Управление на карантината за достъп до мрежата (част 1 от 2)

Най-лесният и най-често срещаният начин за злонамерени потребители на интернет и зловреден софтуер да проникнат във вашата мрежа не се използват пропуски във филтъра или пароли за насилствено насилване, а прихващане на връзката на потребителите на вашето мобилно устройство, когато те се свържат с вашата мрежа, докато са в командировка или извън офиса.

Нека се опитаме да разберем защо. Повечето отдалечени потребители се удостоверяват въз основа на идентичността на потребителското име и паролата; не се предприемат стъпки за тестване на техния хардуер и софтуер спрямо специфични изисквания. Отдалечените потребители може да не спазват следните правила за сигурност:

  • Наличност на най-новия сервизен пакет и/или корекции за сигурност.
  • Инсталиран е и работи унифициран антивирусен софтуер и се актуализират вирусните бази данни.
  • Деактивирано мрежово или интернет маршрутизиране.
  • Инсталирана е вградена или друга защитна стена, работеща и активно защитаваща портовете на компютъра.

Може би си мислите, че всички подчинени системи следват определена политика, но в миналото мобилните потребители обикновено са били забравяни или са правили изключение за тях. Windows Server 2003 обаче включва нова функция в своя ресурсен комплект, наречена Управление на карантината за мрежов достъп, която ви позволява да филтрирате връзки от отдалечени потребители, ако техните системи не отговарят на изискванията за сигурност или нямат последната актуализация.

Как работи карантината за уеб достъп

За да използвате NAQC, вашите отдалечени компютри трябва да имат правилната операционна система: Windows 98 Second Edition, Windows Millennium Edition, Windows 2000 или Windows XP Home или Professional. Тези версии на Windows поддържат модул за връзка, съдържащ информация за връзката, основен скрипт и предупредителен компонент, който може да бъде създаден с помощта на Connection Manager Administration Kit (CMAK). Освен това ще ви е необходима поне една система Windows Server 2003 с тестван слушател за тази статия, ако приемем, че това е услугата за отдалечен достъп до карантина (RQS.EXE) от Windows Server 2003 Resource Kit. И накрая, ще ви е необходим RADIUS сървър, съвместим с NAQC, като услуга за удостоверяване на интернет в Windows Server 2003, за да ограничите мрежовия достъп.

Преглед стъпка по стъпка NAQC

Ето подробна диаграма за това как работят процесите на свързване и карантина, ако приемем, че използвате RQC.EXE като клиент и RQS.EXE като сървър.

В този раздел ще ви насоча директно към инсталирането на NAQC във вашата мрежа. Може да се раздели на шест етапа:

Създаване на изолирани ресурси

Има два начина за дефиниране и използване на изолирани ресурси. Първият е да идентифицирате конкретни сървъри във вашата мрежа като изолирани ресурси, независимо от тяхното физическо и мрежово местоположение. Това ще ви позволи да използвате съществуващ компютър за организиране на карантина, но ще трябва да създадете индивидуален филтър за всеки такъв компютър.

Как да напиша основен скрипт

Следващата стъпка е да напишете основен скрипт, който ще се изпълнява от клиента. Всяка организация има свой собствен подход към решаването на този проблем, но скриптът трябва да изпълнява RQC.EXE след проверка на съвместимостта с карантината и да съдържа следните параметри:

rqc ConnName TunnelConnName TCPPort Домейн Потребителско име ScriptVersion

Горните аргументи са обяснени допълнително:

  • Аргументът ConnName е името на модула за връзка на отдалечения компютър, най-често стойността на променливата на профила за набиране% DialRasEntry%.
  • Аргументът TunnelConnName е името на тунелния модул на отдалечения компютър, най-често стойността на променливата на профила за набиране% TunnelRasEntry%.
  • Аргументът TCPPort е, разбира се, номерът на порта, използван от алармиращия компонент. По подразбиране е 7250.
  • Аргументът Domain е домейнът на Windows на отдалечения потребител, най-често стойността на променливата на профила за набиране% Domain%.
  • Аргументът за потребителско име, както се досещате, е името на отдалечения потребител, това е стойността на променливата на потребителския профил% UserName%.
  • Аргументът ScriptVersion е текстов низ, съдържащ версията на скрипта, която трябва да се провери с RRAS сървъра. Можете да използвате произволен набор от символи на клавиатурата с изключение на/0.