Карантинное управление доступом к сети в Server 2003: что это такое и как оно повышает безопасность?

Несмотря на свое несколько эзотерическое название, карантинный контроль работает довольно просто и предоставляет администраторам возможность осуществлять такой же контроль над клиентами удаленного доступа, как и над компьютерами во внутренней локальной сети. В этой статье мы рассмотрим, что именно делает контроль карантина доступа к сети, как он это делает, а также рассмотрим, как вы можете использовать его для повышения безопасности вашего сервера удаленного доступа Windows и сети.

Что делает карантинный контроль?

Карантинный контроль доступа к сети (NAQC) позволяет указать условия конфигурации, которым должны соответствовать компьютеры, подключающиеся к сети удаленно, и гарантировать, что удаленным системам не будет предоставлен доступ до тех пор, пока они не будут проверены на соответствие этим условиям. О каких условиях идет речь? Те же самые, которые могут быть применены политикой во внутренней сети; например, для доступа к удаленным компьютерам может потребоваться установка определенного пакета обновлений или обновленных исправлений безопасности. Другие условия могут включать положения о том, что должны быть установлены определенные антивирусные программы и должны быть обновлены определения вирусов, включено программное обеспечение брандмауэра, отключена маршрутизация и т. д.

Как работает карантинный контроль?

Когда удаленный компьютер звонит или подключается через VPN к серверу удаленного доступа Windows Server 2003, по умолчанию проверяются только учетные данные пользователя (имя учетной записи и пароль), чтобы определить, разрешен ли доступ. Это означает, что компьютер, который не соответствует требованиям политики сети, все равно может подключаться к серверу RAS и сети из удаленного места. При развертывании управления карантином после аутентификации учетных данных пользователя соединение помещается в «карантин». В режиме карантина компьютер имеет IP-адрес и имеет ограниченный доступ к некоторым сетевым ресурсам (называемым ресурсами карантина), таким как DNS-сервер и, возможно, файловый сервер или веб-сервер, с которого он может загружать файлы, необходимые для соблюдения политик или где пользователь может получить дополнительную информацию, но не может получить доступ к остальной части сети.

Чтобы использовать управление карантином, сервер RAS Windows Server 2003 должен быть настроен с компонентом «слушателя» (обычно это файл Rqs.exe из набора ресурсов Windows Server 2003), а также фильтрами MS-Quarantine-IPFilter и MS-Quarantine- Атрибуты поставщика Session-Timeout. Сервер RADIUS не является обязательным. Политика удаленного доступа для карантина должна быть настроена с учетом условий, которым должны соответствовать удаленные клиенты.

Кроме того, удаленные клиенты должны работать под управлением одной из следующих операционных систем: Server 2003, XP Professional или Home, Windows 2000 Pro или Server, Windows 98SE или Windows ME. Клиент должен подключиться с помощью профиля диспетчера подключений, специально настроенного для запуска сценария (в качестве действия после подключения), который проверяет конфигурацию компьютера на соответствие политике. Скрипт представляет собой.exe или пакетный файл. Профиль CM также содержит «уведомитель» (обычно это файл Rqc.exe из комплекта ресурсов Windows Server 2003). Эта программа уведомляет компонент прослушивателя сервера удаленного доступа Windows Server 2003 о том, что сценарий был запущен и обнаружил, что клиент соответствует требованиям. Затем сервер удаленного доступа предоставляет полный доступ.

ПРИМЕЧАНИЕ. Если у вас есть удаленные клиенты, которые не могут использовать диспетчер подключений (например, клиенты Windows 95) или которых вы хотите исключить из политики карантина, вам потребуется создать отдельные группы для карантинных и некарантинных клиентов. Затем вы можете настроить политику удаленного доступа, которая не использует ограничения карантина, и применить ее к группе, не находящейся в карантине. Также обратите внимание, что беспроводные клиенты не могут быть клиентами карантина.

Если клиент не соответствует требованиям, сценарий может отправить пользователя на веб-страницу, содержащую инструкции о том, как обеспечить соответствие, и пользователь может получить доступ к файловому серверу, который был создан в качестве ресурса карантина для файлов, необходимых для соответствия. Эти ресурсы карантина (DNS, WINS, веб- и/или файловые серверы, доступные помещенным в карантин компьютерам) задаются путем настройки отдельных фильтров пакетов в политике удаленного доступа к карантину или путем размещения всех ресурсов карантина в собственной подсети и настройки одного входа или выходной фильтр для всех ресурсов.

Как ты это используешь?

Осторожно — развертывание NAQC не для слабонервных. Вам потребуется хорошее понимание служб удаленного доступа, вам нужно будет знать, как использовать комплект администрирования диспетчера подключений (CMAK) для создания профилей клиентских подключений, а также вам понадобятся некоторые знания в написании сценариев для создания сценариев или пакетов. файлы, которые запускаются для проверки соответствия вашим политикам. Вот шаги, необходимые для использования карантинного контроля:

1. Во-первых, вам нужно создать ресурсы карантина, которые будут доступны вашим удаленным клиентам, находящимся в карантине, и настроить фильтры пакетов, чтобы разрешить доступ.
   
2. Создайте сценарий, который будет запускаться профилем диспетчера подключений, чтобы убедиться, что удаленные клиенты соответствуют условиям политики.
   
3. Настройте серверы RAS Windows Server 2003, установив прослушиватель Rqs.exe (или ваш собственный компонент прослушивателя) с помощью Rqs_setup.bat из Resource Kit.
   
4. Настройте профиль для диспетчера подключений (с помощью CMAK), который запускает сценарий как действие после подключения и содержит уведомитель (Rqc.exe или ваш собственный) в качестве дополнительного файла.
   
5. Установите профиль CM (который представляет собой исполняемый файл) на удаленных клиентских системах, которые будут помещены в карантин. Вы также должны разместить профиль на веб-сайте, который является карантинным ресурсом, чтобы клиенты, помещенные в карантин, могли загрузить последний профиль.
   
6. Создайте политику удаленного доступа для карантина с помощью консоли RRAS (или консоли IAS для серверов RADIUS/IAS). Политика должна иметь атрибуты MS-Quarantine-Session-Timeout и MS-Quarantine-IPFilter, добавленные на лист дополнительных свойств профиля политики.

Выше приведен обзор шагов, необходимых для настройки NAQC. Более подробные инструкции см. в официальном документе (документ Word, который можно загрузить) на веб-сайте Microsoft по адресу: http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx. Документ содержит пример сценария и инструкции для альтернативных конфигураций.

Резюме

Карантин контроля доступа к сети — это новый мощный инструмент для вашего арсенала безопасности, но его развертывание — это не просто установка нескольких флажков. Это сложный процесс, который включает в себя создание ресурсов карантина, написание сценария для проверки конфигурации удаленных машин, установку прослушивателя на сервере удаленного доступа Windows Server 2003, использование CMAK для создания профиля диспетчера подключений, включающего сценарий и уведомитель, а также установка его на клиентские компьютеры и создание карантинной политики удаленного доступа. Однако, если вы сможете выполнить все шаги, NAQC может дать вам больший контроль над вашими системами удаленного доступа, чем когда-либо, гарантируя, что они соответствуют политикам, регулирующим состояние компьютеров, которым разрешено подключаться к вашей сети.