I stepped through the process of network access quarantine control (NAQC) works and offered detailed deployment instructions. In this second and final installment, I'll continue the procedure by finishing the deployment, and then discuss how ISA Server 2004's entrance to the marketplace changes the field of NAQC and how the quarantine is implemented within the ISA Server itself. Let's where we left off. Delegating the Profile to Remote UsersThe profile you created in previous installment của tập tin này đã được tạo vào một tập tin thực hiện có thể được phân phối vào của người dùng bạn tự động và tự động tạo một nhóm mà không có gì nào không có khả năng thêm. There are several options for getting the executable file to your users. Bạn có thể gửi tập tin thực hiện như là thư mục e, thư điện tử, hoặc liên kết khác, một tập tin liên kết tới tập tin trên máy chủ trên somewhere. In e-mail message, bạn có thể chỉ dẫn để chạy tập tin và dùng kết nối mới cho tất cả các truy cập từ xa. You could also have the executable run as part of a logon or logoff script, but to do that, you'd have to either have your users log on through a dial-up connection, or wait until the mobile users return to the home network. and connect remotely to your corporate campus or network. Regardless of which method you choose to initially transmit the profile of the installer to your users, you should always place the latest version of the profile installer on a quarantined resource somewhere, so client computers that do not pass your script's compliancy checklist can still surf to cần thiết web site và tải về cuối cùng mà không compromising the integrity of your network further. Configuring the Quarantine PolicyFinal step in the deployment process is to configure the actual quarantine policy within RRAS. Trong phần này, I'll tạo một câu lệnh quarantine trong RRAS mà giả bạn đã đăng bởi trình phục vụ cài đặt trên máy chủ web mà hoạt động là một quarantined tài nguyên. If RRAS is configured to use the Windows authentication provider, then RRAS uses Active Directory or an NT 4 domain (remember, RRAS máy phục vụ cần chỉ ra nên chạy Windows Server 2003; ) is authenticate users and look at their account properties. If RRAS is configured to use RADIUS, then RADIUS server must be a IAS server 2003 server. Incidentally, IAS also uses Active Directory or an NT domain to authenticate users and look at their account properties. Configuring RRAS
& nbsp; Configure attributes to be quarantinedNow, you need to actually configure the attributes that will be assigned to the quarantined session. & nbsp;
Creating Exceptions to the RuleWhile it is certainly advantageous to have all users connected through a quarantined session until their configurations can be verified, there may be logistical or political problems within your organization that mitigate this requirement. Nếu so, this simplest cách excuse a người dùng hoặc nhóm của người dùng trong quarantine để tạo một nhóm bảo mật Execute với Active Directory. The group should this be the ones that do not participate in the quarantining procedure. Sử dụng nhóm, tạo tùy chọn policy bên ngoài tùy chọn bên ngoài với cấu hình giống như bảo mật. This time, though, do not add or configure either the MS-Quarantine-IPFilter or the MS-Quarantine-Session-Timeout attributes. Khi địa phương sách đã được tạo, hành động policy để áp dụng cho nhóm đã so sánh được nó được Đánh dấu trước khi bảo mật policy mà quarantines everyone else. Extending Functionality with ISA Server 2004Quarantine Control for ISA Server 2004 works with Routing and Remote Access service, as described earlier in this article. Lỗi main in lies in fact with ISA Server, bạn có thể bạn muốn mật khẩu để đăng nhập được gán cho Quarantined VPN Clients network in ISA, với một liên kết đường dẫn chính xác, khi kết nối bộ quản lý The desktop passes a message to the ISA. Like the vanilla NAQC technique, ISA quarantining does rely on Connection Manager profiles and requires a scripting baseline to be developed that is custom to your environment. Within ISA Server 2004, you have two options with regard to configuring quarantine functionality: you can enable quarantining using the Routing and Remote Access Service, which requires Windows Server 2003. Using this method, the quarantined clients go through normal authentication and integrity checks. Bystanding and ISA Server let them join the regular VPN Clients network, as seen inside the ISA Server interface, only when they've passed the check. You can also enable quarantining through ISA Server itself, and clients can make use of the integrated Quarantined VPN Clients network and any firewall policies associated therewith. Lệnh của bạn này có thể sử dụng quarantining trên máy phục vụ ISA Server, không phải những người dùng với Windows Server 2003 đã cài đặt. ISA Server quarantining supports a more robust timeout feature, allowing clients to remain in the Quarantined VPN network for a specific number of seconds before being disconnected, and it also allows an exception list, which allows you to identify users (via Active Directory or A RADIUS server) that should not be quarantined no matter what. The listening components have been upgraded specifically for ISA Server support and are available in the ISA Server 2004 Resource Kit, which can be obtained from the Microsoft site. To enable quarantining with ISA Server: & nbsp;
Yay you have completed these steps, from the ISA Server 2004 Resource Kit find the ConfigureRQSforISA.vbs script and run it. This will automatically create an access rule within ISA that will allow traffic to pass on port 7250 from both VPN Clients and Quarantined VPN Clients networks to Local hosts. Đây là con vigorous, vì thông báo thông báo từ máy khách đã có khả năng kiểm tra và có quyền được chuyển tới thông tin mạng được gửi vào cổng này. You might also consider establishing the access rules for the Quarantined VPN Clients network that do the following: & nbsp;
ConclusionIn this article, I've discussed the quarantine using services included in Windows Server 2003 and its associated resource kits and feature packs, and I've also touched on extended quarantine functionality within ISA Server. Thử sử dụng những trợ giúp này sẽ giúp đỡ bạn sẽ tắt thu nhỏ con bị xa xa. |
About the author Jonathan Hassell an an expert and consultant specializing in Windows administration and security. Người dùng Quản lý của Windows Server 2003 và RADIUS, both published by O'Reilly & Associates, and Windows Hardening , published by Apress. He also holds periodic public seminars; see www.hardeningwin.com for details. He has written for Windows & amp; .NET Magazine and WindowsITSecurity.COM and is a contributor to PC Pro, a leading computer magazine in the United Kingdom. |