Эффективность деятельности любой компании в значительной степени зависит от организации безопасного, простого и управляемого способа подключения пользователей к ресурсам и данным. В Windows Vista многие сетевые функции были усовершенствованы с целью повышения качества и безопасности клиентского доступа к ресурсам и максимального упрощения процедуры настройки. Windows Vista обеспечивает расширенные возможности при работе в сети как для ИТ-администраторов, которые несут ответственность за развертывание, обслуживание и безопасность сетевых ресурсов, так и для пользователей, нуждающихся в более надежных, мощных и устойчивых средствах.
Стек TCP/IP нового поколения
Оптимизировать производительность сети ИТ-администраторам поможет включенный в Windows Vista стек TCP/IP нового поколения, развитая архитектура которого обеспечивает автоматическую настройку с целью повышения эффективности работы на протяжении длительного промежутка времени. Далее будут рассмотрены новые возможности стека TCP/IP.
Двухуровневая архитектура IP-протокола для поддержки IPv6 Стек TCP/IP нового поколения поддерживает двухуровневую архитектуру IP, в которой протоколы IPv4 и IPv6 совместно используют общий транспортный уровень и уровень кадрирования. Кроме того, протоколы IPv4 и IPv6 включены по умолчанию (для IPv6 не нужно устанавливать отдельные компоненты).
Автоматическая настройка параметров стека в зависимости от особенностей сетевой среды Стек TCP/IP нового поколения автоматически определяет сетевую среду и настраивает основные параметры, такие как окно приема TCP. Улучшенная автоматическая настройка стека уменьшает объем работы по ручной настройке параметров TCP/IP. В результате ускоряется передача данных по сети, эффективнее используется пропускная способность и снижается объем повторной передачи потерянных данных. Благодаря этим факторам существенно сокращается время, необходимое для пересылки большого файла или архивации жесткого диска по сети.
Новые интерфейсы для обеспечения безопасности и фильтрации пакетов Интерфейсы, используемые в современном стеке TCP/IP для обеспечения безопасности TCP/IP (фильтрация трафика локальных узлов), обработчики межсетевого экрана, обработчики фильтра и хранилище данных фильтра пакетов были заменены новым модулем, известным как платформа фильтрации Windows (WFP). Платформа WFP обеспечивает функции фильтрации на всех уровнях стека протоколов TCP/IP. Эта платформа безопаснее и лучше интегрирована со стеком. Она также облегчает независимым поставщикам программного обеспечения задачу разработки драйверов, служб и приложений, предназначенных для фильтрации, анализа или модификации трафика TCP/IP.
Расширенная поддержка В стеке TCP/IP нового поколения реализована всесторонняя поддержка динамической диагностики, включая поддержку базы управляющей информации TCP II (MIB-II), а также улучшены функции ведения журнала системных событий и трассировки.
Возможности для пользователей
Windows Vista помогает пользователям устранять проблемы с сетью самостоятельно, без обращения в службу поддержки. Центр управления сетями и общим доступом уведомляет пользователя о том, к какой сети присоединен компьютер и установлено ли подключение к Интернету. Средство диагностики сетей Windows позволяет выявлять проблемы, оказывающие отрицательное воздействие на подключение к сети, и при возможности устранять такие проблемы автоматически.
Беспроводные сети
Беспроводным сетям отводится все более важное место в сетевой инфраструктуре многих организаций. Мобильные пользователи часто подключаются к Интернету или корпоративным сетям по беспроводным каналам связи из гостиниц, конференцзалов и аэропортов. При этом ИТ-специалисты должны настроить такие параметры защиты данных, которые не были бы слишком обременительными для пользователей и администраторов. В Windows Vista предусмотрена собственная архитектура беспроводных сетей под названием Native Wi-Fi, являющаяся составной частью базового сетевого стека. В числе многочисленных преимуществ этой архитектуры следует отметить гибкое развертывание на оборудовании разных производителей и моделей, не зависящие от оборудования условия работы для пользователей и более надежные драйверы адаптеров беспроводной сети сторонних производителей. При создании беспроводной сети Windows Vista по умолчанию выбирает наиболее безопасные параметры из числа поддерживаемых сетевым адаптером. Стандартной проблемой беспроводной связи является управление параметрами конфигурации клиентских ПК. Для улучшения поддержки, уменьшения затрат на администрирование и повышения производительности пользователей организациям нужно сохранять унифицированную конфигурацию на разных настольных компьютерах. В Windows Vista реализован ряд усовершенствований, помогающих достичь этих целей:
• улучшенные возможности обнаружения и создания беспроводных сетей и подключения к ним через интерфейс Центра управления сетями и общим доступом; • служба единого входа в беспроводные сети, проверяющая доступность сети перед тем, как пользователь проходит проверку подлинности в домене Active Directory; • возможность настройки новейших протоколов безопасности Института инженеров по электротехнике и электронике (IEEE) на основе стандарта 802.11, включая WPA2; • нейтрализация распространенных способов атак на беспроводные сети; • улучшение управляемости за счет применения объектов групповой политики для беспроводных подключений и запускаемых из командной строки команд для настройки и устранения неполадок; • средства диагностики, помогающие устранять неполадки, связанные с беспроводными сетями.
Расширенные возможности для пользователей
В Windows Vista существенно расширен круг доступных возможностей по созданию и использованию беспроводных сетей. Специальный мастер помогает создавать временные беспроводные сети. При отображении списка доступных сетей в Windows Vista четко указываются беспроводные сети, которые не являются защищенными. Кроме того, при подключении к беспроводной сети Windows Vista проверяет характеристики беспроводного адаптера и выбирает самые безопасные параметры. При установке Windows Vista применяется более безопасная конфигурация и по умолчанию настраиваются параметры, обеспечивающие повышенную безопасность.
Единый вход в беспроводную сеть
Развитие беспроводных сетей послужило толчком к применению технологий сетевой проверки подлинности второго уровня (например, 802.1X), допускающих в защищенную сеть только разрешенных пользователей и разрешенные устройства и гарантирующих безопасность данных при радиопередаче. Служба единого входа в надлежащее время выполняет сетевую проверку подлинности второго уровня с учетом конфигурации безопасности сети и при этом прекрасно интегрируется с интерфейсом входа в систему Windows. Развернуть профили единого входа на клиентских компьютерах администратор может с помощью групповой политики или через интерфейс командной стройки. После настройки профиля единого входа перед входом в систему Windows нужно пройти проверку подлинности по стандарту 802.1X. Это позволяет решать задачи, требующие установления подключения к сети до выполнения входа в систему (например, обновление объектов групповой политики, сценарии входа в систему и присоединение беспроводного клиента к домену).
Поддержка протоколов безопасности беспроводной связи Собственная архитектура Wi-Fi в Windows Vista обеспечивает широкую поддержку для новейших протоколов безопасности, включая WPA, WPA2, EAP, PEAP-TLS и WEP. Это дает Windows Vista возможность взаимодействовать практически с любой инфраструктурой беспроводной связи. Применение предварительного ключа (PSK) и проверки подлинности WPA-PSK и WPA2-PSK позволяет улучшать безопасность домашних сетей и сетей малых предприятий. Windows Vista проверяет характеристики беспроводной сети и по умолчанию выбирает наиболее безопасный протокол при создании новой беспроводной сети. Система безопасности Windows Vista является расширяемой. Благодаря инфраструктуре EAPHost операционная система Windows Vista поддерживает специальные механизмы проверки подлинности, разработанные производителями оборудования или другими организациями.
Защита от распространенных атак на беспроводные сети
Для защиты беспроводных сетей от наиболее распространенных типов атак в Windows Vista был внесен ряд изменений в поведение клиентов беспроводной связи. Теперь клиент выполняет активный поиск меньшего количества сетей, которые настроены пользователем как скрытые. Кроме того, клиент автоматически подключается только к сетям, которые пользователь явным образом затребовал или указал в качестве предпочтительных, и уведомляет пользователя, если тот собрался установить соединение с незащищенной сетью.
Интерфейс командной строки для управления беспроводной связью
В состав Windows Vista входит улучшенный сетевой интерфейс командной строки со средством Netsh, помогающим автоматизировать управление беспроводными подключениями, использо вать сценарии и устранять возникающие непо ладки. С помощью этого интерфейса администраторы могут проверять, изменять и удалять клиентские профили конфигурации беспроводной сети. Эти профили можно также импортировать с других компьютеров или экспортировать на них для ускорения процесса подготовки подключения компьютеров к сети.
Диагностика беспроводной сети
В Windows Vista предусмотрены средства для диагностики беспроводных сетей, являющиеся частью расширяемой инфраструктуры диагностики сетей (NDF). Эта инфраструктура помогает пользователю устранять неполадки в работе сети. При неудачной попытке подключиться к сетевому ресурсу пользователю предоставляются четкие инструкции по решению проблемы, а не трудные для понимания сообщения об ошибках. При наличии возможности Windows Vista устраняет неполадку самостоятельно; в противном случае пользователь получает простые инструкции, которые он может выполнить самостоятельно, не обращаясь в службу поддержки.
Протокол IPv6
По мере быстрого роста количества сетевых устройств становится все труднее изменять масштаб архитектуры IPv4, приводя его в соответствие с растущими потребностями организаций. Сегодня ИТ-администраторам для обслуживания большего числа сетевых устройств приходится либо применять такие технологии, как преобразование сетевых адресов (NAT), что приводит к усложнению системы и может вызвать появление проблем с совместимостью приложений, либо объединять в одной сети общие и частные IP-адреса. Другие частные подходы и методики способны увеличить расходы на эксплуатацию сети и поставить под угрозу безопасность. Поддержка протокола IPv6 в Windows Vista позволяет компаниям обслуживать более широкий диапазон сетевых адресов, обходясь при этом без применения технологии NAT и других временных решений. Протокол IPv6 обеспечивает расширение адресного пространства, значительно превышающее возможности IPv4, и полностью поддерживает протокол IPSec. С помощью переходного механизма, обеспечивающего туннелирование трафика IPv6 через инфраструктуру IPv4, компания может осуществить развертывание протокола IPv6, не прибегая к коренному обновлению своей сети.
Протокол IPv6, входящий в состав Windows Vista, поддерживает технологию Teredo, которая делает возможными глобальную адресацию и сквозной обмен данными между приложениями с поддержкой протокола IPv6 на разных клиентских компьютерах Teredo (именно эти компьютеры используются в большинстве современных технологий NAT). Благодаря использованию технологии Teredo разработчикам приложений не приходится создавать собственные решения для выполнения NAT-преобразования. Преимущества технологии Teredo (встроенного в Windows Vista решения для NAT) доступны всем приложениям с поддержкой протокола IPv6.
Протокол SMB 2.0 Компьютеры, работающие под управлением Windows, используют по умолчанию для общего доступа к файлам протокол SMB, также называемый протоколом CIFS. Операционная система Windows Vista поддерживает новую версию этого протокола, SMB 2.0, которая была переработана с учетом особенностей современных сетевых сред и потребностей файловых серверов следующего поколения. Усовершенствования, реализованные в протоколе SMB 2.0, позволяют уменьшить количество пакетов в командах SMB, увеличить размер буфера и количество открытых файлов. Компьютеры, работающие под управлением Windows Vista, поддерживают обе версии протокола: SMB 1.0 (для предыдущих версий Windows) и SMB 2.0 (для Windows Vista и Windows Server Longhorn).
Защита доступа к сети (NAP)
В состав Windows Vista входит агент NAP, предоставляющий серверам и компьютерам в одноранговой сети сведения о работоспособности и конфигурации клиента. Клиенты, не имеющие необходимых обновлений безопасности или сигнатур вирусов либо не отвечающие иным обязательным требованиям в отношении своего состояния, не допускаются в сеть до устранения имеющихся недостатков. Инфраструктура NAP в операционной системе Windows Server Longhorn на основании данных о соответствии клиента параметрам настроенной политики работоспособности принимает решение о его допуске в частную или защищенную сеть. В ограниченной сети клиенту может быть предоставлен доступ к специальным службам для установки исправлений и сигнатур вирусов или выполнения других действий, необходимых для удовлетворения требований политики работоспособности. Кроме того, NAP применяется для защиты сети от опасных клиентов удаленного доступа, а также от опасных клиентов, подключающихся по локальной сети через проводные и беспроводные каналы связи, и использует проверку подлинности по стандарту 802.1X.
Протокол IPSec
В эпоху стремительного развития и внедрения сетей, поддерживающих огромное количество подключений, организации попадают в непростую ситуацию, стараясь улучшить доступность без ущерба для безопасности. Работники, деловые партнеры и клиенты требуют большей гибкости и мобильности при подключении к сетевым ресурсам. Расширение возможностей для подключения несомненно дает ряд преимуществ (например, в виде повышения производительности и сокращения эксплуатационных затрат), но с другой стороны, порождает новые риски для сетевой инфраструктуры организации. К их числу относятся вирусные атаки, которые могут обходиться очень дорого, недобросовестные пользователи и вредоносные устройства, а также несанкционированный доступ к конфиденциальной информации. Реализация новой парадигмы обмена информацией ставит перед организациями комплекс серьезных задач, включая следующие:
• снижение риска проникновения вредоносных программ (вирусов, программ-червей, программ-шпионов и пр.), а также ограничение ущерба от взлома систем и атак типа «отказ в обслуживании»; • защита конфиденциальности и целостности секретных данных и объектов интеллектуальной собственности; • предотвращение несанкционированного (внутреннего или внешнего) доступа к доверенным активам; • снижение эксплуатационных расходов и затрат на администрирование; • выполнение требований законодательных актов и отраслевых норм.
Реализация протокола IPSec, входящего в состав Windows Vista, открывает перед ИТ-администраторами следующие возможности:
• внедрение политик безопасности, основанных на учетных данных пользователей или компьютеров, в рамках системы авторизации доступа к сети; • использование групповой политики для централизованного распространения этих политик в соответствии с потребностями компании; • создание политик брандмауэра Windows на основе протокола IPSec. Windows Vista позволяет ИТ-администраторам эффективно управлять доступом к важным информационным активам в следующих сценариях. • Изоляция сервера. Администратор может ограничивать доступ к серверу или группе серверов по компьютерам, портам, протоколу IP, пользователям или подсетям. Например, можно разрешить подключаться к SQL Server финансового отдела только веб-серверу «Финансы», который, в свою очередь, доступен только пользователям из группы «Финансы». • Изоляция домена. Администратор может настроить доступ к домену, разрешив все исходящие подключения, но ограничив входящие подключения к компьютерам этого домена. Изоляция домена — решение, разработанное для выполнения требований закона Сарбейнса-Оксли по защите интеллектуальной собственности. Ограничение возможности подключения с компьютеров, не являющихся членами корпоративного домена Active Directory, снижает вероятность проникновения программ-червей и вирусов. • Защита доступа к сети. Администратор может разрешить подключение к корпоративной сети только компьютерам, которые являются работоспособными согласно классификации NAP. Интеграция IPSec с NAP открывает возможность для применения политики работоспособности в режиме реального времени, чего нельзя добиться с помощью технологии 802.1X или протокола DHCP. Если состояние компьютера меняется на «неработоспособный», IPSec немедленно запрещает этому компьютеру инициировать обмен данными с другими компьютерами, входящими в домен. • Брандмауэр Windows с авторизацией пользователей и компьютеров. Администратор может определять расширенные политики межсетевого экрана, которые не позволяют определенным приложениям проникать сквозь межсетевой экран (сетевые сканеры) и ограничивают доступ по компьютерам, пользователям, протоколу IP, портам или подсетям. Для создания и управления такими политиками предусмотрен централизованный интерфейс пользователя.
Служба сведений о подключенных сетях
Служба сведений о подключенных сетях, предусмотренная в Windows Vista, сообщает приложениям об изменениях характеристик сетевого подключения с целью обеспечения бесперебойной работы пользователя. Когда пользователь подключается к другой сети, сведения об этом передаются приложениям, поддерживающим эту функцию, и они выполняют соответствующие действия. Например, при переключении с домашней сети на корпоративную могут перенастраиваться параметры межсетевого экрана, в результате чего пользователю предоставляется доступ к средствам управления ИТ-инфраструктурой, а групповая политика обнаруживает подключение к корпоративной сети и автоматически начинает обработку изменений политики, не ожидая следующего цикла обнаружения.
Качество службы на основе политик
Механизм качества службы (QoS) на основе политик в составе операционных систем Windows Vista и Windows Server Longhorn предотвращает перегрузку сети за счет централизованного управления пропускной способностью узла. Например, когда обмен данными, который филиал компании ведет по глобальной сети с приложением для управления ресурсами предприятия (ERP), имеет самый высокий приоритет, время отклика при вводе данных ERP или получении к ним доступа для сотрудников филиала будет оставаться стабильно низким, даже если подключение к глобальной сети загружено другим трафиком. Теперь ИТ-отделы компаний имеют возможность создавать гибкие политики QoS для назначения приоритетов и регулирования исходящего сетевого трафика без внесения изменений в приложения. Эти политики применяются к исходящему трафику на основании одного из следующих критериев или их комбинации: отправляющее приложение, развертывание через групповую политику (например, группа пользователей или компьютеров), исходный IP-адрес и IP-адрес назначения, исходный порт и порт назначения, протокол.
