC). RODC позволяет без труда развертывать контроллеры домена, содержащие реплику базы данных домена только для чтения. Такая возможность очень хорошо подходит для тех мест, где нельзя гарантировать физическую безопасность контроллера домена, где подключение к сети отрицательно сказывается на производительности и где на контроллере домена должны выполняться другие приложения, обслуживаемые администратором сервера (который в идеале не входит в состав группы администраторов домена). Все эти сценарии характерны для многих филиалов. RODC содержит те же объекты и атрибуты, что и контроллер домена с поддержкой записи. Тем не менее локально инициированные изменения вносятся не в саму реплику RODC, а в контроллер домена с поддержкой записи и только потом реплицируются назад, на контроллер RODC. Это не позволяет изменениям, произведенным в филиалах, засорять и повреждать лес Active Directory в ходе репликации. Кроме того, администратор может настроить на контроллере RODC хранение (кэширование) учетных данных пользователей. Когда пользователь впервые пытается пройти проверку подлинности на контроллере RODC, тот пересылает запрос контроллеру домена с поддержкой записи. Если проверка подлинности завершается успешно, RODC запрашивает копию учетных данных. Возможность репликации и кэширования учетных данных на контроллере RODC определяется действующей политикой репликации паролей. Если кэширование выполнено, при последующих попытках пользователя войти в систему его запросы обрабатываются непосредственно МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE контроллером RODC (пока в ходе репликации не будет получено уведомление об изменении учетных данных). Кэширование учетных данных способно увеличить продуктивность пользователей за счет смягчения негативного эффекта задержек в глобальной сети или проблем с подключением, которые нередко возникают в филиалах. Кроме того, службы AD DS ведут список всех учетных данных, хранящихся на RODC; при возникновении проблем с безопасностью контроллера RODC администратор может принудительно сбросить пароли всех имеющихся на нем учетных записей. Контроллеры RODC позволяют делегировать право на установку и управление не имеющему прав администратора персоналу филиала. Сотрудники филиала могут выполнять установку путем подключения сервера к ранее созданной администратором учетной записи RODC. Это устраняет необходимость использовать промежуточный узел для контроллеров домена в филиале или посылать в филиал установочный носитель и администратора. Службы федерации Active Directory Службы федерации Active Directory (AD FS) — это серверная роль в операционной системе Windows Server 2008. С помощью AD FS можно создать расширяемое, интернет-масштабируемое и безопасное решение для управления идентификацией пользователей и правами доступа, способное функционировать на нескольких платформах, включая среды как ОС Windows, так и других ОС. Службы AD FS включают функцию импорта и экспорта политик, которая помогает настраивать доверительные отношения между федеративными партнерами. Добавлен поставщик контроля членства, позволяющий пользователям федеративного партнера проходить ролевую проверку подлинности при подключении к службам Windows SharePoint Services (WSS) и службам управления правами (RMS). А администраторы могут теперь с помощью групповой политики ограничивать развертывание служб федерации. Кроме того, поддерживаются разные параметры проверки отзыва сертификатов. Аудит службы каталогов. Новая субкатегория политики аудита «Изменения службы каталогов» предоставляет в распоряжение администраторов возможности для ведения точного аудита. Политика аудита «Изменения службы каталогов» сохраняет старые и новые значения объектов службы каталогов и их атрибутов. Администраторы смогут видеть, кто и когда произвел изменение, какие объекты и атрибуты подверглись изменению, а также какими были исходное и новое значения. Данные аудита службы каталогов заносятся в журнал событий Windows; для их консолидации и обработки применяется Microsoft Operations Manager и средства сторонних разработчиков. За МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE счет подробной регистрации упрощается отслеживание изменений службы каталогов и улучшается соблюдение регулятивных норм. Основные компоненты роли сервера Установка основных компонентов сервера Windows Server 2008 поддерживается для ролей AD DS и AD LDS (службы Active Directory облегченного доступа к каталогам). Основные компоненты сервера — это новый вариант установки операционной системы, позволяющий создавать среду, требующую меньше обслуживания и идеально подходящую для конкретных служб на основе ролей. Наряду с сокращением потребности в управлении и обслуживании сокращается и количество уязвимостей в установке Windows Server 2008. AD DS на основе служб. Службы домена Active Directory в Windows Server 2008 можно останавливать и запускать из оснасток консоли управления (ММС) и из командной строки. Службы AD DS на основе служб упрощают управление за счет сокращения времени, необходимого для выполнения операций в автономном режиме, таких как автономная дефрагментация и принудительное восстановление. Кроме того, улучшается доступность других служб, которые запущены на контроллере домена, поскольку они остаются активны даже во время обслуживания AD DS. Все клиенты, привязанные к остановленному контроллеру домена, просто обращаются к другому контроллеру с помощью функции обнаружения. Средство просмотра снимков AD DS. Отображая информацию об объектах в периодически создаваемых снимках AD DS, средство просмотра помогает идентифицировать непреднамеренно удаленные объекты. Просматривать эти снимки можно на контроллере домена без необходимости его запуска в режиме восстановления службы каталогов. Путем сравнения состояния объектов в разных снимках можно без труда выбрать подходящую архивную копию AD DS для восстановления удаленных объектов. Детальная политика паролей и блокировки учетных записей. Детальные политики паролей позволяют определять несколько политик паролей и применять различные ограничения для паролей и политики блокировки учетных записей для отдельных групп пользователей в пределах одного домена. Установка с носителя. Параметр «Установить с носителя» (IFM) может быть использован для установки дополнительного контроллера домена в существующем домене и сокращения трафика репликации в процессе установки. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Усовершенствования строгой проверки подлинности Криптографический интерфейс API следующего поколения. Криптографический интерфейс API следующего поколения (CNG) — это абсолютно новый программный интерфейс приложений (API) в Windows Server 2008, обеспечивающий выполнение рекомендаций Протокола Б Агентства национальной безопасности США. Службы сертификации Active Directory (AD CS) используют интерфейс CNG в криптографических целях. Интерфейс CNG пришел на смену интерфейсу CryptoAPI из состава предыдущих версий Windows. В службах AD CS классические криптографические алгоритмы поддерживаются с помощью поставщиков служб сертификации (CSP), а новые криптографические алгоритмы, например метод эллиптической кривой (ECC), — с помощью основных поставщиков CNG. Одной из уникальных особенностей интерфейса CNG является возможность использовать специальные криптографические алгоритмы. Детальная модель администрирования. Службы AD CS поддерживают новые функции безопасности, которые обеспечивают детальный контроль над тем, кто и на какие сертификаты имеет право подавать заявки и кому эти сертификаты могут быть выданы. Эти службы интегрируют группы безопасности AD DS в задачи управления агентов подачи заявок и диспетчеров сертификатов. Шаблоны сертификатов V3. В AD CS шаблоны сертификатов V3 заменяют шаблоны сертификатов V1 и V2, которые использовались в предыдущих версиях Windows. Новые шаблоны поддерживают последние криптографические алгоритмы CNG в Windows Server 2008. Кроме того, шаблоны V3 обеспечивают более безопасный метод проверки клиентами контроллеров домена и шифрование трафика службы AD CS между сервером и клиентом. Управление корпоративной инфраструктурой открытых ключей (PKI). Средство PKIView из пакета Windows Server 2003 Resource Kit добавляется в состав консоли управления при установке служб сертификации Active Directory в Windows Server 2008. Это средство упрощает управление корпоративной инфраструктурой PKI за счет объединения основных задач управления центрами сертификации (СА) в единый интерфейс, который поддерживает набор символов Юникода для отображения информации невзирая на географические границы. Консолидированный интерфейс обеспечивает администраторам следующие преимущества: Единое иерархическое представление инфраструктуры PKI, которая зарегистрирована и участвует в топологии AD DS. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Представление взаимосвязей «родитель-потомок» (при выборе центра сертификации в дереве отображаются все подчиненные центры сертификации). Возможность напрямую управлять каждым узлом через интерфейс. Индикаторы с цветовой маркировкой отражают общее состояние центров сертификации, деревьев и корпоративной инфраструктуры PKI в целом. Поддержка последних стандартов. Службы AD CS в Windows Server 2008 поддерживают самые последние стандарты, включая OCSP (Online Certificate Status Protocol), IDP CRL (Issuing Distribution Point Extension) и SCEP (Simple Certificate Enrollment Protocol). Усовершенствования защиты информации Федерация совместной работы. В Windows Server 2008 реализована первая версия полностью интегрированного решения «Федеративные службы управления правами». В результате комбинации компонентов служб федерации Active Directory (AD FS) и служб управления правами Active Directory (AD RMS) образуется легко развертываемая внешняя среда для совместной работы. До появления Windows Server 2008 для совместной работы с внешними организациями с защитой прав ИТ-специалистам нужно было внутри компании поддерживать второй комплект учетных данных для внешних пользователей. Как правило, это были доменные учетные записи или некая разновидность интеграции паспортов. За счет интеграции функций AD RMS со службами AD FS внешние пользователи, которые пытаются получить доступ к защищенной информации компании, вначале проходят проверку подлинности в своей домашней зоне (на контроллере домена), что позволяет обходиться без избыточного комплекта учетных данных. После такой проверки подлинности применяются политики AD RMS, и службы AD RMS автоматически предоставляют удаленным пользователям соответствующие лицензии на содержимое, позволяющие работать с защищенным содержимым организации. Администратор может детально контролировать работу удаленных пользователей с корпоративной информацией и определять шаблоны, применимые к множеству партнерских отношений. Федеративные службы управления правами в Windows Server 2008 полностью совместимы с существующими установками Microsoft Office SharePoint Server 2007 и полностью поддерживают клиентов AD RMS более низкого уровня. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Общая схема управления. Службы AD RMS переходят на более знакомую схему управления. Прошлый веб-интерфейс администрирования AD RMS преобразован в оснастку консоли управления Майкрософт (MMC). Кроме того, управление AD RMS дополнительно формализуется за счет ориентированного на задачи интерфейса, который содержит ссылки на обязательные, рекомендованные и необязательные задачи настройки. Четыре новые группы безопасности позволяют администраторам делегировать управление AD RMS определенным пользователям и группам. Шифрование дисков Windows BitLocker™. Шифрование дисков Windows BitLocker — это функция защиты данных, входящая в состав Windows Vista Enterprise и Windows Vista Ultimate для клиентских компьютеров, а также всех выпусках Windows Server 2008. Это новая функция Майкрософт, предназначенная для борьбы с угрозой раскрытия и хищения данных с потерянного, украденного или ненадлежащим образом списанного компьютерного оборудования. Шифрование дисков Windows BitLocker не позволяет злоумышленнику, который загружает другую операционную систему или использует специальное программное средство, взломать защиту файлов и системы Windows Server 2008 или просмотреть в автономном режиме файлы защищенного диска. С помощью доверенного платформенного модуля (ТРМ) 1.2 функция защищает данные и предотвращает вторжение в компьютер под управлением Windows Server 2008 в автономном режиме системы. Шифрование дисков Windows BitLocker обеспечивает повышенную безопасность данных за счет двух основных факторов: полное шифрование дисков и проверка целостности компонентов системы, которые загружаются первыми. Службы терминалов в Windows Server 2008 Beta 3 Службы терминалов в Microsoft Windows Server 2008 обеспечивают удобную в управлении платформу с повышенной безопасностью для доступа к централизованно управляемым приложениям и ресурсам. Вариант служб терминалов в составе третьей бета-версии Microsoft Windows Server 2008 обладает усовершенствованными функциональными возможностями, которые позволяют ему стать стратегической составляющей процессов удаленного доступа и развертывания приложений для всех заказчиков. Чтобы оценить гибкость служб терминалов, загрузите третью бета-версию Windows Server 2008, оформив подписку на TechNet Plus (EN). МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Введение Службы терминалов в составе третьей бета версии Windows Server 2008 представляют собой наиболее мощную централизованную платформу приложений Майкрософт, которая поддерживает широкий спектр впечатляющих функций, существенно расширяющих возможности как администраторов, так и пользователей. Новые службы терминалов предоставляют значительное усовершенствование в отношении возможностей, производительности и удобства. Теперь они обеспечивают централизованный доступ к индивидуальным приложениям без необходимости воспроизводить удаленный рабочий стол целиком. Приложения, запущенные удаленно, интегрируются с рабочим столом локального пользователя, а потому выглядят и ведут себя подобно локальным приложениям. Компании могут предоставлять более безопасный доступ по протоколу HTTPS из Интернета к централизованным приложениям, рабочим столам и другим ресурсам без необходимости использовать подключения по VPN или открытия дополнительных портов в межсетевом экране. Это упрощает процесс удаленного доступа к приложениям и данным для пользователей, партнеров и заказчиков. Новая функция балансировки нагрузки обеспечивает оптимальную производительность среды с несколькими серверами путем распределения сеансов среди наименее загруженных ресурсов из числа доступных. Службы терминалов позволяют выполнять следующие действия: Развертывание приложений, интегрирующихся с локальным рабочим столом пользователя. Предоставление доступа к централизованно управляемым рабочим столам Windows. Обеспечение удаленного доступа к существующим приложениям, не приспособленным для глобальных сетей. Защита приложений и данных внутри центра данных, избавляющая от беспокойства по подводу потерь переносных ПК. Возможности служб терминалов Службы терминалов в третьей бета-версии Windows Server 2008 имеют несколько значительных усовершенствований. 1. Terminal Services (TS) RemoteApp™. Удаленные приложения на базе технологии TS RemoteApp доступны с помощью служб терминалов и ведут себя так, будто они запущены на локальном компьютере пользователя. Эти приложения можно использовать бок о бок с локальными. Если пользователь запускает на одном сервере терминалов несколько удаленных приложений, они делят между МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE собой один общий сеанс служб терминалов. Доступ к приложению TS RemoteApp можно получить следующими способами: Дважды щелкните значок приложения на рабочем столе или выберите его в меню «Пуск», создаваемом и распространяемом администратором. Дважды щелкните файл с расширением, сопоставленным приложению TS RemoteApp. Используя веб-доступ служб терминалов щелкните на вебузле ссылку на приложение TS RemoteApp. После открытия на локальном компьютере окна приложения TS RemoteApp, запущенного на сервере терминалов, пользователь может взаимодействовать с ним так, будто оно выполняется локально. 2. Шлюз служб терминалов. Шлюз служб терминалов позволяет уполномоченным удаленным пользователям подключаться к серверам терминалов и удаленным рабочим столам (удаленным компьютерам) в составе корпоративной сети с любого устройства с доступом к Интернету, на котором запущено подключение к удаленному рабочему столу (RDC) версии 6.0. С помощью протокола удаленного рабочего стола (RDP), туннелированного через HTTPS, шлюз служб терминалов создает безопасные шифрованные соединения между удаленными пользователями в Интернете и удаленными компьютерами, на которых запущены их приложения, даже если те располагаются за маршрутизатором прохождения NAT. Шлюз служб терминалов устраняет необходимость создавать VPN-подключения и предоставляет удаленным пользователям возможность получать доступ к корпоративной сети через Интернет, обеспечивая при этом комплексную модель конфигурации безопасности для контроля доступа к определенным ресурсам сети. Оснастка управления шлюзом служб терминалов — это универсальное средство для настройки политик, определяющих условия, которые должны быть соблюдены пользователем для подключения к ресурсам сети. Если в организации имеется сервер сетевых политик (NPS), то на нем можно хранить и проверять настроенные политики для шлюза служб терминалов, а также управлять ими. NPS является реализацией корпорацией Майкрософт сервера RADIUS. 3. Веб-доступ служб терминалов. Веб-доступ служб терминалов позволяет пользователям получать доступ к удаленным приложениям из окна веб-обозревателя. С его помощью пользователь обращается на веб-узел (в Интернете или в интрасети), чтобы просмотреть список доступных приложений TS RemoteApp. После запуска приложения TS МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE RemoteApp на том сервере терминалов, где оно размещено, запускается сеанс служб терминалов. Веб-доступ служб терминалов включает стандартную вебстраницу, которую можно использовать для развертывания программ TS RemoteApp через Интернет. Веб-страница состоит из фрейма и настраиваемой веб-части. 4. Брокер сеанса служб терминалов. Брокер сеанса — новая функция в третьей бета-версии Windows Server 2008, являющаяся упрощенной альтернативой службе балансировки сетевой нагрузки Майкрософт для служб терминалов. Не имея ограничений на конкретное число серверов, она особенно полезна для ферм, в которые входит от двух до пяти серверов. Брокер сеанса служб терминалов распределяет новые сеансы по наименее загруженным серверам в составе фермы с целью повышения производительности, а пользователи могут повторно подключаться к существующему сеансу, даже не имея понятий о сервере, на котором он был создан. С помощью этой функции ИТ-специалисты могут сопоставить IP-адрес каждого сервера терминалов отдельной записи службы доменных имен (DNS). Кроме того, такая конфигурация обеспечивает отказоустойчивость: если один из серверов фермы недоступен, пользователь подключается к следующему наименее загруженному серверу. 5. Простая печать служб терминалов. Это новая возможность третьей бета-версии Windows Server 2008, помогающая пользователям уверенно выполнять печать из приложений TS RemoteApp или из сеанса подключения к полноценному рабочему столу на локальный или сетевой принтер, установленный на клиентском компьютере. Принтеры поддерживаются без установки драйверов на сервере терминалов. Пользователь, который хочет выполнить печать из приложения TS RemoteApp или из сеанса подключения к рабочему столу, видит диалоговое окно со всеми свойствами принтера (пользовательский интерфейс принтера), установленного на локальном клиентском компьютере, и имеет доступ ко всем функциям принтера. Для улучшения масштабируемости и снижения затрат на администрирование ИТ-специалисты могут с помощью групповых политик ограничивать круг перенаправляемых принтеров только принтером по умолчанию. В комбинации с другими усовершенствованиями рассмотренные выше возможности образуют удобные решения для следующих сценариев: Удаленный доступ к приложениям. Обеспечить доступ к приложениям в удаленном режиме не всегда просто. Многие МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE приложения плохо работают с удаленными подключениями — даже кабельными или DSL. При размещении приложения в непосредственной близости от нужных ему данных и организации доступа к нему через TS RemoteApp, шлюз или веб-доступ служб терминалов улучшается быстродействие приложения как для удаленных пользователей, так и для пользователей в филиалах компании. Простая печать служб терминалов позволяет таким пользователям работать так, будто они находятся в офисе. Защита приложений и данных (соблюдение регулятивных норм). Путем централизованной защиты приложения и его данных можно снизить риск случайной потери информации, например в случае потери переносного ПК. Централизация приложений и данных является залогом того, что за пределы корпоративной сети выходит минимум информации. Шлюз служб терминалов и удаленные приложения TS RemoteApp позволяют пользователям, партнерам и заказчикам обходиться без полного доступа к корпоративной сети и компьютерам, а при необходимости им можно разрешить работать только с одним приложением. Интеграция при слиянии и привлечение сторонних подрядчиков. Как правило, компаниям, которые принимают участие в слиянии, необходимо использовать единообразные бизнесприложения на компьютерах с разными конфигурациями и версиями операционной системы Windows. Это утверждение справедливо и в случае привлечения стороннего подрядчика, которому требуется доступ к определенному бизнес-приложению, но не ко всей корпоративной сети. Вместо того чтобы нести затраты по развертыванию всех бизнес-приложений на всех компьютерах подрядчика или в образовавшейся после слияния компании, можно установить приложения на сервере терминалов и организовать к ним доступ с помощью технологии TS RemoteApp. Особенно это полезно, если приложение плохо поддается обновлению, неудобно в управлении, не может быть распространено с помощью Microsoft Systems Management Server (SMS) или имеет другие проблемы с управлением им. Гибкий офис. В компаниях с политикой непредоставления сотрудникам отдельных рабочих столов, сотрудники ежедневно работают на разных офисных компьютерах. При этом сотрудник может оказаться за компьютером, на котором не установлены нужные ему программы. Службы терминалов позволяют предоставлять пользователям доступ к программам, развернутым на сервере терминалов, таким образом, будто те установлены локально. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Internet Information Services 7.0 в Windows Server 2008 Beta 3 Службы Internet Information Services (IIS) 7.0 — больше чем просто веб-сервер, в действительности это удобная в управлении платформа с повышенной безопасностью для разработки и надежного размещения веб-приложений и служб. Более того, службы IIS 7.0 являются ключевым усовершенствованием существующей вебплатформы Windows и играют главную роль в интеграции технологий веб-платформ Майкрософт (веб-служб ASP.NET, Windows Communication Foundation и Windows SharePoint Services). Чтобы оценить мощь IIS 7.0, загрузите третью бета-версию Windows Server 2008, оформив подписку на TechNet Plus. Введение Службы IIS 7.0 — это самый мощный из когда-либо созданных веб-серверов Майкрософт, оснащенный впечатляющим набором новых функций, которые существенно улучшают процесс разработки и развертывания веб-решений, а также управления ими. Модульная структура IIS 7.0 дает администраторам беспрецедентный контроль над их веб-сервером. Гибкая и расширяемая архитектура служб IIS7 открывает перед разработчиками совершенно новые возможности по настройке веб-серверов. Благодаря многосторонним возможностям администрирования процессы развертывания и управления вебприложениями на основе IIS 7.0 становятся проще и эффективнее, чем на основе любого другого веб-сервера. Кроме того, мощные возможности диагностики и разрешения проблем помогают пользователям решать их очень быстро, избегая многочасовых простоев. Ниже перечислены только некоторые причины опробовать IIS 7.0 уже сегодня. Подробные сведения см. на веб-узле http://www.iis.net/ . Службы IIS 7.0 обеспечивают следующие преимущества: Минимизация потребности в обновлении и рисков для безопасности за счет детального контроля над экземплярами вебсерверов. Очень быстрое внедрение мощных веб-решений за счет новой расширяемой структуры. Ускоренный вывод приложений на рынок благодаря упрощению развертывания и настройки. Снижение затрат на администрирование за счет более эффективного управления веб-инфраструктурой. Сокращение продолжительности простоев веб-узлов за счет быстрого разрешения проблем с приложениями. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Возможности IIS 7.0 Службы IIS 7.0 из состава Windows Server 2008 позволяют администраторам уверенно управлять веб-инфраструктурой, а разработчикам — быстро создавать более эффективные вебрешения. В IIS 7.0 реализовано пять основных усовершенствований: 1. Модульная архитектура. Службы IIS 7.0 спроектированы таким образом, чтобы ИТ-специалисты могли точно определять перечень функций, устанавливаемых и выполняемых на веб-сервере. Теперь службы IIS разделены более чем на 40 функциональных модулей, которые могут устанавливаться на сервере независимо друг от друга, за счет чего сильно сокращается число потенциальных уязвимостей и объем занимаемого места. 2. Всесторонние интерфейсы API для расширений. Службы IIS 7.0 позволяют разработчикам более легко расширять возможности веб-сервера. Базовые функции веб-сервера для IIS 7.0 создавались с помощью нового набора общедоступных интерфейсов API, используя который все разработчики могут расширять, заменять и добавлять функции веб-сервера. Эти интерфейсы доступны в виде основных (Win32) и управляемых (.NET Framework) интерфейсов API. Кроме того, благодаря расширяемости функций регистрации событий, настройки и администрирования разработчики могут обеспечивать удобный интерфейс для пользователей сторонних приложений. 3. Унифицированная, распространяемая модель конфигурации. Службы IIS 7.0 предоставляют разработчикам и администраторам унифицированную систему конфигурации для хранения всех параметров IIS и ASP.NET в едином формате XML и включают набор управляемых сценарных и программных интерфейсов API для получения доступа к данным о конфигурации всей веб-платформы. Новая система поддерживает распространяемые файлы конфигурации, которые могут храниться вместе с содержимым вебузла и приложений. Эти усовершенствования оказывают радикальное воздействие на настройку и развертывание приложений. Поскольку параметры вебузла и приложений теперь не имеют явной привязки к центральному хранилищу конфигураций на локальном компьютере, конфигурацию можно просто скопировать с компьютера разработчика на тестовый сервер, а затем на рабочий веб-сервер. После ввода веб-узла в эксплуатацию администратор может использовать конфигурационные данные на нескольких клиентских веб-серверах, избегая дорогостоящей и подверженной ошибкам репликации, а также проблем с синхронизацией в ручном режиме. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE 4. Эффективные средства администрирования. В IIS 7.0 имеется широкий набор функций администрирования, которые облегчают повседневное управление веб-узлами и приложениями. Службы IIS 7.0 включают в себя новое средство администрирования с графическим интерфейсом пользователя, новую служебную программу с интерфейсом командной строки, новый управляемый интерфейс API и нового поставщика WMI для автоматизации задач администрирования. Все перечисленные функции обеспечивают унифицированную поддержку совместного управления параметрами IIS 7.0 и ASP.NET. Новое средство администрирования с графическим интерфейсом пользователя позволяет более эффективно управлять веб-сервером. Оно поддерживает параметры конфигурации для IIS 7.0 и ASP.NET, членство пользователей, ролевые данные и динамическую диагностику. Кроме того, с помощью нового интерфейса тот, кто администрирует или размещает веб-узел, может делегировать право управлять им разработчику или владельцу содержимого с целью снижения стоимости владения и нагрузки на ИТперсонал. Поддерживается подключение к удаленным серверам по протоколу НТТР (через межсетевые экраны) и работа в выделенной и общей среде размещения. 5. Мощные средства диагностики. Службы IIS 7.0 помогают разработчикам и ИТ-специалистам разрешать проблемы с веб-узлами и приложениями. Они отображают для администратора данные динамической диагностики (например, какие запросы и как долго выполняются, какие URL-адреса они активируют, какие клиенты их вызвали и каково их состояние). Кроме того, можно настроить для запросов автоматическую регистрацию подробной трассировки событий в случае обнаружения сбоя. Благодаря расширяемости диагностических средств IIS 7.0 можно добавлять в специальные модули новые события диагностики. Windows Vista and Window Server 2008—Better Together! Имея в своем составе ряд новых и усовершенствованных возможностей, операционные системы Windows Vista и Windows Server 2008 даже по отдельности обеспечивают компаниям многочисленные преимущества. В случае их одновременной установки появляются дополнительные выгоды в виде более эффективного управления, повышенной отказоустойчивости и ускоренного обмена данными. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Введение Windows Vista и Windows Server 2008 с самого начала были частями одного проекта с кодовым именем "Longhorn". На основе значительного числа общих технологий в обеих операционных системах реализовано несколько усовершенствований по части работы в сети, хранения данных, безопасности и управления. Несмотря на то что многие из этих усовершенствований имеют отношение либо к Windows Vista, либо к Windows Server 2008, при их совместном развертывании становятся очевидны преимущества комбинированной клиент-серверной инфраструктуры. В дополнение к прямому положительному эффекту от развертывания Windows Vista компании смогут получать дополнительные выгоды в случае установки операционной системы Windows Server 2008, как она будет выпущена на рынок. Более эффективное управление ИТ-специалисты ощутят многочисленные усовершенствования в части администрирования в среде Windows Vista и Windows Server 2008. Клиентские компьютеры могут отслеживать определенные события и пересылать их Windows Server 2008 для централизованного мониторинга и отчетности (и наоборот). Подписка на события позволяет ИТ-администраторам получать оповещения при наступлении определенных событий и немедленно вмешиваться в ситуацию. Кроме того, эта функция поддерживает пересылку событий между рабочими станциями Windows Vista без использования сервера Windows Server 2008. Службы развертывания Windows обеспечивают быстрое и надежное развертывание операционных систем с помощью нового формата WIM (Windows Image Format) файла образа и нового средства создания образа диска ImageX. Благодаря новым технологиям работы с образами ИТ-администраторы смогут применять похожие методы и подходы при развертывании как клиентских, так и серверных операционных систем. Установка на основе образа предполагает, что один и тот же образ будет работать практически на любом оборудовании, без каких-либо региональных ограничений. Это приводит к уменьшению количества образов, требующих обслуживания. Добавлять драйверы, компоненты и обновления в состав образов можно автономно, без необходимости загрузки сохраненной в нем операционной системы. Службы развертывания Windows входят в Windows Server 2008 и МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE предлагаются в виде отдельного обновления для Windows Server 2003 с пакетом обновления 2 (SP2). Функции защиты сетевого доступа (NAP) в Windows Server 2008 гарантируют, что клиентские компьютеры Windows Vista, которые подключаются к сети, соответствуют требованиям политик безопасности. В противном случае доступ не предоставляется. Технология NAP обеспечивает механизмы проверки на соответствие политикам работоспособности, ограничения доступа к сети, автоматического исправления и постоянного соблюдения регулятивных норм для клиентских компонентов Windows Vista и серверных компонентов Windows Server 2008. Службы Internet Information Services (IIS) 7.0 позволяют разработчикам создавать новые мощные веб-приложения на настольных компьютерах Windows Vista, а затем перемещать их на сервер Windows Server 2008 (при условии, что и на сервере, и на клиентском ПК установлены службы IIS одной и той же версии). В будущем планируется унифицировать модель обслуживания, чтобы ИТ-администраторы могли использовать одно и то же обновление на клиентских и серверных операционных системах независимо от их языка. Повышенная отказоустойчивость Надежность, масштабируемость и общее быстродействие клиент-серверной инфраструктуры значительно улучшается благодаря усовершенствованиям, которые были внесены как в Windows Vista, так и в Windows Server 2008. Windows Vista может локально обрабатывать задания печати до их отправки с целью уменьшения нагрузки на сервер печати и повышения его доступности. Для пересылки данных на серверы печати используется формат EMF. Поскольку существенная часть обработки выполняется на клиентском компьютере, повышается доступность сервера печати. А в филиалах без локального сервера печати это приводит и к снижению нагрузки на сеть. При использовании совместно с Windows Server 2008 данная возможность — требующая, конечно, наличия принтеров с совместимыми драйверами, — позволяет сократить количество проблем с несоответствием драйверов. Функции кэширования на стороне клиента в Windows Vista значительно усовершенствованы и поддерживают как Windows Server 2008, так и более ранние версии операционной системы Windows Server. Ресурсы сервера кэшируются локально и доступны даже после потери подключения к серверу; копии автоматически обновляются при МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE восстановлении соединения между клиентом и сервером. Усовершенствования кэширования на стороне клиента включают в себя плавный переход между состояниями, так что вмешательство пользователя не требуется, поскольку изменения, сделанные в автономном режиме, автоматически синхронизируются фоновым процессом; улучшенный режим медленного подключения позволяет удовлетворять запросы пользователей из локального кэша, обращаясь к серверу только при необходимости. Кроме того, в Windows Vista применяется технология быстрой синхронизации и разностной передачи данных, которая независимо от типа приложения предполагает пересылку между сервером и клиентским компьютером не файлов целиком, а только внесенных в них изменений. Функции кэширования на стороне клиента в Windows Vista дают дополнительные преимущества при использовании с Windows Server 2008 (см. описание усовершенствований работы в сети в разделе «Ускоренный обмен данными»). С целью повышения качества обслуживания для приложений и служб, требующих распределения пропускной способности сети между сервером и клиентом, могут создаваться соответствующие политики. С помощью групповой политики администраторы могут ограничивать пропускную способность, доступную определенному приложению, и назначать значения DSCP (Differentiated Services Code Point) путем внедрения стандартных спецификаций RFC. Ускоренный обмен данными Клиенты Windows Vista, подключаясь к сети, в которой развернуты серверы Windows Server 2008, быстрее обмениваются данными и надежнее работают. За счет изначальной поддержки протокола IPv6 всеми клиентскими и серверными службами формируется более устойчивая и масштабируемая сеть, а передовые сетевые функции платформы, доступные только в составе стека Windows Vista и Windows Server 2008, ускоряют обмен данными и делают его более эффективным. Новые технологии (например, масштабирование размера приема и автоматическая настройка окна приема) позволяют клиентским компьютерам Windows Vista быстрее загружать файлы с серверов Windows Server 2008. Новый протокол блоков сообщений сервера (SMB) 2.0 имеет ряд усовершенствований в обмене данными, включая повышенную производительность при подключении к общим файловым ресурсам по каналам с большими задержками и улучшенную безопасность за счет взаимной проверки подлинности и подписывания сообщений. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Обновленные службы терминалов в Windows Server 2008 предоставляют клиентским компьютерам Windows Vista удаленный доступ к внутренним ресурсам через шлюз HTTP и приложения, функционирующие так, будто они запущены на локальном компьютере. Защита сетевого доступа (NAP) в Windows Server «Longhorn» Защита доступа к сети (NAP) - это платформа применения политик, встроенная в операционные системы Microsoft Windows Vista, Microsoft Windows XP и Windows Server с кодовым названием Longhorn, которая обеспечивает повышенную безопасность сети за счет соответствия требованиям по поддержанию работоспособности системы. Благодаря защите доступа к сети можно создавать специальные политики работоспособности для оценки состояния компьютера перед тем, как разрешить доступ или взаимодействие, для автоматического обновления соответствующих требованиям компьютеров с целью обеспечения их постоянной совместимости, а также для адаптации не соответствующих требованиям компьютеров таким образом, чтобы они удовлетворяли установленным требованиям. Защита доступа к сети включает интерфейс прикладного программирования, который может быть использован разработчиками и поставщиками для создания полноценных решений по оценке с помощью политики работоспособности, ограничения доступа к сети и обеспечения постоянного соответствия требованиям. Для оценки доступа к сети на основе работоспособности системы сетевая инфраструктура должна обеспечивать следующие функциональные области: Оценка с помощью политики работоспособности. Определяет, соответствует ли компьютер требованиям политики работоспособности. Ограничение доступа к сети. Ограничивает доступ для несовместимых компьютеров. Автоматическое исправление. Обеспечивает необходимые обновления для приведения несовместимых компьютеров к установленным требованиям. Обеспечение постоянного соответствия требованиям. Автоматическое обновление не соответствующих требованиям компьютеров с учетом постоянно изменяющихся требований политики работоспособности. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Сценарии защиты доступа к сети (NAP) Представляя собой наиболее гибкое для заказчиков решение, защита доступа к сети взаимодействует с ПО поставщика, которое либо содержит агент System Health Agent (SHA) и средства оценки работоспособности системы System Health Validators (SHV), либо распознает опубликованный набор интерфейсов программирования. В качестве примеров решений сторонних поставщиков, которые работают с защитой доступа к сети, можно назвать антивирусную программу, виртуальную частную сеть или сетевое оборудование. Защита доступа к сети предоставляет решение для следующих распространенных сценариев: Проверка работоспособности и состояния мобильных переносных компьютеров. С помощью защиты доступа к сети сетевые администраторы могут проверять состояние любого переносного компьютера, когда он повторно подключается к сети компании, без ущерба для его мобильности и гибкости. Поддержание работоспособности настольных компьютеров. Благодаря дополнительному управляющему ПО можно создавать автоматические отчеты, выполнять автоматическое обновление компьютеров, не соответствующих требованиям, а в случае изменения администраторами политик работоспособности компьютеры могут автоматически получать последние обновления, которые предотвращают угрозы их работоспособности со стороны общедоступных ресурсов. Определение состояния переносных компьютеров, получающих доступ в сеть. Благодаря защите доступа к сети администраторы могут определить, имеют ли посещающие ее переносные компьютеры полномочия на доступ и, если нет, лимитировать их доступ к ограниченной сети, не требуя обновления или изменения конфигурации этих переносных компьютеров. Проверка соответствия требованиям и работоспособности неуправляемых домашних компьютеров. С помощью защиты доступа к сети сетевые администраторы могут проверять наличие необходимых программ, параметров реестра, файлов или их сочетания всякий раз, когда домашний компьютер подключается к сети через виртуальную частную сеть; также они могут лимитировать подключение к ограниченной сети, пока не будут выполнены требования к работоспособности системы. Компоненты защиты доступа к сети МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE NPS/RADIUS В компоненте RADIUS Network Policy Server (NPS) сервера Windows Server Longhorn отсутствует компонент защиты доступа к сети (NAP) Enforcement Server (ES) или Enforcement Client (EC). Вместо этого он работает как сервер политик вместе с компонентами NAP ES и NAP EC. Администраторы должны задать требования к работоспособности системы в виде политик на сервере NPS. Серверы NPS обеспечивают проверку с помощью политик работоспособности и координируют свои действия со службой каталогов Active Directory каждый раз, когда компьютер пытается получить сертификат работоспособности или подключиться к точке доступа 802.1X, серверу виртуальной частной сети или службе DHCP-сервера. Компоненты работоспособности Агенты работоспособности системы System Health Agents (SHA). Подтверждение работоспособности (состояние исправлений, сигнатуры вирусов, конфигурация системы и т. п.). Средства оценки работоспособности системы System Health Validators (SHV). Сертификация выводов агентов работоспособности. Серверы работоспособности системы System Health Servers. Определение требований к работоспособности системных компонентов клиента. Серверы исправления Remediation Servers. Установка необходимых исправлений, параметров конфигурации и приложений, а также обеспечение работоспособности клиентов. Компоненты ограничения Клиент Enforcement Client (EC). Согласует условия доступа с устройствами доступа к сети. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Устройство сетевого доступа. Обеспечивает сетевой доступ к работоспособным конечным точкам (это может быть коммутатор или точка доступа). Служба сертификации работоспособности. Выпускает сертификаты для клиентов, которые прошли проверку работоспособности. Компоненты платформы Агент изоляции Quarantine Agent (QA). Создает отчеты о состоянии работоспособности клиентов и координирует действия SHA и EC. Сервер изоляции Quarantine Server (QS). Ограничивает доступ клиентов к сети на основе сертификатов SHV. Механизмы применения защиты доступа к сети Защита доступа к сети обеспечивает гибкую платформу, которая поддерживает несколько механизмов применения доступа, включая, но не ограничиваясь только ими: протокол IPsec для проверки подлинности на уровне узла; проверенные сетевые подключения на основе стандарта IEEE 802.1X; виртуальные частные сети для удаленного доступа; протокол DHCP. Администраторы могут использовать эти технологии по отдельности или одновременно для ограничения не соответствующих требованиям компьютеров. Сервер NPS, заменивший службу проверки подлинности Windows Server 2003 в Windows Server Longhorn, действует как сервер политик работоспособности для всех этих технологий. Защита доступа к сети требует, чтобы на серверах выполнялась ОС Windows Server Longhorn, а на клиентах - Windows Vista, Windows XP с пакетом обновления 2 (SP2) или Windows Server Longhorn. IPsec Enforcement IPsec Enforcement включает сервер сертификатов работоспособности и IPsec NAP EC. Сервер сертификатов работоспособности выпускает сертификаты X.509 для изоляции клиентов, после того как определено их соответствие требованиям. Эти сертификаты затем используются для проверки подлинности клиентов NAP, когда они инициируют защищенные протоколом IPsec взаимодействия с другими клиентами NAP в интранет. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE IPsec Enforcement ограничивает взаимодействие сети только теми узлами, которые считаются соответствующими требованиям, и, поскольку здесь применяется протокол IPsec, можно задать требования к безопасным взаимодействиям с соответствующими требованиям клиентами на основе IP-адреса или номера порта TCP/UDP. IPsec Enforcement осуществляет взаимодействие только с совместимыми компьютерами, после того как они получили допустимую конфигурацию IP-адреса. IPsec Enforcement - самая строгая форма ограничения доступа к сети платформы защиты доступа к сети (NAP). 802.1X Enforcement 802.1X Enforcement включает сервер NPS и компонент EAPHost NAP EC. С помощью 802.1X Enforcement сервер NPS отдает команду точке доступа 802.1X (коммутатору Ethernet или точке беспроводного доступа) разместить профиль ограниченного доступа на клиент 802.1X, пока он выполняет ряд функций по исправлению. Профиль ограниченного доступа может состоять из набора IP-фильтров или идентификатора виртуальной локальной сети для ограничения трафика клиента 802.1X. 802.1X Enforcement обеспечивает очень ограниченный доступ к сети для всех компьютеров, получающих доступ через подключение по стандарту 802.1X. VPN Enforcement VPN Enforcement включает компоненты VPN NAP ES и VPN NAP EC. С помощью VPN Enforcement серверы виртуальных частных сетей могут применять требования политики работоспособности каждый раз, когда компьютер пытается подключиться к сети через виртуальную частную сеть. VPN Enforcement обеспечивает очень ограниченный доступ для всех компьютеров, получающих доступ через подключение по виртуальной частной сети. DHCP Enforcement DHCP Enforcement включает компоненты DHCP NAP ES и DHCP NAP EC. С помощью DHCP Enforcement DHCP-серверы могут применять требования политики работоспособности каждый раз, когда компьютер пытается арендовать или обновить конфигурацию IPадреса в сети. DHCP Enforcement - самый простой способ развертывания, потому что все клиентские компьютеры DHCP должны арендовать IP-адреса. Поскольку DHCP Enforcement использует записи в таблице маршрутизации, эта форма ограниченного доступа к сети платформы защиты доступа к сети является самой слабой. МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Дополнительные компоненты и ресурсы защиты доступа к сети Защита доступа к сети состоит из дополнительных серверных и клиентских компонентов, серверов исправления и серверов политик. Администраторы могут настроить некоторые или все перечисленные ниже компоненты при развертывании защиты доступа к сети. Сервер NAP Administration Server NAP Administration Server - это компонент сервера NPS, который координирует данные, полученные от всех средств оценки работоспособности системы (SHV), и определяет, должны ли компоненты NAP Enforcement Server (NAP ES) ограничивать доступ клиентов на основе требований политики работоспособности. Средство System Health Validator. Средство System Health Validator (SHV) - это серверное ПО, которое проверяет, соответствует ли заявление о работоспособности Statement of Health (SoH), представленное агентом SHA, требуемому состоянию работоспособности. SHV выполняется на сервере NPS, который должен координировать выходные данные всех средств оценки работоспособности SHV. Средство оценки работоспособности использует ответ на заявление о работоспособности Statement of Health Response (SoHR), чтобы указать на соответствие или несоответствие требуемому состоянию работоспособности и дать команды по исправлению. Политика работоспособности. Политика работоспособности указывает необходимые условия для неограниченного доступа. Политики работоспособности настраиваются на сервере NPS. В сети может применяться несколько политик работоспособности. Например, VPN Enforcement и DHCP Enforcement могут использовать разные политики. База данных учетных записей. В базе данных учетных записей сохраняются учетные данные пользователей и компьютеров и их свойства сетевого доступа. В доменах Windows Server Longhorn роль базы данных учетных записей выполняет Active Directory. Сервер сертификации работоспособности Health Certificate Server. Сервер сертификации работоспособности представляет собой сочетание службы сертификации работоспособности, компьютера под управлением Windows Server Longhorn, служб IIS и службы сертификации (CA). Служба сертификации может быть установлена на компьютер под управлением Windows Server Longhorn или на отдельный компьютер. Сервер сертификации работоспособности получает сертификаты работоспособности для компьютеров, соответствующих требованиям. Сертификат работоспособности может быть использован вместо заявлений о работоспособности МЕЖДУНАРОДНЫЙ БАНКОВСКИЙ ИНСТИТУТ INTERNATIONAL BANKING INSTITUTE Statements of Health (SoHs), чтобы доказать соответствие клиента требованиям к работоспособности системы. Сервер исправления. Сервер исправления состоит из серверов, служб и других ресурсов, к которым может получить доступ в ограниченной сети не соответствующий требованиям компьютер. Эти ресурсы могут выполнять разрешение имен или сохранять самые последние обновления ПО и компоненты, необходимые, чтобы привести компьютер в соответствие с требованиями к работоспособности. Например, серверами исправления могут быть дополнительный DNS-сервер, файловый сервер антивирусных продуктов или сервер обновления ПО. SHA может взаимодействовать с сервером исправления напрямую или с помощью средств установленного клиентского ПО. Сервер политик. SHV взаимодействует с сервером политик для оценки заявления о работоспособности SoH соответствующего агента SHA.
