Một giá tốt nhất và có thể mở kết thúc thông tin của bạn không ra thông qua mạng của bạn, hoặc brute force mật khẩu mật khẩu, hoặc whatever else may occur at your corporate headquarters or campus. It's through your mobile users, when they try to connect to your business network while on the road. Consider why that is the case. Most remote users are authenticated on the basis of their identity; không có khả năng thực hiện được xác thực mà của máy tính và phần mềm meets a certain baseline requirement. Remote users could, and every day, fail any or all of the following guidelines: & nbsp;
Bạn sẽ mong đợi các trường hợp sau đó, nhưng trong người dùng sau đó, mobile users have traditionally been forgotten or grudgingly accepted as exceptions to the rule. However, Windows Server 2003 includes a new feature in its Resource Kit, called & quot; Network Access Quarantine Control, & quot; which allows you to prevent users from connecting to your network with machines that are not up-to-date and secure. How Network Access Quarantine WorksNetwork Access Quarantine Control, or NAQC, prevents unhindered access to a network from a remote location until after the destination computer has verified the remote computer's configuration meets certain requirements and standards as outlined in a script. To use NAQC, your remote access computers must be running either Windows 98 Second Edition, Windows Millennium Edition, Windows 2000, or Windows XP Home or Professional. These versions of Windows support a connectoid, containing connection information, the baselining script, and a component notifier that can be created using the CMAK Connection Manager in Server 2003. Additionally, you'll need at least one Windows Server 2003 machine on the backend running an assembly listening request; For the purposes of our exercise, I'll assume you're running the Remote Access Quarantine Agent service (called RQS.EXE) from the Windows Server 2003 Resource Kit. Finally, you'll need a NAQC-compliant RADIUS server, such as the Internet Authentication Service in Server 2003, so that network access can be restricted. A Step-by-Step Overview of NAQCHere is a outline of how to connect and quarantine work processes, assuming you're using RQC.EXE on client end from CMAK and RQS.EXE trên kết thúc lại từ Resource Kit. & nbsp;
& nbsp; Deploying NAQCIn this section, I'll look at the actual deployment of NQAC on your network. There are six steps, each outlined in separate subsections ahead. Creating Quarantined ResourcesKiểu trước khi tạo tài nguyên mà thực thể được truy cập trong khi đặt gói tin lọc quạt trong đó để một máy khách. Examples of such resources include DNS servers and DHCP servers so the request to get the software to update the out-of-compliance servers, and web servers may describe the quarantining process or allow a remote user contact IT support via e-mail if any problems occur. There are two ways you can specify and use quarantined resources. Khởi động một máy phục vụ xác định trên địa phương mạng như quarantine nội dung, không có vị trí của địa chỉ mạng. This allows you to use existing hosts to host quarantined resources, but you also have to create individual packet filters for quarantined sessions for each of these machines. For performance and overhead reasons, it's best to limit the number of individual packet filters for a session. Không tương ứng với các địa chỉ IP của bạn. Hộp thoại, bạn phải chỉ ra một một thông tin packet để thoát một máy người dùng, nhưng bạn cần có địa chỉ lại máy này và, in most cases, take them out of their existing service or buy new ones. Sử dụng This method, nhưng yêu cầu thông tin cho gói. Bạn cần mở một cách không phải đưa ra một địa chỉ TCP port 7250, một cho giao diện DHCP trên UDP cổng 68 và địa chỉ UDP cổng 67, và cho mọi giao dịch khác, địa chỉ ngoài phạm vi quan quan nguồn. Cũng lại, bạn có thể cũng cấu hình mọi gói tin lọc peculiar to your organization Đang ghi tập tin cấu hìnhThe next step is to actually write a baseline script that will be run on the client. Đây là sự xác thực là duy tự và duy nhất của bạn, nhưng tất cả các scripts phải chạy RQC.EXE nếu hợp lệ kiểm tra hợp lệ đang được thành phần và có những tham số theo đây: & nbsp; rqc ConnName TunnelConnName TCPPort Domain Username ScriptVersion Các chuyển đổi và tham số được giải thích trong danh sách sau. & nbsp;
Installing the Listening ComponentsTéléphone Access Quarantine Agent, Known, otherwise as RQS.EXE, phải được cài đặt trên máy chủ Máy chủ 2003 chấp nhận incoming calls using RRAS. RQS được tìm thấy trong Windows Server 2003 Resource Kit Tools download, as found on the Microsoft web site. Khi bạn đã chạy trình cài đặt cho Tools, chọn trình đơn Tùy chọn Shell từ chương trình nhóm trong trình ra khởi động, và chạy RQS_SETUP / INSTALL từ đó trình bao. Batch file sẽ sao chép các thư mục thích hợp với hệ thống RútSystem32RAS trên hệ thống tập tin và sửa đổi service và registry settings so that listener starts automatically when server boots up. Có một bit của manual intervention được yêu cầu, nhưng không: bạn cần chỉ ra chuỗi phiên bản cho cơ sở dữ liệu. The listener service sẽ tương ứng với thông tin được gửi bởi máy tính của máy phục vụ đã được giữ lại trên máy phục vụ RRAS để tạo sự xác thực của bạn đang dùng những phiên bản mới nhất. To make this change manually after you've run RQS_SETUP from the Tools download: & nbsp;
Alternatively, you can modify the batch file RQS_SETUP, so this step can be automated for future deployments. It's so so: & nbsp;
Two notes: RQS is set as a dependency of RRAS. However, when RRAS is restarted, RQS does not automatically restart, so you'll need to manually restart it if you ever stop RRAS manually. Also, by default, RQS.EXE listens on TCP port 7250. To change the default TCP port, navigate to the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrqs key, create a new value REG_DWORD called Port and set it to the desired port. Tạo Quarantined Connection ProfileBước kế tiếp để tạo một tên đường dẫn cài đặt trình phục vụ bị tắt, van van van a vanilla-vanilla a few modifications. For one, you need to add a post-connect action so that your scripting baseline will run and return a success or failure message to the RRAS machine. You also need to add the notifier to the profile as well. In this section, I'll assume you're familiar có tạo liên kết đặc trưng với CMAK Wizard, vì bộ xử lý quá có phạm vi của phần này. Where the process begins differs is the Custom screen Actions, and I'll begin the procedural outline there. & nbsp;
Next TimeIn next installment of this article, I'll look at distributing this profile to remote users, đang cấu hình sự thực hiện thực hiện quarantining, trừ những người dùng từ một quarantine configurations, và cách làm việc này trong Microsoft's new ISA Server. 2004. Stay tuned. |
About the author Jonathan Hassell an an expert and consultant specializing in Windows administration and security. Người dùng Quản lý của Windows Server 2003 và RADIUS, both published by O'Reilly & Associates, and Windows Hardening , published by Apress. He also holds periodic public seminars; see www.hardeningwin.com for details. He has written for Windows & amp; .NET Magazine and WindowsITSecurity.COM and is a contributor to PC Pro, a leading computer magazine in the United Kingdom. |