Deploying Network Access Quarantine Control, Part 1

Một số thời trang và sự xác thực nào lớn hơn đối với hệ thống tập tin hoặc Internet người dùng để creep vào mạng máy này không Through các khối trong bàn phím của bạn, hoặc brace force password attacks, hoặc nào nào nào có thể có cơ sở dữ liệu headquarters or campus. Đây qua người dùng mobile, khi bạn thử kết nối đến bạn hệ thống tập tin trong khi đường theo đường.

Consider why that is the case. Những người dùng xa xa này chỉ có quyền xác định trên cơ sở dữ liệu của chúng; không làm việc được thực hiện để kiểm tra các phần mềm và phần mềm cần thiết một sự Baseline requirement. Người dùng này có thể, và vì thời gian, không làm việc nào hay tất cả các câu lệnh sau:

1. Những bản cài đặt các gói mới và các phiên bản hotfix Security được cài đặt.

2. The corporation - standard antivirus software is installed and running, and the latest signature files are being used.

3. Internet or network routing is disabled.

4. Windows XP ICF, or any other approved firewall, is installed, enabled, and actively protects ports on the computer.

Bạn sẽ thử bạn giao dịch của người dùng để theo chính sách, nhưng trong các bài past, các người dùng có thể xác thực, hoặc grudgingly accepted as exceptions to the rule. However, Windows Server 2003 includes a new feature in its Resource Kit, called "Network Access Quarantine Control," which allows you to prevent remote users from connecting to your network with machines that không thể cập nhật và xác thực.

How Network Access Quarantine Works

Tập tin Quarantine control, hoặc NAQC, Prevent unhindered, không truy cập đến một mạng từ một vị trí xa đến sau khi máy tính xa đã xác định cấu hình xa không thể yêu cầu các giao diện và Standards trong outlined trong tập tin.

Để sử dụng NAQC, bạn remote access máy tính phải là một một của Windows 98 Second Edition, Windows Millennium Edition, Windows 2000, or Windows XP Home or Professional. Phiên bản này của Windows hỗ trợ một kết nối, chứa thông tin kết nối, bản Baselining, và component không hợp lệ, có thể tạo Using sự truy cập Administration Administration Kit (CMAK) in Server 2003. Additionally, you'll need at least one Windows Server Máy phục vụ 2003 trên thiết bị backend được xác định được xác thực truy cập để xác định tùy chọn của tập tin của bạn, sẽ đang đang đang chạy các Quarantine Remote Access Agent service (được biết RQS.EXE) from the Windows Server 2003 Resource Kit. Finally, you'll need a NAQC-compliant RADIUS server, such as the Internet Authentication Service in Server 2003, so that network access can be restricted.

A Step-by-Step Overview of NAQC

Here is a detailed outline of HOW kết nối và quarantining process works, assuming bạn sử dụng RQC.EXE trên kết thúc máy phục vụ từ CMAK và RQS.EXE trên kết thúc cuối từ các tài nguyên Kit.

1. Người dùng kết nối với máy tính này, sử dụng quarantine CM profile, để quarantine-enable kết nối thiết bị, thường, một trình điều khiển and Remote Access Service (RRAS).

2. The remote user authenticates.

3. RRAS sends a RADIUS Access-Request message to the RADIUS server-in case, a Server 2003 machine running the Internet Authentication Service.

4. Máy phục vụ IAS xác định tên người dùng remote Kết nối thử kết quả có cấu hình quarantine

5. Những kết nối được được xác định, nhưng với chế độ in quarantine. The IAS server sends a RADIUS Access-Accept message, including the MS-Quarantine-IPFilter and MS-Quarantine-Session-Timeout attributes, to RRAS.

6. Những người dùng remote đã thực hiện kết nối truy cập xa với máy phục vụ RRAS, mà đưa ra một địa chỉ IP và đặt các mạng khác.

7. RRAS configures the MS-Quarantine-IPFilter and MS-Quarantine-Session-Timeout settings for connection, now in quarantine mode. Có điểm này, người dùng xa này không thể chỉ gửi thông báo với các kết quả quarantine - tất cả các giao dịch khác được gỡ bỏ-và chỉ có thể được kết nối cho giá trị, trong thời gian, của MS-Quarantine-Session-Timeout attribute before the quarantine baselining script phải là chạy và kết quả đã đăng nhập RRAS.

8. The CMAK profile runs the quarantine script, currently defined as the "post-connect action."

9. Quarantine script chạy và Verifies mà cấu hình máy phục vụ xa của máy chủ cần biết một Baseline. Nếu thì, các script đang chạy RQC.EXE with câu lệnh của dòng lệnh, chứa một chuỗi văn bản đã thực hiện phiên bản của quarantine được dùng.

10. RQC.EXE sends a notification to RRAS, indicating that the script ended successfully.

11. The notification is received by RQS.EXE on the back end.

12. Cấu hình component listener trên phiên bản RRAS verifies các phiên bản script chuỗi trong các thông báo thông báo với các cấu hình trong sự đăng nhập RRAS và trả lời một thông báo đã biết mà phiên bản script này có hợp lệ hoặc không hợp lệ.

13. Nếu câu lệnh phiên bản được phép, RQS.EXE cần call MprAdminConnectionRemoveQuarantine () API, which indicates to RRAS that it's time to remove the MS-Quarantine-IPFilter and MS-Quarantine-Session-Timeout settings from the connection and reconfigure the Session-Timeout settings from the connection and reconfigure the session normal network access.

14. Nếu này là thực hiện, người dùng remote có quyền cập nhật các cơ sở dữ liệu trên mạng.

15. RQS.EXE creates an event describing the quarantined connection in the event System log.

Deploying NAQC

Trong phần này, sẽ xem trong thực hiện thực hiện của NQAC trên bạn mạng. There are six steps, each outlined in separate subsections ahead.

Creating Quarantined Resources

Tập tin đầu tiên để tạo các tài nguyên này có thể được truy cập trong gói gói quarant được có trong địa chỉ cho một client xa. Ví dụ contact IT support via e-mail if any problems occur.

Có thể có thể ghi rõ và dùng quarantined resources. Tập tin đầu tiên cần nhận các cơ sở dữ liệu trên mạng của bạn như có các công số quarantine, không có quyền để có cơ sở dữ liệu hoặc mạng vị trí Điều này cho phép bạn dùng máy phục vụ này để chứa các quarantined resources, nhưng bạn có thể tạo người dùng gói bộ đệm cho quarantined sessions cho mỗi của này đã thực hiện. For performance and overhead reasons, it's best to limit the number of individual packet filters for a session.

Tập tin khác đối số cần limit bạn quarantined các tài nguyên với một particular IP subnet. Cách cách này, bạn cần phải chỉ một gói tin gói để quarantine giao diện đến một người dùng remote, nhưng bạn có thể thực hiện các địa chỉ này này và, trong nhiều các trường, hãy lấy các kết thúc của chúng này đã có hoặc mua mới. Sử dụng này phương pháp, Tuy nhiên, bộ lọc gói cần thiết greatly simpler. Bạn cần phải cần mở một cho không chuyển đổi trên TCP cổng cổng 7250, một cho DHCP traffic trên UDP cổng nguồn 68 và đích đến UDP cổng 67, và cho các giao dịch khác, sự phạm vi của tùy chọn quarantine resource subnet. Và lại, bạn có thể xử lý nào nào không có gói nào có gói nào không có đường dẫn phân vùng vào của organization

Writing the Baselining Script

Hành động tiếp theo được thực hiện ghi một bản ghi Baselining sẽ sẽ chạy trên máy phục vụ. Đây không phải là duy nhất và duy nhất của organization, nhưng các script cần chạy RQC.EXE nếu kiểm tra Baselining xác thực đã có và bao gồm các tham số sau:

 rqc ConnName TunnelConnName TCPPort Username Domain ScriptVersion 

Cấu hình chuyển đổi và đối số được xác định trong danh sách sau.

1. Số đối số Connename là tên của kết nối vào máy phục vụ remote, nhiều nhất hợp lệ từ dial-in biến profile% DialRasEntry%.

2. The TunnelConnName argument is tên của đường dẫn đóng kết nối trên máy phục vụ xa, nhất có người dùng không từ số của dial-in profile% TunnelRasEntry%.

3. Số đối số TCPPort là, xác định, cổng được dùng bởi khôngifier để gửi một thông báo success This default is 7250.

4. Số đối số Domain là tên miền Windows bảo mật của người dùng xa, nhiều thường inherited từ dial-in profile% Domain%.

5. Giá trị Username là, như bạn có thể tìm thấy, tên người dùng từ người dùng remote, nhiều nhất có quyền từ số thư mục - trong profile% User%.

6. Số đối số ScriptVersion là một văn bản chuỗi mà chứa phiên bản script này sẽ được khớp vào máy phục vụ RRAS. Bạn có thể sử dụng bàn phím nào except / 0 trong một liên kết thứ tự.

Installing the Listening Components

Phần mềm, remote Access Quarantine, Agent không biết với RQS.EXE, phải được cài đặt trên máy phục vụ 2003 máy phục vụ nhập vào các yêu cầu dùng RRAS. RQS is found in the Windows Server 2003 Resource Kit Download Tools, as found on the Microsoft web site. Once you've run the installer for the tools, select the Command Shell option from the program group on the Start menu, and run RQS_SETUP / INSTALL from that shell. Batch này sẽ sao chép các thư mục này vào các folder WindowsRootSystem32RAS on your system and modify service and registry settings so that the listener starts automatically when the server boots up.

Có một Bit của yêu cầu Manual, nhưng nên cần xác định phiên bản chuỗi cho script baselining. Tập tin danh sách danh sách các phiên bản đã biết với máy phục vụ xa cho giá trị đã lưu vào máy tính RRAS để xác định các người dùng được dùng tùy chọn phiên bản của một script. Để tạo này thay đổi tự động sau đã chạy RQS_SETUP from the Tools download:

1. Open the Registry Editor.

2. Navigate to the HKEY_LOCAL_MACHINE / System / CurrentControlSet / Services / Rqs key.

3. Right-click in the right pane, and select New String.

4. Tên được phépValue chuỗi.

5. Then, double-click on the new entry, and nhập chuỗi và kết nối đến một phiên bản cần thiết.

Alternatively, you can modify the batch RQS_SETUP file, so this step can be automated for future deployments. Big due to:

1. Open the RQS_SETUP.BAT file in Notepad.

2. Select Find from the Edit menu.

3. Print Find what, enter Version1, and click OK. Các cursor text cần phải trên một dòng mà nói:

    REM REG ADD% ServicePath% / v AllowedSet / t REG_MULTI_SZ / d Version1Version1aTest 

4. Để thêm một phiên bản cần dùng, xoá "REM" từ đầu của dòng.

5. Now, replace the text "Version1Version1aTest" with the version script string you want to be passed by RQC.EXE.

6. Nếu bạn muốn thêm thêm một tùy chọn phiên bản, thay thế một văn bản "Version1Version1aTest" with acceptable version strings, mỗi gỡ bỏ bởi a "" dòng.

7. Lưu tập tin, và Then exit Notepad.

Two notes: RQS is set as a dependency of RRAS. Tuy nhiên, khi chạy lại RRAS, RQS không tự động khởi động, so bạn cần tự chạy nó if you ever stop RRAS manually. Also, by default, RQS.EXE listens on TCP port 7250. To change the default TCP port, navigate to the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrqs key, create a new REG_DWORD value called Port and set it to the desired port.

Creating a Quarantined Connection Profile

Hành động tiếp theo được tạo một cấu hình kết nối quarantine, mà bị lỗi để có một kiểu Plain-vanilla profile with a few modifications. For one, bạn cần phải thêm một bài viết - kết nối hành động với đó, bạn Baselining script sẽ chạy và trả lại thông báo Success hoặc lỗi với máy phục vụ RRAS. Bạn cần phải thêm một không hợp lệ để cấu hình như là.

Trong phần này, sẽ muốn đang đang biết với tạo kết nối không hợp lệ với CMAK Wizard, vì bộ xử lý này Beyond the scope of this article. Where sự tiến trình bắt đầu được là trong chế độ Custom Actions, và Will begin this procedural outline there.

1. Đang hiển thị đến các màn hình Custom hành động, đầy đủ trong các tùy chọn trước trước khi có.

    

   Deploying Network Access Quarantine Control, Part 1 Picture 1
   Figure 1: The Custom Actions screen of the CMAK Wizard

    

2. Chọn Bài viết - kết nối từ hành động đã bỏ qua thư mục đã thoát, và Then click các New button để thêm một hành động. New Custom Action dialog dialog được hiển thị, như hiển thị Figure 2.

    

   Deploying Network Access Quarantine Control, Part 1 Picture 2
   Figure 2: the New Custom Action dialog box

    

3. Mô tả một định dạng được chọn cho trình phục vụ post-kết nối trong tên Mô tả. In chương trình để chạy, nhập tên của bạn Baselining script. Bạn có thể sử dụng phần đầu khóa để xem cho nó. Loại câu lệnh - dòng chuyển đổi và đối số của bạn trong hộp phân vùng. Finally, check the two bottom boxes, "Include the program action action with this service profile" and "Program interacts with the user."

4. Click OK, and you should return to the Custom Actions screen. Click Next. Đang tiếp tục đầy đủ trong chế độ chế độ tùy chọn, cho bạn đến các Additional Files screen, Depicted printing Figure 3.

    

   Deploying Network Access Quarantine Control, Part 1 Picture 3
   Figure 3: the CMAK Wizard Additional Files screen

    

5. Click Add, and then enter RQC.EXE in the dialog presented next. You can use the button Browse to search for it graphically. Once you're finished, click OK. Sẽ được trả lại để chế độ khác Files, Where sẽ xem RQC.EXE listed. Click Next.

6. Đang thực hiện đang thử lại từ khóa khi tùy chọn.

Next Time

Trong sự cài đặt Next của điều này, sẽ tìm thấy giao diện này này, người dùng mới, cấu hình chính sách nên thực hiện quarantining, HOW để trừ những người dùng từ các câu lệnh này, và cách thay thế những người dùng từ những điều khiển quarantine, và cách tập tin này không có quyền của máy phục vụ nào, và cách làm việc này từ những địa chỉ của máy phục vụ nào, và cách ảnh này không thực hiện trong một số của quarantine. 2004. Stay tuned.

Deploying Network Access Quarantine Control, Part 1 Picture 4