ПримЕчАниЕ

Данная возможность присутствует в Windows 2003 Server. В Windows 2008 используется несколько другая технология - NAP (описана в главе 9).

Если компьютеры локальной сети находятся "под присмотром" администратора, то о состоянии систем, подключаемых средствами удаленного доступа, можно только предполагать. В результате, например, спамеры начинают активно использовать такие компьютеры: на них существенно проще установить программу-троян и заставить почтовую систему организации пересылать спам. Поскольку удаленный пользователь успешно регистрируется в системе, то почтовый сервер будет принимать от него для рассылки любую корреспонденцию. Поэтому естественно желание администраторов каким-то образом проконтролировать удаленную систему перед подключением.

В сервере маршрутизации и удаленного доступа присутствует возможность такой проверки. Происходит это следующим образом: при подключении удаленного клиента сервер проверяет политику доступа, и если установлены требования проверки клиента, то подключает систему и временно помещает ее в карантин. На клиенте в это время запускается программа, проверяющая выполнение определенных администратором условий. Результат проверки сообщается серверу удаленного доступа, который принимает решение отключить клиента или предоставить ему полный доступ в сеть.

Для выполнения таких действий необходимо установить службу карантина, которая входит в состав пакета Resource Kit Tools для Windows Server 2003 (бесплатно загружается с сервера Microsoft). Установка выполняется запуском файла rqs_setup.bat, который создает на компьютере службу Remote Access Quarantine Service. После установки службы необходимо добавить в реестр параметр AllowedSet (тип REG_MULTI_SZ) со значением в виде версий сценариев, которые будут запускаться на клиентах.

Далее следует создать сценарий (профиль) удаленного входа клиента. Удобно использовать компонент Connection Manager Administration Kit (CMAK), входящий в состав сервера (установка через компоненты Windows в составе Management and Monitoring Tools). После запуска CMAK следует выбрать опцию создания нового профиля, дать ему имя1 и создать New Custom Action. Именно эта настройка будет описывать параметры карантина.

В окне настройки New Custom Action следует указать программу (сценарий), который будет запускаться на клиенте. Эта программа может использовать ряд переменных, которые будут ей переданы системой (полный список доступен в онлайновой справке CMAK). Минимально в строке Parameters нужно указать:

%DialRasEntry% (имя удаленного подключения/службы);

%TunnelRasEntry% (имя туннельного подключения);

%Domain% (название домена, к которому осуществляется подключение);

%UserName% (имя пользователя);

%ServiceDir% (путь к папке профиля).

Параметр Action Type следует установить в значение Post-connect, а Run this custom action for: - в значение All connections. Далее проверить, что установлены (отмечены флажками) параметры Include the custom action program with this service profile и Program interacts with the user, и сохранить изменения. Затем на вкладке Additional Files следует указать те файлы, которые необходимо иметь пользователю. Это, во-первых, программа карантина для клиента (rqc.exe), во-вторых - та программа (сценарий), которая будет запускаться на стороне пользователя.

После завершения работы мастер настроит профиль CMAK. Полученные в результате файлы будут сохранены в папке %SYSTEMDRIVE%\Program Files\ CMAK\Profiles\<UMtf профиля, данное при его создании>. Файл с именем, указанным вами при настройке CMAK, и с расширением exe необходимо передать пользователям, которые должны будут запустить его у себя для создания профиля подключения.

После настройки параметров подключения для клиента администратору системы необходимо создать политику удаленного доступа, которая определит параметры карантина, а именно: назначить время карантина (период ожидания сервером ответа от клиента перед его отключением) и IP-фильтры, которые должны ограничить доступ клиента к ресурсам сети во время карантина.

Настройка времени ожидания выполняется в меню редактирования профиля политики в разделе Advanced. В этом окне следует добавить атрибут с вендором Microsoft и названием MS-Quarantine-Session-Timeout. Значение этого параметра следует установить равным максимально допустимому периоду ожидания в секундах.

Второй возможный атрибут - это MS-Quarantine-IPFilter. После его добавления в свойствах следует выбрать те фильтры, которые должны быть активизированы на время карантина. Минимально необходимо разрешить входящий и исходящий трафик по порту 7252 (TCP). Этот порт по умолчанию используют программы карантина rqc/rqs. Необходимость открытия других портов определяется администратором (например, если нужно разрешить в это время использование DNS, то следует разрешить UDP 53 и т. п.).

Примечание

Network Access Quarantine Control (NAQC) может использоваться при подключении операционных систем Windows 98 SE/ME/2000/XP/Server 2003.

В случае разрыва канала... | Самоучитель системного администратора | Контроллер домена только для чтения


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31