Allowing_access
Чтобы предоставить входящему подключению права доступа к компьютеру
XOX
Откройте компонент Сетевые подключения.
Выберите вариант Входящие подключения и затем в группе Типичные сетевые задачи щелкните ссылку Изменение настроек отдельного подключения.
На вкладке Общие выполните одно или несколько действий из следующего списка.
В группе Входящие подключения в списке Устройства установите флажки рядом с именами устройств, которые могут использоваться для входящих подключений.
Чтобы разрешить другим пользователям создавать частные подключения к данному компьютеру через туннель в Интернете или другой сети, установите флажок Разрешить другим пользователям устанавливать частное подключение к моему компьютеру с помощью туннеля в Интернете или в другой сети.
Если нужно отображать в области уведомлений значки для установленных входящих подключений, установите флажок При подключении вывести значок в области уведомлений.
На вкладке Пользователи выполните одно или несколько действий из следующего списка.
Чтобы разрешить подключение конкретному пользователю, установите флажок рядом с именем этого пользователя.
Чтобы отменить разрешение на подключение для конкретного пользователя, снимите флажок рядом с именем этого пользователя.
Чтобы создать нового пользователя и предоставить ему доступ к подключению, нажмите кнопку Новый.
Чтобы удалить пользователя, выберите его имя в списке и нажмите кнопку Удалить.
Чтобы изменить имя, пароль и параметры ответного вызова, нажмите кнопку Свойства.
Если все пользователи должны подключаться с использованием надежно зашифрованных паролей и данных, установите флажок Все пользователи должны держать в секрете свои пароли и данные.
Чтобы устройства, подключенные напрямую, могли устанавливать связь без помощи пароля, установите флажок Всегда разрешать подключение без пароля устройствам с прямым соединением, таким как карманные компьютеры (palmtop PC).
На вкладке Сеть выполните одно или несколько действий из следующего списка.
Чтобы включить сетевой компонент, в списке Сетевые компоненты установите флажок рядом с его именем.
Чтобы отключить сетевой компонент, в списке Сетевые компоненты снимите флажок рядом с его именем.
Чтобы добавить сетевой компонент, нажмите кнопку Установить.
Чтобы удалить сетевой компонент, выберите его и нажмите кнопку Удалить.
Чтобы настроить сетевой компонент, выберите его и нажмите кнопку Свойства.
Примечания
XOX
XOX и XOX могут одновременно принимать три входящих подключения, если типы этих подключений отличаются друг от друга. Например, можно установить одновременно подключение удаленного доступа, подключение VPN и прямое подключение. Если будет предпринята попытка создать новое подключение одного из этих типов, например, еще одно подключение удаленного доступа, второй запрос на подключение отклоняется.
Если для входящих подключений включить или отключить протокол TCP/IP или совместимый с IPX/SPX/NetBIOS транспортный протокол NWLink, эта настройка будет действовать только на входящих подключениях. XOX
Служба «Протокол Интернета (TCP/IP)» устанавливается по умолчанию и не может быть удалена.
См. также
Доступ с использованием ISDN
Для увеличения пропускной способности сети можно использовать линию ISDN (Integrated Services Digital Network). В то время как обычная телефонная линия способна передавать данные со скоростью до 56 Кбит/с, линии ISDN позволяют вести передачу со скоростью 64 или 128 Кбит/с.
Линии ISDN должны быть установлены телефонной компанией как на стороне сервера, так и в удаленном узле. Кроме того, для работы с ISDN необходимо установить на сервере и на самом компьютере платы ISDN-адаптеров. Стоимость оборудования и линий ISDN может оказаться выше стоимости стандартных модемов и телефонных линий. Однако чем больше скорость, тем меньше времени нужно для передачи того же объема данных, что позволяет сократить расходы на оплату повременного соединения.
Линия ISDN состоит из двух B-каналов, каждый из которых передает данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющей информации со скоростью 16 Кбит/с. Каждый из B-каналов можно настроить на выполнение функций порта. Некоторые драйверы ISDN позволяют объединять каналы. Это означает, что полосу пропускания можно расширить, настроив оба B-канала на функционирование в качестве единого порта. В такой конфигурации скорость линии возрастает до 128 Кбит/с.
Объединение каналов ISDN осуществляется с помощью функции многоканального подключения (Multilink). Она соединяет несколько физических каналов в одну логическую связку. Такой комбинированный канал увеличивает полосу пропускания подключения. Кроме того, каналы можно выделять динамически, т. е. линии ISDN будут использоваться только по мере необходимости. Это позволяет избежать чрезмерного расширения полосы пропускания, обеспечивая гораздо более эффективную работу пользователей. Условия, при которых подключаются дополнительные линии и отключаются простаивающие, задаются параметрами компонента «Сетевые подключения».
См. также
Доступ с использованием кабелей DirectParallel
Технология DirectParallel обеспечивает связь между двумя компьютерами через стандартный или расширенный (ECP) параллельный порт с использованием параллельных кабелей типа Basic или Fast компании Parallel Technologies. Сведения о настройке прямого сетевого подключения по кабелю DirectParallel см. в разделе Чтобы создать прямое сетевое подключение с помощью кабеля DirectParallel. Кабели для прямого кабельного подключения можно приобрести несколькими способами. Можно, например, заказать кабели DirectParallel в компании Parallel Technologies или у ее местного дилера. Дополнительные сведения см. в разделе Чтобы связаться с компанией Parallel Technologies или ее местным дилером с целью приобретения кабелей для прямого подключения.
Доступ с использованием последовательного кабеля (RS-232)
Предположим, что две сети находятся в одном и том же месте, но физически не соединены между собой. Чтобы ресурсы обеих сетей стали доступны с одного компьютера, можно с помощью кабелей RS-232C и COM-портов создать нуль-модемные соединения. Пользователь с помощью кабеля RS-232C соединяет COM-порт своего компьютера с COM-портом каждого сервера удаленного доступа. Для серверов эти порты будут выглядеть как модемы. Доступ к сети обеспечивается средствами удаленного доступа сервера, предоставляемыми в составе службы маршрутизации и удаленного доступа.
См. также
Модем не работает с компонентом «Сетевые подключения»
Если доступен другой компьютер, подключенный к Интернету, просмотрите перечень поддерживаемых модемов в списке совместимого оборудования Microsoft Windows. XOX
Если модем присутствует в этом списке, проверьте правильность его подключения к соответствующему порту компьютера. Если модем внешний, убедитесь, что его питание включено.
Дополнительные сведения об устранении неполадок с модемами см. в разделе Устранение неполадок с модемами.
Процесс проверки подлинности при удаленном доступе
При подключении к Интернету проверка подлинности для удаленного доступа сводится к одной операции. Локальный компьютер предъявляет учетные данные (обычно это имя пользователя и пароль), которые принимаются и проверяются сервером удаленного доступа, установленным у поставщика услуг Интернета, и пользователю предоставляется доступ в Интернет.
При подключении к корпоративной сети, в которой имеется домен Windows, выполняется аналогичная процедура. Но в этом случае проверка подлинности удаленного доступа состоит из двух этапов. После того как пользователь подключился к сети, запрашиваемые им ресурсы (такие, как серверы обслуживания файлов и принтеров) при каждой попытке доступа к ним требуют, чтобы клиент представил учетные данные пользователя домена. Эти учетные данные могут отличаться от учетных данных, запрашиваемых сервером удаленного доступа.
Помимо этого, учетные данные требуются для доступа к компьютеру под управлением безопасной операционной системы, такой как XOX.
Это значит, что для удаленного доступа к компьютеру требуются три набора учетных данных: первый — для входа в систему компьютера; второй — для сервера удаленного доступа и третий — для доступа к сетевым ресурсам. Во всех трех случаях можно использовать один и тот же набор учетных данных, как описано ниже, но это могут быть и разные наборы.
Компьютеры защищенной корпоративной сети обычно являются членами домена. Применительно к XOX это означает, что до получения доступа к системе учетные данные, которые предоставляет пользователь при входе в систему, проверяются на контроллере домена. Таким образом, эти же учетные данные будут использоваться для удовлетворения запросов сетевых ресурсов. В целях упрощения удаленного доступа многие корпоративные сети устроены так, чтобы и сервер удаленного доступа признавал те же учетные данные пользователя домена. Тем самым для рядовых компьютеров домена обеспечивается единая, разовая процедура входа в сеть. Один и тот же набор учетных данных после установки подключения открывает доступ к компьютеру, обеспечивает удаленный доступ к корпоративной сети и разрешает обращаться к сетевым ресурсам.
Чтобы реализовать разовую процедуру входа на компьютерах, которые являются членами домена, сетевые подключения в XOX можно настроить таким образом, чтобы они предоставляли учетные данные пользователя, используемые для входа в систему, серверу удаленного доступа. Тем самым исключается необходимость предоставлять учетные данные серверу явным образом. Поскольку учетные данные входа в систему совпадают с учетными данными пользователя домена, они же позволят удовлетворять и запросы от сетевых ресурсов.
Однако компьютеры, установленные вне офиса (например, дома), обычно не являются членами домена, поэтому учетные данные входа пользователя в систему, открывающие доступ к компьютеру, не обеспечивают доступ к домену. Бывает также, что сервер удаленного доступа требует учетные данные, никак не связанные с учетными данными домена сети. В таком случае придется предоставлять три набора учетных данных — для входа в систему на компьютере, для подключения к удаленной сети и затем для доступа к ресурсам этой сети.
См. также
Протокол CHAP (Challenge Handshake Authentication Protocol)
CHAP (Challenge Handshake Authentication Protocol) — это широко распространенный алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нем. При использовании CHAP сервер удаленного доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент удаленного доступа вычисляет хеш-код MD5 (Message Digest-5). Хеш-функция является алгоритмом одностороннего (необратимого) шифрования, поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хеш-коду с математической точки зрения невозможно. Хеш-код MD5 передается серверу удаленного доступа. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учетные данные клиента удаленного доступа считаются подлинными.
Примечание
Если подлинность подключения проверяется по протоколу CHAP, использовать алгоритм шифрования MPPE (Microsoft Point-to-Point Encryption) нельзя.
Если протокол CHAP используется при подключении к серверу удаленного доступа, на котором работает операционная система Windows 2000 и служба маршрутизации и удаленного доступа, учетная запись пользователя, инициирующая подключение клиента, должна разрешать хранение пароля в обратимо зашифрованном виде. Дополнительные сведения содержатся в справке Windows 2000 Server.
См. также
Протокол EAP (Extensible Authentication Protocol)
Протокол EAP (Extensible Authentication Protocol) является расширением протокола Point-to-Point Protocol (PPP); на нем основаны несколько методов проверки подлинности, предусматривающих обмен учетными данными и прочими сведениями произвольного объема. Протокол EAP был разработан с учетом растущей потребности в средствах проверки подлинности, использующих более широкий круг устройств системы безопасности; он предлагает стандартную архитектуру для поддержки дополнительных методов проверки подлинности в рамках PPP.
С помощью EAP можно реализовать поддержку нескольких алгоритмов проверки подлинности — так называемых типов EAP, к числу которых относятся генераторы кода доступа, одноразовые пароли, средства проверки подлинности на основе открытых ключей с использованием смарт-карт, сертификатов и др. Протокол EAP, в сочетании со строгими типами EAP, является ключевым компонентом технологии безопасных подключений виртуальных частных сетей (VPN). Строгие типы EAP, например основанные на сертификатах, обеспечивают более надежную защиту от попыток «грубого» взлома системы или подбора пароля, чем другие протоколы проверки подлинности, использующие пароли, такие как CHAP и MS-CHAP.
Чтобы узнать, используется ли в вашей организации какой-либо тип EAP, обратитесь к своему администратору сети.
В XOX существует поддержка двух типов EAP:
EAP-MD5 CHAP (аналог протокола проверки подлинности CHAP);
EAP-TLS (применяется для проверки подлинности на основе сертификатов пользователей).
EAP-TLS — это метод взаимной проверки подлинности, при котором и клиент, и сервер должны предоставлять доказательства своей подлинности. В ходе сеанса EAP-TLS клиент удаленного доступа отправляет свой сертификат пользователя, а сервер удаленного доступа — свой сертификат компьютера. Если хотя бы один из этих сертификатов не будет передан или окажется недействительным, подключение разрывается.
Примечания
В процессе проверки подлинности методом EAP-TLS генерируются общие секретные ключи шифрования для алгоритма MPPE (Microsoft Point-to-Point Encryption).
См. также
Протокол L2TP (Layer Two Tunneling Protocol)
Доступ к частной сети через Интернет или другую сеть общего пользования можно производить с помощью подключения виртуальной частной сети (VPN) по протоколу L2TP (Layer Two Tunneling Protocol). L2TP — стандартный протокол туннелирования в Интернете, обладающий примерно теми же возможностями, что и протокол PPTP (Point-to-Point Tunneling Protocol). Реализация L2TP в XOX предназначена для работы в IP-сетях. Эта реализация L2TP не поддерживает создание туннелей в сетях X.25, Frame Relay или ATM.
В соответствии со спецификациями L2F (Layer Two Forwarding) и PPTP (Point-to-Point Tunneling Protocol) протокол L2TP можно применять для создания туннелей в промежуточных сетях. L2TP, подобно PPTP, инкапсулирует кадры протокола PPP (Point-to-Point Protocol), который, в свою очередь, инкапсулирует протоколы IP или IPX, тем самым позволяя пользователям запускать удаленные программы, работающие с конкретными сетевыми протоколами.
XOX
Туннель L2TP
При использовании L2TP все проверки, связанные с безопасностью, выполняет компьютер, работающий под управлением Windows 2000 Server, с которого производится вход в сеть. L2TP также поддерживает шифрование данных, что существенно повышает надежность транспортировки данных через незащищенные сети. Благодаря использованию нового протокола проверки подлинности и шифрования IPSec (Internet Protocol security) передача данных по виртуальной частной сети L2TP столь же безопасна, как и в локальной сети предприятия.
См. также
Протокол MS CHAP (Microsoft Challenge Handshake Authentication Protocol)
Корпорация Майкрософт разработала протокол MS-CHAP для выполнения процедур проверки подлинности удаленных рабочих станций Windows; он поддерживает функциональные возможности, привычные для пользователей локальных сетей, и интегрирует алгоритмы шифрования и хеширования, действующие в сетях Windows. Для проведения проверки подлинности без передачи пароля протокол MS-CHAP, как и CHAP, использует механизм «запрос-ответ».
Протокол MS-CHAP генерирует запрос и ответ с помощью алгоритма хеширования MD4 (Message Digest 4) и алгоритма шифрования DES (Data Encryption Standard); предусмотрены также механизмы возврата сообщений об ошибках подключения и возможности изменения пароля пользователя. Пакет ответа — это формат, разработанный специально для работы с сетевыми продуктами в операционных системах Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000 и XOX.
Примечания
Существует версия MS-CHAP, предназначенная специально для подключения к серверу Windows 95. Эту версию следует использовать, если подключение устанавливается с сервером, работающим под управлением Windows 95. Чтобы включить эту версию, установите флажок Разрешить старый протокол MS-CHAP для Windows 95 в диалоговом окне Дополнительные параметры безопасности.
В отличие от CHAP, MS-CHAP не требует, чтобы пароль учетной записи пользователя хранился в обратимо зашифрованном виде.
В процессе проверки подлинности по протоколу MS-CHAP генерируются общие секретные ключи шифрования для алгоритма MPPE (Microsoft Point-to-Point Encryption).
См. также
Протокол MS CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2)
XOX поддерживает протокол MS CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2). Он выполняет взаимную проверку подлинности и генерирует более надежные начальные ключи шифрования данных для протокола MPPE (Microsoft Point-to-Point Encryption), а также различные ключи шифрования для отправки и получения данных. Чтобы свести к минимуму риск раскрытия пароля во время обмена паролями, из протокола исключена поддержка старых методов обмена паролями MS-CHAP.
Поскольку версия MS-CHAP v2 обеспечивает более надежную защиту, чем MS-CHAP, при подключении сначала предлагается использовать именно ее (если она доступна), а затем уже MS-CHAP.
Протокол MS-CHAP v2 поддерживается на компьютерах под управлением XOX, Windows 2000, Windows 98, Windows Millennium Edition и Windows NT 4.0. На компьютерах, работающих под управлением Windows 95, протокол MS-CHAP v2 поддерживается только для подключений VPN, но не для подключений удаленного доступа.
Примечание
MS-CHAP v2 — это протокол взаимной проверки подлинности, при которой и клиент, и сервер должны доказать, что они знают пароль пользователя. Сначала доказательство затребует сервер удаленного доступа, отправляя запрос клиенту удаленного доступа. Затем наступает очередь клиента, который отправляет запрос серверу удаленного доступа. Если сервер не может правильно ответить на запрос клиента и таким образом оказывается не в состоянии доказать, что знает пароль пользователя, клиент разрывает подключение. Если бы проверка подлинности не была взаимной, клиент удаленного доступа не смог бы распознать подключение к серверу, выдающему себя за другого.
См. также
Протокол PAP (Password Authentication Protocol)
PAP (Password Authentication Protocol) — это протокол простой проверки подлинности, предусматривающий отправку имени пользователя и пароля на сервер удаленного доступа открытым текстом (без шифрования). Протокол PAP крайне ненадежен, поскольку пересылаемые пароли можно легко читать в пакетах PPP (Point-to-Point Protocol), которыми обмениваются стороны в ходе проверки подлинности. Обычно PAP используется только при подключении к старым серверам удаленного доступа на базе UNIX, которые не поддерживают никакие другие протоколы проверки подлинности.
Примечания
Если подлинность подключения проверяется по протоколу PAP, использовать алгоритм шифрования MPPE (Microsoft Point-to-Point Encryption) нельзя.
Если для подключения к серверу, на котором настроен только протокол PAP, требуется безопасный пароль, клиент удаленного доступа XOX разрывает подключение.
См. также
Протокол PPTP (Point-to-Point Tunneling Protocol)
Доступ к частной сети через Интернет или другую сеть общего пользования можно производить с помощью подключения виртуальной частной сети (VPN) по протоколу PPTP (Point-to-Point Tunneling Protocol).
PPTP обеспечивает безопасную передачу данных между удаленным компьютером и частным сервером путем создания виртуальной частной сети (VPN) в структуре сетей TCP/IP. PPTP позволяет создавать многопротокольные виртуальные частные сети на основе общедоступных сетей, таких как Интернет.
Протокол PPTP, разрабатывавшийся как расширение протокола PPP (Point-to-Point Protocol), образует дополнительный уровень безопасности и поддержки многопротокольной связи в среде Интернета. Благодаря использованию нового протокола EAP (Extensible Authentication Protocol) передача данных по виртуальной частной сети PPTP столь же безопасна, как и в локальной сети предприятия.
PPTP осуществляет туннелирование, или инкапсуляцию, протоколов IP и IPX внутри датаграмм PPP. Это означает, что пользователи могут запускать удаленные программы, работающие с конкретными сетевыми протоколами. Сервер туннеля выполняет все необходимые проверки, связанные с защитой, и обеспечивает шифрование данных, что делает передачу информации по открытым сетям гораздо более безопасной. Протокол PPTP можно также использовать для соединения частных локальных сетей.
XOX
Туннель PPTP
Для PPTP не требуется наличие подключения удаленного доступа. Необходимо лишь IP-соединение между компьютером и сервером. Если компьютер подключен непосредственно к локальной IP-сети и имеет доступ к серверу, то туннель PPTP можно создать и в этой сети. Однако если туннель создается в Интернете, а доступ к Интернету производится через подключение к поставщику услуг Интернета, то для создания туннеля нужно будет сначала установить подключение удаленного доступа к Интернету.
См. также
Протокол SPAP (Shiva Password Authentication Protocol)
SPAP (Shiva Password Authentication Protocol) — это протокол простой проверки подлинности шифрованных паролей, поддерживаемый серверами удаленного доступа Shiva. С помощью SPAP клиент удаленного доступа отправляет зашифрованный пароль на сервер удаленного доступа. SPAP использует алгоритм двустороннего (обратимого) шифрования. Сервер удаленного доступа расшифровывает пароль и проверяет подлинность клиента по паролю, представленному открытым текстом.
Примечание
Если подлинность подключения проверяется по протоколу PAP, использовать алгоритм шифрования MPPE (Microsoft Point-to-Point Encryption) нельзя.
См. также