Deploying Network Access Quarantine Control, Part 2

I stepped through the process of network access quarantine control (NAQC) works and offered detailed deployment instructions. In this second and final installment, I'll continue the procedure by finishing the deployment, and then discuss how ISA Server 2004's entrance to the marketplace changes the field of NAQC and how the quarantine is implemented within the ISA Server itself.

Let's where we left off.

Delegating the Profile to Remote Users

The profile you created in previous installment của tập tin này đã được tạo vào một tập tin thực hiện có thể được phân phối vào của người dùng bạn tự động và tự động tạo một nhóm mà không có gì nào không có khả năng thêm. There are several options for getting the executable file to your users.

Bạn có thể gửi tập tin thực hiện như là thư mục e, thư điện tử, hoặc liên kết khác, một tập tin liên kết tới tập tin trên máy chủ trên somewhere. In e-mail message, bạn có thể chỉ dẫn để chạy tập tin và dùng kết nối mới cho tất cả các truy cập từ xa. You could also have the executable run as part of a logon or logoff script, but to do that, you'd have to either have your users log on through a dial-up connection, or wait until the mobile users return to the home network. and connect remotely to your corporate campus or network.

Regardless of which method you choose to initially transmit the profile of the installer to your users, you should always place the latest version of the profile installer on a quarantined resource somewhere, so client computers that do not pass your script's compliancy checklist can still surf to cần thiết web site và tải về cuối cùng mà không compromising the integrity of your network further.

Configuring the Quarantine Policy

Final step in the deployment process is to configure the actual quarantine policy within RRAS. Trong phần này, I'll tạo một câu lệnh quarantine trong RRAS mà giả bạn đã đăng bởi trình phục vụ cài đặt trên máy chủ web mà hoạt động là một quarantined tài nguyên.

If RRAS is configured to use the Windows authentication provider, then RRAS uses Active Directory or an NT 4 domain (remember, RRAS máy phục vụ cần chỉ ra nên chạy Windows Server 2003; ) is authenticate users and look at their account properties. If RRAS is configured to use RADIUS, then RADIUS server must be a IAS server 2003 server. Incidentally, IAS also uses Active Directory or an NT domain to authenticate users and look at their account properties.

Configuring RRAS

1. Mở RRAS Manager.

2. In the left-pane, right-click Remote Access Policies, and then select New Remote Access Policy. Click Next through introductory pages.

3. The Policy Configuration Method page appears. Nhập Quarantined VPN có khả năng truy cập kết nối cho tên hiệu này, as shown in Figure 4. Click Next when you're finished.

   & nbsp;

   & nbsp;
   Figure 4: The Policy Configuration Method screen

   & nbsp;

4. The Access Method page appears. Select VPN, and then click Next.

5. On the Access Group or Group Access page, select Group, and then click Add.

6. Type in tên nhóm này nên nên được phép dùng VPN trong mạng. If all domain users have this ability, enter Everyone or Authenticated Users. I assume there is a group called VPNUsers on this domain that should have access to VPN capabilities. Click OK.

7. Bạn sẽ được trả lại cho truy cập của người dùng hoặc Nhóm nhóm, and you'll see the group name you added in the list box, as shown in Figure 5. Click Next if it looks accurate.

   & nbsp;

   & nbsp;
   Figure 5: the User or Group Access screen.

   & nbsp;

8. The Authentication Methods page appears. To keep this example simple, dùng giao thức xác thực MS-CHAP v2, được chọn bởi mặc định. Click Next.

9. On the Policy Encryption Level page, làm chắc chắc Strongest Encryption setting là chỉ đọc tùy chọn. This is shown in Figure 6. Then, click Next.

   & nbsp;

   & nbsp;
   Figure 6: the Policy Encryption Level screen

   & nbsp;

10. Finish the wizard by clicking Finish.

& nbsp;

Configure attributes to be quarantined

Now, you need to actually configure the attributes that will be assigned to the quarantined session.

& nbsp;

1. BACK IN RRAS Manager, right-click vào truy cập qua VPN truy cập đã truy cập, and select Properties trong ngữ cảnh ngữ cảnh.

2. Navigate to the Advanced tab, và nhấn thêm vào danh sách thêm vào danh sách.

3. The Add Attribute dialog box is displayed, as depicted in Figure 7.

   & nbsp;

   & nbsp;
   Figure 7: The Add Attribute dialog box

   & nbsp;

4. Click MS-Quarantine-Session-Timeout, and then click Add.

5. In the Attribute Information dialog box, type the session time quarantine in Attribute value. Dùng một giá trị mẫu 60, sẽ được đo độ giây, đối tượng của demonstration này. Click OK, and then OK again để trả lại đến bảng cao.

6. Click Add. In the Attribute list, click MS-Quarantine-IPFilter, and then click Add again. Ll'll see the IP Filter Attribute Information screen, as shown in Figure 8.

   & nbsp;

   & nbsp;
   Figure 8: The IP Filter Attribute Information dialog box

   & nbsp;

7. Nhấn vào chuỗi nút Tùy chọn, hiển thị nút thông tin Inbound Filters.

8. Click New to add the first filter. The IP Filter dialog box is được được chọn. In the Protocol field, select TCP. In the Destination port field, enter 7250. Click OK.

9. Now, back on the Inbound Screen Filters, select the Permit only the packets listed below the radio button. Your screen should look like Figure 9.

   & nbsp;

   & nbsp;
   Figure 9: the completed Inbound Filters screen

   & nbsp;

10. Nhấn vào nút mới và thêm vào bộ lọc để điều khiển DHCP, DNS, và WINS traffic, lặp lại các bước sau và cả số cổng thích hợp và kiểu.

11. คลิก New and add an input filter for a resource quarantine, như một máy chủ web, where your installer profile is located. Xác định địa chỉ IP hợp cho địa chỉ trong đích đích của phần Thêm máy lọc IP, được hiển thị trong Figure 10.

    & nbsp;

    & nbsp;
    Figure 10: The IP Add Filter box, adding a quarantined Web resource

    & nbsp;

12. Finally, click OK on the Inbound Filters dialog box để lưu thư mục lọc.

13. On the Edit Dial-in Profile dialog box, click OK to save the changes to the profile settings.

14. Then, save the changes to the policy, click OK once more.

Creating Exceptions to the Rule

While it is certainly advantageous to have all users connected through a quarantined session until their configurations can be verified, there may be logistical or political problems within your organization that mitigate this requirement. Nếu so, this simplest cách excuse a người dùng hoặc nhóm của người dùng trong quarantine để tạo một nhóm bảo mật Execute với Active Directory. The group should this be the ones that do not participate in the quarantining procedure.

Sử dụng nhóm, tạo tùy chọn policy bên ngoài tùy chọn bên ngoài với cấu hình giống như bảo mật. This time, though, do not add or configure either the MS-Quarantine-IPFilter or the MS-Quarantine-Session-Timeout attributes. Khi địa phương sách đã được tạo, hành động policy để áp dụng cho nhóm đã so sánh được nó được Đánh dấu trước khi bảo mật policy mà quarantines everyone else.

Extending Functionality with ISA Server 2004

Quarantine Control for ISA Server 2004 works with Routing and Remote Access service, as described earlier in this article. Lỗi main in lies in fact with ISA Server, bạn có thể bạn muốn mật khẩu để đăng nhập được gán cho Quarantined VPN Clients network in ISA, với một liên kết đường dẫn chính xác, khi kết nối bộ quản lý The desktop passes a message to the ISA. Like the vanilla NAQC technique, ISA quarantining does rely on Connection Manager profiles and requires a scripting baseline to be developed that is custom to your environment.

Within ISA Server 2004, you have two options with regard to configuring quarantine functionality: you can enable quarantining using the Routing and Remote Access Service, which requires Windows Server 2003. Using this method, the quarantined clients go through normal authentication and integrity checks. Bystanding and ISA Server let them join the regular VPN Clients network, as seen inside the ISA Server interface, only when they've passed the check. You can also enable quarantining through ISA Server itself, and clients can make use of the integrated Quarantined VPN Clients network and any firewall policies associated therewith. Lệnh của bạn này có thể sử dụng quarantining trên máy phục vụ ISA Server, không phải những người dùng với Windows Server 2003 đã cài đặt.

ISA Server quarantining supports a more robust timeout feature, allowing clients to remain in the Quarantined VPN network for a specific number of seconds before being disconnected, and it also allows an exception list, which allows you to identify users (via Active Directory or A RADIUS server) that should not be quarantined no matter what.

The listening components have been upgraded specifically for ISA Server support and are available in the ISA Server 2004 Resource Kit, which can be obtained from the Microsoft site.

To enable quarantining with ISA Server:

& nbsp;

1. Open ISA Server Management.

2. Trong nút trái, expand the node that corresponds to your computer, and then click Virtual Private Networks (VPN).

3. In the right pane, navigate to Tasks tab, and then click Enable VPN Client Access.

4. Now, expand the Configuration node and select Networks.

5. In the middle pane, click the Networks tab.

6. Double-click on Quarantined VPN Clients network to open the properties box for the network.

7. Navigate to the Quarantine tab. Đây hiển thị trong Figure 11.

8. Click the 'Enable quarantine control' checkbox to allow quarantining to take place. A cảnh báo sẽ làm việc làm bạn làm việc có nghĩa là ngay, và không có cấu hình đúng, khách khách sẽ bị chấm dứt quạt.

9. Chọn nếu để quarantined by RADIUS server policies (tùy chọn đầu tiên) hoặc ISA Server policies (second tùy chọn).

10. Nhập một thời hạn cho khách trong khách sạn quarantined mạng trong Disconnect quarantined người dùng sau box.

11. Enter quãng ngoại trừ trong thoát 'Exempt these users trong Quarantine Control' box.

12. Click OK, and then Apply in the ISA Server Management console, then apply the changes.

    & nbsp;

    & nbsp;
    Figure 11: Quarantined VPN Clients in ISA Server 2004

Yay you have completed these steps, from the ISA Server 2004 Resource Kit find the ConfigureRQSforISA.vbs script and run it. This will automatically create an access rule within ISA that will allow traffic to pass on port 7250 from both VPN Clients and Quarantined VPN Clients networks to Local hosts. Đây là con vigorous, vì thông báo thông báo từ máy khách đã có khả năng kiểm tra và có quyền được chuyển tới thông tin mạng được gửi vào cổng này.

You might also consider establishing the access rules for the Quarantined VPN Clients network that do the following:

& nbsp;

• Allow transmissions to any LDAP servers on the internal network.

• Lệnh cho phép chuyển tới miền điều khiển.

• Cho phép DNS, DHCP, và các giao dịch WINS để được cài đặt một máy phục vụ của DNS, có lẽ có một máy mạng trên.

• Lỗi chuyển tới một máy phục vụ, mà có một máy chủ chứa chứa phần mềm antivirus, chữ ký và phát triển phần mềm cập nhật.

Conclusion

In this article, I've discussed the quarantine using services included in Windows Server 2003 and its associated resource kits and feature packs, and I've also touched on extended quarantine functionality within ISA Server. Thử sử dụng những trợ giúp này sẽ giúp đỡ bạn sẽ tắt thu nhỏ con bị xa xa.

& nbsp;