Deploying Network Access Quarantine Control, Part 1

Một giá tốt nhất và có thể mở kết thúc thông tin của bạn không ra thông qua mạng của bạn, hoặc brute force mật khẩu mật khẩu, hoặc whatever else may occur at your corporate headquarters or campus. It's through your mobile users, when they try to connect to your business network while on the road.

Consider why that is the case. Most remote users are authenticated on the basis of their identity; không có khả năng thực hiện được xác thực mà của máy tính và phần mềm meets a certain baseline requirement. Remote users could, and every day, fail any or all of the following guidelines:

& nbsp;

• The latest service pack and the latest security fixes are installed.

• The corporation-standard antivirus software is installed and running, and the latest signature files are being used.

• Internet or network routing is disabled.

• Windows XP's ICF, hoặc cài đặt firewalls, được cài đặt, bật bật, và kiểm tra có cổng này trên máy tính.

Bạn sẽ mong đợi các trường hợp sau đó, nhưng trong người dùng sau đó, mobile users have traditionally been forgotten or grudgingly accepted as exceptions to the rule. However, Windows Server 2003 includes a new feature in its Resource Kit, called & quot; Network Access Quarantine Control, & quot; which allows you to prevent users from connecting to your network with machines that are not up-to-date and secure.

How Network Access Quarantine Works

Network Access Quarantine Control, or NAQC, prevents unhindered access to a network from a remote location until after the destination computer has verified the remote computer's configuration meets certain requirements and standards as outlined in a script.

To use NAQC, your remote access computers must be running either Windows 98 Second Edition, Windows Millennium Edition, Windows 2000, or Windows XP Home or Professional. These versions of Windows support a connectoid, containing connection information, the baselining script, and a component notifier that can be created using the CMAK Connection Manager in Server 2003. Additionally, you'll need at least one Windows Server 2003 machine on the backend running an assembly listening request; For the purposes of our exercise, I'll assume you're running the Remote Access Quarantine Agent service (called RQS.EXE) from the Windows Server 2003 Resource Kit. Finally, you'll need a NAQC-compliant RADIUS server, such as the Internet Authentication Service in Server 2003, so that network access can be restricted.

A Step-by-Step Overview of NAQC

Here is a outline of how to connect and quarantine work processes, assuming you're using RQC.EXE on client end from CMAK and RQS.EXE trên kết thúc lại từ Resource Kit.

& nbsp;

1. The remote user connects to his computer, by quarantining the CM profile, to the quarantine-enabled connection point, usually a machine running Routing and Remote Access Service (RRAS).

2. The remote user authenticates.

3. RRAS sends a RADIUS Access-Request message to the RADIUS server-in this case, and the Server 2003 machine runs the Internet Authentication Service.

4. The server IAS verifies the remote user's credentials successfully and checks its remote access policies. Kết nối lần thử kết cấu hình quarantine policy.

5. Kết nối là chấp nhận, nhưng với quarantine restrictions in place. The IAS server sends a RADIUS Access-Accept message, including the MS-Quarantine-IPFilter and MS-Quarantine-Session-Timeout attributes, to RRAS.

6. The remote user completes the remote access connection with the RRAS server, which includes leasing an IP address and thiết lập mạng khác.

7. RRAS configures the MS-Quarantine-IPFilter and MS-Quarantine-Session-Timeout settings for the connection, now in quarantine mode. At this point, the remote user can only send traffic that matches the quarantine filters-all other traffic is filtered-and can only remain attached to the value in seconds, of the MS-Quarantine-Session-Timeout attribute before the quarantine baselining script. phải được chạy và thông báo đã kết quả tới RRAS.

8. The CMAK profile runs the quarantine script, currently defined as the & quot; post-connect action. & Quot;

9. Quarantine script runs and verifies that the client's remote access client computer configuration meets a baseline. Nếu so, script thực hiện RQC.EXE với câu lệnh của dòng lệnh, including a text string representing the version of quarantine script được dùng.

10. RQC.EXE gửi một báo cáo tới RRAS, khi có script đã có thành công.

11. Thông tin được nhận được bởi RQS.EXE trên cuối cùng.

12. The component listener on the RRAS server verifies the script version (s) in the message notification với cấu hình trong thư mục của RRAS và trả lại một thư mục hiển thị phiên script phiên bản hợp lệ hoặc hợp lệ.

13. Nếu chương trình script was acceptable, the RQS.EXE calls the MprAdminConnectionRemoveQuarantine () API, which ngụ ý thành thời gian này để gỡ bỏ MS-Quarantine-IPFilter và MS-Quarantine-Session-Timeout thiết lập từ kết nối và kết nối lại session normal network access.

14. Đã qua, người dùng của người dùng có thể truy cập đến tài nguyên trên mạng.

15. RQS.EXE creates an event describing the quarantined connection in the System event log.

& nbsp;

Deploying NAQC

In this section, I'll look at the actual deployment of NQAC on your network. There are six steps, each outlined in separate subsections ahead.

Creating Quarantined Resources

Kiểu trước khi tạo tài nguyên mà thực thể được truy cập trong khi đặt gói tin lọc quạt trong đó để một máy khách. Examples of such resources include DNS servers and DHCP servers so the request to get the software to update the out-of-compliance servers, and web servers may describe the quarantining process or allow a remote user contact IT support via e-mail if any problems occur.

There are two ways you can specify and use quarantined resources. Khởi động một máy phục vụ xác định trên địa phương mạng như quarantine nội dung, không có vị trí của địa chỉ mạng. This allows you to use existing hosts to host quarantined resources, but you also have to create individual packet filters for quarantined sessions for each of these machines. For performance and overhead reasons, it's best to limit the number of individual packet filters for a session.

Không tương ứng với các địa chỉ IP của bạn. Hộp thoại, bạn phải chỉ ra một một thông tin packet để thoát một máy người dùng, nhưng bạn cần có địa chỉ lại máy này và, in most cases, take them out of their existing service or buy new ones. Sử dụng This method, nhưng yêu cầu thông tin cho gói. Bạn cần mở một cách không phải đưa ra một địa chỉ TCP port 7250, một cho giao diện DHCP trên UDP cổng 68 và địa chỉ UDP cổng 67, và cho mọi giao dịch khác, địa chỉ ngoài phạm vi quan quan nguồn. Cũng lại, bạn có thể cũng cấu hình mọi gói tin lọc peculiar to your organization

Đang ghi tập tin cấu hình

The next step is to actually write a baseline script that will be run on the client. Đây là sự xác thực là duy tự và duy nhất của bạn, nhưng tất cả các scripts phải chạy RQC.EXE nếu hợp lệ kiểm tra hợp lệ đang được thành phần và có những tham số theo đây:

& nbsp;

rqc ConnName TunnelConnName TCPPort Domain Username ScriptVersion

Các chuyển đổi và tham số được giải thích trong danh sách sau.

& nbsp;

• The argument connName is the name of the connectoid on the remote machine, most often inherited from the dial-in variable% DialRasEntry%.

• The argument TunnelConnName is the name of the tunoid connectoid on the remote machine, most often inherited from the dial-in profile variable% TunnelRasEntry%.

• TCP v.ort argument is, obviously, port used by the notifier to send a success message. This is 7250.

• Domain argument is the name of the remote domain name Windows, most often inherited from dial-in variable% domain%.

• Tên người dùng là, bạn có thể guess, tên người dùng của người dùng xa, bị thường thường được từ danh sách từ khóa% UserName%.

• Scriptender arguments is a text string that contains script versions that will be matched on the RRAS server. Bạn có thể dùng mọi ký tự phím có trừ / 0 trong một dãy tiếp tục.

Installing the Listening Components

Téléphone Access Quarantine Agent, Known, otherwise as RQS.EXE, phải được cài đặt trên máy chủ Máy chủ 2003 chấp nhận incoming calls using RRAS. RQS được tìm thấy trong Windows Server 2003 Resource Kit Tools download, as found on the Microsoft web site. Khi bạn đã chạy trình cài đặt cho Tools, chọn trình đơn Tùy chọn Shell từ chương trình nhóm trong trình ra khởi động, và chạy RQS_SETUP / INSTALL từ đó trình bao. Batch file sẽ sao chép các thư mục thích hợp với hệ thống RútSystem32RAS trên hệ thống tập tin và sửa đổi service và registry settings so that listener starts automatically when server boots up.

Có một bit của manual intervention được yêu cầu, nhưng không: bạn cần chỉ ra chuỗi phiên bản cho cơ sở dữ liệu. The listener service sẽ tương ứng với thông tin được gửi bởi máy tính của máy phục vụ đã được giữ lại trên máy phục vụ RRAS để tạo sự xác thực của bạn đang dùng những phiên bản mới nhất. To make this change manually after you've run RQS_SETUP from the Tools download:

& nbsp;

1. Open the Registry Editor.

2. Navigate to the HKEY_LOCAL_MACHINE / System / CurrentControlSet / Services / Rqs key.

3. Right-click in the right pane, and select New String.

4. Name the string AllowedValue.

5. Then, double-click on new entry, và gõ thằng chuỗi này đến một phiên bản hợp lệ.

Alternatively, you can modify the batch file RQS_SETUP, so this step can be automated for future deployments. It's so so:

& nbsp;

1. Open the RQS_SETUP.BAT file in Notepad.

2. Chọn tìm từ trình đơn chỉnh sửa.

3. In Find what, enter Version10, and click OK. The text cursor should be on a line that says:

   REM REG ADD% ServicePath% / v AllowedSet / t REG_MULTI_SZ / d Version10Version1a0Test
   

4. To add just one version acceptable, delete & quot; REM & quot; từ đầu của dòng.

5. Now, replace the text & quot; Version10Version1a0Test & quot; với chuỗi script phiên bản bạn muốn được gửi bởi RQC.EXE.

6. If you want to add more version one version, replace the text & quot; Version10Version1a0Test & quot; with the strings version, each separated by a & quot; 0 & quot; line.

7. Hãy lưu tập tin, và then thoát tập tin Notepad.

Two notes: RQS is set as a dependency of RRAS. However, when RRAS is restarted, RQS does not automatically restart, so you'll need to manually restart it if you ever stop RRAS manually. Also, by default, RQS.EXE listens on TCP port 7250. To change the default TCP port, navigate to the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrqs key, create a new value REG_DWORD called Port and set it to the desired port.

Tạo Quarantined Connection Profile

Bước kế tiếp để tạo một tên đường dẫn cài đặt trình phục vụ bị tắt, van van van a vanilla-vanilla a few modifications. For one, you need to add a post-connect action so that your scripting baseline will run and return a success or failure message to the RRAS machine. You also need to add the notifier to the profile as well.

In this section, I'll assume you're familiar có tạo liên kết đặc trưng với CMAK Wizard, vì bộ xử lý quá có phạm vi của phần này. Where the process begins differs is the Custom screen Actions, and I'll begin the procedural outline there.

& nbsp;

1. Navigate to Custom screen gestures, filling in screenshots as appropriate along the way.

   & nbsp;

   
   Figure 1: The Custom Actions screen of the CMAK Wizard

   & nbsp;

2. Chọn Post-Kết nối từ hành động hành động drop-down box, thì thì nút nút mới để thêm hành động. The New Custom Action dialog box is displayed, as shown in Figure 2.

   & nbsp;

   
   Figure 2: The New Custom Action dialog box

   & nbsp;

3. Type descriptive title for the post-connection action in the Description box. In chương trình chạy, hãy nhập tên của tập tin của cơ sở của bạn. Bạn cũng có thể sử dụng nút thông tin để xem nó. Type the command line switches and their arguments in the Parameters box. Finally, check the two boxes bottom, & quot; Include the custom action program with this service profile & quot; and & quot; Program interacts with the user. & quot;

4. Click OK, and you should return to the Actions screen. Click Next. Continue to fill in the wizard screenshots, until you come to the Additional Files screen, depicted in Figure 3.

   & nbsp;

   
   Figure 3: CMAK wizard Additional Files screen

   & nbsp;

5. Click Add, and then enter RQC.EXE in the dialog presented next. Bạn có thể sử dụng nút thông tin để tìm kiếm nó graphically. Once you're finished, click OK. You will be returned to the Additional Files screen, where you'll see RQC.EXE listed. Click Next.

6. T remainill the remainder of the wizard as appropriate.

Next Time

In next installment of this article, I'll look at distributing this profile to remote users, đang cấu hình sự thực hiện thực hiện quarantining, trừ những người dùng từ một quarantine configurations, và cách làm việc này trong Microsoft's new ISA Server. 2004. Stay tuned.

& nbsp;