Windows - Network Access Quarantine Control

A távoli magánhálózat elérést teszi biztonságosabbá és védettebbé ez a szolgáltatás, ami garantálja, hogy csak olyan gép kapcsolódhat távolról a hálózatba, amelyre a megfelelő csoportházirend objektumok érvényesek. Ellenkező esetben csak időben és/vagy hálózati szolgáltatásokban korlátozott kapcsolatunk lesz.
Tipikus távoli elérést megvalósító protokollok csupán a felhasználó hitelesítési információit érvényesítik, azonban a számítógép, amelyet a kapcsolódásra használunk gyakran úgy éri el a magánhálózatot, hogy konfigurációja nem egyezik meg a hálózat csoportházirendjével. Például egy távoli felhasználó hitelesítési információkkal képes kapcsolódni a hálózathoz olyan számítógéppel, aminek nincsenek meg a következők:
  • Megfelelő szervizcsomag vagy a legfrissebb biztonsági frissítések telepítése.
  • Megfelelő vírusirtó szoftver, és aláírás fájlok telepítése.
  • Kikapcsolt útválasztás. Egy távoli kliens gép bekapcsolt útválasztással biztonsági kockázatot jelenthet, alkalmat teremtve rosszindulatú felhasználóknak, hogy elérjék a céges hálózati erőforrásokat a kliens gépen keresztül, amelynek azonosított kapcsolata van a magánhálózatra.
  • Tűzfal program telepítése és aktiválása az Internet csatolóra.
  • Egy jelszóval védett képernyővédő elégséges várakozási idővel.
A szervezeten belüli biztosítása annak, hogy a felhasználók otthoni számítógépei - amelyekről a távoli elérést használják - megfeleljenek a csoportházirendnek, a megtett erőfeszítések ellenére még jelentős kockázatot jelent.
A Network Access Quarantine Control – új szolgáltatása a Windows 2003 szervercsaládnak – késlelteti a hálózat hagyományos távoli elérését, amíg a távoli gép konfigurációját meg nem vizsgálta és igazolta a rendszergazda által közzétett script. Amikor a távoli gép kezdeményez egy kapcsolatot a távoli szerverhez, a felhasználó azonosítása megtörténik és a távoli gép kap egy IP címet. Ekkor azonban a kapcsolat izolált, karanténba helyezett módba kerül, amelyben a hálózat elérése korlátozott. A rendszergazda script-je lefut a távoli felhasználó gépén. Amikor a script értesíti a távoli szervert, hogy rendben lefutott, és a felhasználó gépe megfelel a csoportházirendben foglaltaknak, akkor a karantén mód törlődik, és a felhasználó gépe számára engedélyezetté válik a normál távoli elérés.
A karantén megszorítások, amelyek az egyéni távoli kapcsolatokon alapulnak a következőkből állnak:
  • Csomagszűrők csoportja, amelyek korlátozzák a forgalmat a kliens és szerver között.
  • Karantén session időzítő, amely korlátozza a felhasználó kapcsolatának idejét ebben a módban.
Bármelyik megszorítást használhatjuk, mindegyiket is egyszerre, ha szükséges.
A hálózat elérésének izolációs ellenőrzése nem egy biztonsági megoldás. Ezt arra tervezték, hogy segítsen visszatartani a magánkapcsolattól azokat a számítógépeket, amelyek biztonsági beállításai hiányosak, nem a hálózat védelmére szolgál rosszindulatú felhasználók ellen, akik megfelelhetnek ezeknek a biztonsági követelményeknek.
A szolgáltatás komponensei
  • Karantén kompatibilis távoli kliens
  • Karantén kompatibilis távoli kiszolgáló
  • Karantén kompatibilis RADIUS kiszolgáló
  • Karantén erőforrások
  • Felhasználói fiókok adatbázisa
  • Karantén távoli elérés házirendje
A szolgáltatás működése
  • A felhasználó, a saját karantén kompatibilis kliens gépén (minimum Windows 98) használja a telepített karantén CM (Connection Manager) profilt, hogy kapcsolódjon a kiszolgálóhoz.
  • A kliens átadja az azonosítási információkat a kiszolgálónak.
  • A RRAS service küld egy RADIUS hozzáférés-kérés üzenetet az IAS (Internet Authentication Service) szervernek.
  • Az IAS szerver igazolja a kliens azonosítási információit, azokat érvényesnek fogadja el, és ellenőrzi a távoli elérés házirendjét. A kapcsolat megpróbálja megfeleltetni a karantén házirendet.
  • A kapcsolatra érvényesülnek a karantén korlátozások. Az IAS szerver küld egy RADIUS hozzáférés-kérés üzenetet, ami tartalmazza az MS-Quarantine-IPFilter és MS-Quarantine-Session-Timeout attribútumokat, többek között. Ez a példa feltételezi, hogy mindkét attribútum konfigurált a megfelelő távoli elérés házirendben.
  • A távoli kliens és kiszolgáló létrehozza a távoli kapcsolatot, ami egy IP cím kiosztását és egyéb konfigurációs adatok küldését jelenti.
  • A RRAS service beállítja a MS-Quarantine-IPFilter és MS-Quarantine-Session-Timeout beállításokat a kapcsolaton. Ezen a ponton a kliens csak olyan adatforgalmat bonyolíthat le, ami megfelel a karantén szűrőnek és van néhány másodperce, ami az MS-Quarantine-Session-Timeout beállításban szerepel, hogy értesítse a szervert arról, hogy a script rendben lefutott.
  • A CM profil futtatja a karantén scriptet, mint egy kapcsolat utáni műveletet.
  • A karantén script lefut, és ellenőrzi, hogy a távoli kliens gép konfigurációja megfelel-e a csoportházirendnek. Ha minden teszt erre vonatkozólag lefutott, a script elindítja az Rqc.exe fájlt, parancssori paraméterekkel, az egyik egy szöveges string a karantén script verziójáról a CM profilon belül.
  • Rqc.exe küld egy értesítést a távoli szervernek, jelezve, hogy a script rendben lefutott. Az értesítés tartalmazza a karantén script verzióját string-ben.
  • Az értesítést a figyelő komponens észleli (Rqs.exe). Az értesítési adatforgalom biztosított, hiszen engedélyezve lett a karantén konfigurációjában.
  • A figyelő komponens ellenőrzi a script verziót, ami a registry-ben beállított érték és visszaküld egy üzenetet, ami azt tartalmazza, hogy a verzió valós, vagy valótlan.
  • Ha a verzió valós, a figyelő komponens meghívja az MprAdminConnectionRemoveQuarantine() API-t, ami arra készteti az RRAS szervizt, hogy törölje az MS-Quarantine-IPFilter és MS-Quarantine-Session-Timeout beállításokat a kapcsolatról és állítsa be a normál kapcsolathoz szükséges környezetet. Ezen a ponton a távoli kliensnek normál elérése van az internethez.
  • A figyelő komponens létrehoz egy esemény leírást, a karantén kapcsolatról a rendszer eseménynaplójában.