Windows - Network Access Quarantine Control

Tipikus távoli elérést megvalósító protokollok csupán a felhasználó hitelesítési információit érvényesítik, azonban a számítógép, amelyet a kapcsolódásra használunk gyakran úgy éri el a magánhálózatot, hogy konfigurációja nem egyezik meg a hálózat csoportházirendjével. Például egy távoli felhasználó hitelesítési információkkal képes kapcsolódni a hálózathoz olyan számítógéppel, aminek nincsenek meg a következők:

Megfelelő szervizcsomag vagy a legfrissebb biztonsági frissítések telepítése.
Megfelelő vírusirtó szoftver, és aláírás fájlok telepítése.
Kikapcsolt útválasztás. Egy távoli kliens gép bekapcsolt útválasztással biztonsági kockázatot jelenthet, alkalmat teremtve rosszindulatú felhasználóknak, hogy elérjék a céges hálózati erőforrásokat a kliens gépen keresztül, amelynek azonosított kapcsolata van a magánhálózatra.
Tűzfal program telepítése és aktiválása az Internet csatolóra.
Egy jelszóval védett képernyővédő elégséges várakozási idővel.

A szervezeten belüli biztosítása annak, hogy a felhasználók otthoni számítógépei - amelyekről a távoli elérést használják - megfeleljenek a csoportházirendnek, a megtett erőfeszítések ellenére még jelentős kockázatot jelent.

A Network Access Quarantine Control – új szolgáltatása a Windows 2003 szervercsaládnak – késlelteti a hálózat hagyományos távoli elérését, amíg a távoli gép konfigurációját meg nem vizsgálta és igazolta a rendszergazda által közzétett script. Amikor a távoli gép kezdeményez egy kapcsolatot a távoli szerverhez, a felhasználó azonosítása megtörténik és a távoli gép kap egy IP címet. Ekkor azonban a kapcsolat izolált, karanténba helyezett módba kerül, amelyben a hálózat elérése korlátozott. A rendszergazda script-je lefut a távoli felhasználó gépén. Amikor a script értesíti a távoli szervert, hogy rendben lefutott, és a felhasználó gépe megfelel a csoportházirendben foglaltaknak, akkor a karantén mód törlődik, és a felhasználó gépe számára engedélyezetté válik a normál távoli elérés.

A karantén megszorítások, amelyek az egyéni távoli kapcsolatokon alapulnak a következőkből állnak:

Csomagszűrők csoportja, amelyek korlátozzák a forgalmat a kliens és szerver között.
Karantén session időzítő, amely korlátozza a felhasználó kapcsolatának idejét ebben a módban.

Bármelyik megszorítást használhatjuk, mindegyiket is egyszerre, ha szükséges.

A hálózat elérésének izolációs ellenőrzése nem egy biztonsági megoldás. Ezt arra tervezték, hogy segítsen visszatartani a magánkapcsolattól azokat a számítógépeket, amelyek biztonsági beállításai hiányosak, nem a hálózat védelmére szolgál rosszindulatú felhasználók ellen, akik megfelelhetnek ezeknek a biztonsági követelményeknek.

A szolgáltatás komponensei

Karantén kompatibilis távoli kliens
Karantén kompatibilis távoli kiszolgáló
Karantén kompatibilis RADIUS kiszolgáló
Karantén erőforrások
Felhasználói fiókok adatbázisa
Karantén távoli elérés házirendje

A szolgáltatás működése

A felhasználó, a saját karantén kompatibilis kliens gépén (minimum Windows 98) használja a telepített karantén CM (Connection Manager) profilt, hogy kapcsolódjon a kiszolgálóhoz.
A kliens átadja az azonosítási információkat a kiszolgálónak.
A RRAS service küld egy RADIUS hozzáférés-kérés üzenetet az IAS (Internet Authentication Service) szervernek.
Az IAS szerver igazolja a kliens azonosítási információit, azokat érvényesnek fogadja el, és ellenőrzi a távoli elérés házirendjét. A kapcsolat megpróbálja megfeleltetni a karantén házirendet.
A kapcsolatra érvényesülnek a karantén korlátozások. Az IAS szerver küld egy RADIUS hozzáférés-kérés üzenetet, ami tartalmazza az MS-Quarantine-IPFilter és MS-Quarantine-Session-Timeout attribútumokat, többek között. Ez a példa feltételezi, hogy mindkét attribútum konfigurált a megfelelő távoli elérés házirendben.
A távoli kliens és kiszolgáló létrehozza a távoli kapcsolatot, ami egy IP cím kiosztását és egyéb konfigurációs adatok küldését jelenti.
A RRAS service beállítja a MS-Quarantine-IPFilter és MS-Quarantine-Session-Timeout beállításokat a kapcsolaton. Ezen a ponton a kliens csak olyan adatforgalmat bonyolíthat le, ami megfelel a karantén szűrőnek és van néhány másodperce, ami az MS-Quarantine-Session-Timeout beállításban szerepel, hogy értesítse a szervert arról, hogy a script rendben lefutott.
A CM profil futtatja a karantén scriptet, mint egy kapcsolat utáni műveletet.
A karantén script lefut, és ellenőrzi, hogy a távoli kliens gép konfigurációja megfelel-e a csoportházirendnek. Ha minden teszt erre vonatkozólag lefutott, a script elindítja az Rqc.exe fájlt, parancssori paraméterekkel, az egyik egy szöveges string a karantén script verziójáról a CM profilon belül.
Rqc.exe küld egy értesítést a távoli szervernek, jelezve, hogy a script rendben lefutott. Az értesítés tartalmazza a karantén script verzióját string-ben.
Az értesítést a figyelő komponens észleli (Rqs.exe). Az értesítési adatforgalom biztosított, hiszen engedélyezve lett a karantén konfigurációjában.
A figyelő komponens ellenőrzi a script verziót, ami a registry-ben beállított érték és visszaküld egy üzenetet, ami azt tartalmazza, hogy a verzió valós, vagy valótlan.
Ha a verzió valós, a figyelő komponens meghívja az MprAdminConnectionRemoveQuarantine() API-t, ami arra készteti az RRAS szervizt, hogy törölje az MS-Quarantine-IPFilter és MS-Quarantine-Session-Timeout beállításokat a kapcsolatról és állítsa be a normál kapcsolathoz szükséges környezetet. Ezen a ponton a távoli kliensnek normál elérése van az internethez.
A figyelő komponens létrehoz egy esemény leírást, a karantén kapcsolatról a rendszer eseménynaplójában.