Deploying Network Access Quarantine Control, Part 2

I stepped qua cách làm việc truy cập của quarantine mạng (NAQC) works and đã cung cấp chi tiết điều khiển instructions. In the second and final installment, I'll continue the procedure by finishing the deployment, then discuss how ISA Server 2004's entrance to the marketplace changes the fields of NAQC and how quarantining is implemented within the ISA Server itself.

Let's start thì bạn còn tắt.

Distributing the Profile to Remote Users

Cấu hình bạn tạo trong các cài đặt trước của điều này này được tạo vào một tập tin executable mà thể được phân tách đến các người dùng xa bạn và chạy trên các hệ thống này tự động, tạo một profile mà không có một ứng dụng nào. Có nhiều tùy chọn để lấy tập tin executable để người dùng.

Bạn có thể gửi tập tin tập tin đã thực hiện với một tập tin gửi đến một thư thư, hoặc hơn nào, một liên kết vào tập tin executables đã được đặt trên một web server somewhere. Trong thư mục e-mail, bạn có thể dùng lệnh để chạy tập tin và sử dụng mới kết nối cho tất cả xa xa truy cập. Bạn có thể có chạy được thực hiện với phần của một logon hoặc logoff script, nhưng để vì, bạn cần phải với người dùng đăng nhập vào một kết nối chuyển đổi, hoặc chờ khi các người dùng có thể đăng nhập kết thúc tập tin, hoặc chờ khi người dùng người dùng nhập vào thư mục home và kết nối đến bạn corporate or network corporate.

Regardless of which method bạn đã chọn để Initiate các cấu hình installer để bạn người dùng, bạn nên đặt thời gian phiên bản của tập tin cấu hình trên một quarantined resource, so client computers that do not pass your baseline script's compliancy checks can still surf to web thiết bị cần thiết và tải về phiên bản hiện thời mà không có sự xác thực của bạn further.

Configuring the Quarantine Policy

Tập tin cuối cùng trong tiến trình tiến trình để cấu hình sự thực hiện quarantine trong RRAS. Trong phần này, Tôi tạo một quarantine policy trong địa chỉ RRAS mà có thể đăng nhập tập tin cài đặt trên một web máy phục vụ được làm việc là quarantined resource.

If it is configured to use the Windows authentication provider, then RRAS uses Active Directory or an NT 4 domain (remember, the RRAS machine needs only to run Windows Server 2003; it doesn't need to belong to an Active Directory-based domain ) để xác định người dùng và xem ở các tài khoản tài khoản của bạn. Nếu RRAS là cấu hình để sử dụng RADIUS, có thể máy RADIUS phải là một Server 2003 machine running IAS. Incidentally, IAS also uses Active Directory or xác thực NT thành công cần dùng và xem ở các tài khoản tài khoản.

Configuring RRAS

1. Open the RRAS Manager.

2. In the left-pane, right-click Remote Access Policies, and then select New Remote Access Policy from the context menu. Click Next trong các tập tin introductory.

3. The Policy Configuration Method page appears. Hãy nhập Quarantined VPN kết nối xa cho tên của này policy, shown shown Figure 4. Click Next when you're finished.

    

   Deploying Network Access Quarantine Control, Part 2 Picture 1
   Figure 4: The Policy Configuration Method screen

    

4. The Access Method page appears. Select VPN, and then click Next.

5. On người dùng hoặc truy cập Access Group, select Group, và Then click Add.

6. Loại trong nhóm nhóm mà cần dùng VPN trong thành mạng. Nếu tất cả các người dùng này có quyền, enter Everyone or Authenticated Users. Bạn có thể là một nhóm đã được thêm VPNUsers trên miền này này có nên truy cập cho VPN Ability. Click OK.

7. Bạn sẽ được trả lại để sử dụng người dùng hoặc truy cập Group Group, và sẽ tìm thấy nhóm này đã được đăng nhập trong danh sách danh sách, như được hiển thị Figure 5. Click Next if it looks correct.

    

   Deploying Network Access Quarantine Control, Part 2 Picture 2
   Figure 5: Người dùng hayGroup Access screen.

    

8. The Authentication Methods page appears. Để giữ thông báo này mới, sử dụng MS - CHAP v2 xác thực giao thức, mà được chọn bởi mặc định. Click Next.

9. Chỉ mục của tập tin Encryption của chế độ, xác định thiết lập Strongest đã đặt là chỉ tùy chọn chỉ. This is shown in Figure 6. Then, click Next.

    

   Deploying Network Access Quarantine Control, Part 2 Picture 3
   Figure 6: the Policy Encryption Level screen

    

10. Lỗi kết thúc từ thủ thuật bởi clicking Finish.

Configure attributes to be quarantined

Nếu bạn cần thực hiện cấu hình các thuộc tính sẽ được được assign đến sự lệnh quarantined.

1. Back in RRAS Manager, right-click on the new Quarantined VPN remote access policy, and select Properties from the context menu.

2. Navigate to the Advanced tab, and click Add to include another attribute in the list.

3. The Add Attribute dialog box is displayed, as depicted in Figure 7.

    

   Deploying Network Access Quarantine Control, Part 2 Picture 4
   Figure 7: The Add Attribute dialog box

    

4. Click MS-Quarantine-Session-Timeout, and then click Add.

5. In hộp thoại Thông tin thông báo, Dùng một giá trị mẫu của 60, mà sẽ được xác định trong giây, để xác thực của phiên bản này. Click OK, and then OK again to return to the Advanced tab.

6. Click Add. In the Attribute list, click MS-Quarantine-IPFilter, and then click Add again. Hãy xem IP Filter Attribute Information screen, as shown in Figure 8.

    

   Deploying Network Access Quarantine Control, Part 2 Picture 5
   Figure 8: The IP Filter Attribute Information dialog box

    

7. Hãy xem nút Thông tin khóa nhập, mà hiển thị các trong Inbound Filters box.

8. Click New để thêm bộ lọc đầu. The Add IP Filter dialog box is displayed. In the Protocol field, TCP select. In the Destination port field, enter 7250. Click OK.

9. Now, back to screen Screen Inbound, select the Permit only the packets listed below truy cập radio button. Your screen should look like Figure 9.

    

   Deploying Network Access Quarantine Control, Part 2 Picture 6
   Figure 9: Tập tin in chế độ đã tải về

    

10. Hãy chọn New và thêm các kết nối nhập vào cho DHCP, DNS, và WINS giao dịch, Repeat không Steps vào và bao gồm một số thứ tự cổng và kiểu.

11. Click New and add an filter input for a quarantine resource, such as a Web server, where your profile installer is located. Specify the IP address appropriate for tài nguyên trong phần Destination Network của Thêm IP Filter screen, as shown in Figure 10.

     

    Deploying Network Access Quarantine Control, Part 2 Picture 7
    Figure 10: The Add IP Filter box, adding a quarantined Web resource

     

12. Finally, click OK on the Inbound Filters dialog box to save danh sách bộ lọc.

13. On the Edit Dial-in Profile dialog box, click OK to save the changes to the profile settings.

14. Then, để lưu các thay đổi để chính sách, click OK once more.

Creating Exceptions to the Rule

While nó được hỗ trợ thành thành, có người dùng được kết nối với một lệnh quarantined phiên bản cho các cấu hình có thể được xác định, có thể thực hiện đăng ký hoặc sự xác định trong bạn Organization mà Mitigate this requirement. If so, this simplest way to excuse a user or group of users from participating in the quarantine is to create an exception security group with Active Directory. Những người dùng của nhóm này nên phải mà những phần này không cần tham gia trong tiến trình quarantining.

Sử dụng mà nhóm, tạo một chính sách khác từ áp dụng nhóm chưa xác định mà cấu hình với tùy chọn xa truy cập của danh sách bạn tạo trước. Thời gian, không có, không thêm thêm hoặc cấu hình với MS-Quarantine-IPFilter or MS-Quarantine-Session-Timeout attributes. Đang dùng một chính sách đã được tạo, gỡ bỏ chính sách này để dùng các nhóm exceptions vì thì nó được kiểm tra trước khi chính sách các cái khác.

Extending Functionality with ISA Server 2004

Quarantine Control cho ISA Server 2004 được làm việc với Routing và remote Access service, như được xác định đã hết hạn trong này article. The main difference is in the fact that with ISA Server, you can require that a client attempt to log in is assigned to the Quarantined VPN Clients network in ISA, with an associated firewall policy that is very stringent, until the Connection Manager is running on the desktop passes một thông báo để ISA đã biết người dùng được kiểm tra integrity. Like the plain vanilla NAQC technique, ISA quarantining does not rely on Connection Manager profiles and yêu cầu một cơ sở dữ liệu script để thực hiện là tùy chọn cho bạn môi trường.

Within ISA Server 2004, you have two options with chế độ để cấu hình quarantine: policies and ISA Server lets them join the regular VPN Clients network, as seen within the interface ISA Server, chỉ khi chúng đã được đăng nhập check. You can also enable quarantining through ISA Server itself, and clients can make use of Quarantined Integration VPN Clients network and any firewall policies associated with therewith. Hệ thống chính chính của phương pháp này, bạn có thể sử dụng quarantining trên một máy tính máy chủ ISA, không phải chỉ nào với Windows Server 2003 được cài đặt.

ISA Server quarantining hỗ a more robust timeout feature, either, allowing clients to Remain in the Quarantined VPN Clients network for a specific number of seconds all before being disconnected, and It also hỗ an exception list, đó cho phép you to Identify users (via hoặc Active Directory or a RADIUS server) that should not be quarantined no matter what.

Các thông báo nghe về quarant được đã được nâng cấp được xác định cho hỗ trợ ISA Server và có sẵn trong các ISA Server 2004 Resource Kit, mà có thể được lấy từ Microsoft site.

To enable quarantining with ISA Server:

1. Open ISA Server Management.

2. On the left pane, expand the node that corresponds to your computer, and then click Virtual Private Networks (VPN).

3. In the right pane, navigate to the Tasks tab, and then click Enable VPN Client Access.

4. Now, expand the Configuration node and select Networks.

5. In the middle pane, click the Networks tab.

6. Double-click on Quarantined VPN Clients network to open the properties box for the network.

7. Navigate to the Quarantine tab. Đây là hiển thị trong Figure 11.

8. Click the 'Enable quarantine control' checkbox to allow quarantining to take place. Cảnh báo sẽ hiện thời hiện thời để thực hiện, bạn thực hiện khi thực hiện là hoạt động, và không có cấu hình không hợp lệ, các bạn sẽ được xác định quarantined.

9. Hãy chọn tùy chọn quarantine với RADIUS server Policies (tùy chọn first) or ISA Server policies (the second option).

10. Hãy nhập một lần thời

11. Hãy nhập không nào nào để quarantining trong 'Exempt các người dùng từ Quarantine Control' box.

12. Click OK, and then Apply in the Management Server ISA console, to apply the changes.

     

    Deploying Network Access Quarantine Control, Part 2 Picture 8
    Figure 11: Quarantined VPN Clients in ISA Server 2004

Nếu bạn thực hiện này Steps này, từ máy phục vụ ISA Server 2004 Resource tìm thấy ConfigureRQSforISA.vbs script và chạy nó. Đây sẽ tự động tạo một chế độ truy cập trong ISA này sẽ cho phép chuyển qua pass vào cổng 7250 từ cả hai Clients VPN và Quarantined VPN Clients Networks để mạng mạng. Những sự xác thực này, vì xác định từ máy phục vụ người dùng, bạn đã được gỡ bỏ các kiểm tra integrity và được xác thực để chuyển đổi về mạng chính quy được gửi vào cổng này.

Bạn có thể xử lý các chế độ truy cập truy cập cho Quarantined VPN hệ thống các tập tin mà theo sau:

1. Allow truy cập truyền chuyển tới LDAP máy phục vụ trên máy ảnh nội bộ.

2. Allow traffic to được gửi qua cho các điều kiện domain.

3. Allow DNS, DHCP, and WINS traffic to be passed to a hardened set of DNS servers, có thể trên một perimeter network.

4. Allow traffic to a hardened, web server that contains software antivirus, signature and detection engine updates.

Conclusion

In this article, I've discussed quarantining using services included in Windows Server 2003 and its associated resource and feature packs, and I've also touched on the extended quarantine functionality within ISA Server. Nếu bạn sử dụng các cơ sở dữ liệu sẽ được hỗ trợ hoặc gỡ bỏ sự kết nối đã chia sẻ với máy ảnh khi bạn kết nối để kết nối.

Deploying Network Access Quarantine Control, Part 2 Picture 9