Сеть и удаленный доступ к сети

       

Действия системы безопасности в процессе подключения


В этом разделе описаны действия, выполняемые в процессе вызова сервера удаленного доступа.

  • Клиент удаленного доступа вызывает сервер удаленного доступа.
  • В зависимости от выбранных методов проверки подлинности, выполняются следующие шаги.
    • Если используется протокол PAP или SPAP:
      • клиент отправляет серверу имя пользователя и пароль;
      • сервер сверяет данные учетной записи с базой данных пользователей.
        • Если используется протокол CHAP или MS-CHAP:
          • сервер отправляет запрос клиенту;
          • клиент отправляет зашифрованный ответ серверу;
          • сервер сверяет ответ с базой данных пользователей.
            • Если используется протокол MS-CHAP v2:
              • сервер отправляет запрос клиенту;
              • клиент отправляет зашифрованный ответ и запрос серверу;


              • сервер сверяет зашифрованный ответ клиента с базой данных пользователей и отправляет клиенту свой зашифрованный ответ;
              • клиент проверяет зашифрованный ответ сервера.
                • Если используется проверка подлинности с помощью сертификатов:
                  • сервер отправляет клиенту свой сертификат компьютера;
                  • если клиент настроен, он выполняет проверку сертификата сервера;.
                  • клиент отправляет серверу свой сертификат пользователя;
                  • сервер проверяет, действителен ли сертификат пользователя и не был ли он отозван.
                  • Если попытка подключения прошла проверку подлинности (учетные данные пользователя действительны, учетная запись пользователя включена и не заблокирована, а подключение выполняется в разрешенное время входа) и авторизована (учетная запись пользователя имеет разрешение на удаленный доступ для входящих подключений), то сервер принимает подключение удаленного доступа.
                  • Если включен режим ответного вызова, сервер осуществляет обратный вызов клиентского компьютера и повторяет шаги со второго по третий.

                    Примечания

                    Для службы маршрутизации и удаленного доступа авторизация подключения определяется свойствами входящих вызовов в учетной записи пользователя и политикой удаленного доступа. Политика удаленного доступа — это набор условий и параметров подключения, с помощью которых сетевые администраторы могут более гибко управлять разрешениями на удаленный доступ в систему.
                    Если параметры попытки подключения не соответствуют ни одной из применяемых для подключения политик удаленного доступа, эта попытка подключения отклоняется вне зависимости от параметров входящих звонков учетной записи пользователя.

                    Методы проверки подлинности, поддерживаемые компонентом «Сетевые подключения», контролируют доступ к самой сети, а не к ресурсам сети. После подключения пользователя к сети управление его доступом к ресурсам осуществляется с помощью списков управления доступом различными компонентами: оснастка «Локальные пользователи и группы», служба Active Directory, оснастка «Групповая политика», служба общего доступа к файлам и принтерам и т. п.

                  • Методы проверки подлинности предназначены для сред с использованием удаленного доступа, где вызывающий компьютер получает доступ к сети только после проверки его учетных данных, таких как имя пользователя и пароль.


                  • Сведения о настройке таких средств защиты подключений, как протоколы проверки подлинности и шифрование данных, см. в разделе Средства безопасности в компоненте «Сетевые подключения».

                  • Если служба RRAS запускается из командной строки, для правильной работы службы необходимо также настроить порты в брандмауэре Windows. Для этого на вкладке Исключения брандмауэра Windows нажмите кнопку Добавить порт и откройте следующие порты: порт 1723 для PPTP – TCP, порт 1701 для L2TP – UDP и порт 500 для IKE – UDP. Чтобы открыть эти порты только для конкретного подключения, используйте раздел Параметры сетевого подключения на вкладке Дополнительно.



                  • Содержание раздела