Обзор управления карантином

Функция управления карантином обеспечивает поэтапный доступ к сети для удаленных клиентов, которые также называются клиентами виртуальной частной сети (VPN); для этого перед доступом к сети они пропускаются через карантин. После приведения конфигурации клиентского компьютера в соответствие с действующими в организации карантинными требованиями к соединению применяется стандартная политика VPN согласно выбранному типу карантина. Карантинные ограничения, в частности, могут предусматривать обязательную установку на компьютере и работу антивирусного ПО при подключении к сети. Функция управления карантином не защищает от атак, однако перед предоставлением доступа к сети она предусматривает возможность подтверждения и, если это необходимо, исправления конфигураций компьютеров пользователей, прошедших проверку подлинности. Таймер позволяет установить период времени, по истечении которого в случае нарушения клиентом требований к конфигурации соединение разрывается.

В Microsoft ISA Server 2006 предусмотрено несколько способов включения карантинного режима:

Переход в карантинный режим при помощи политик RADIUS-сервера. Этот метод доступен только в случае установки ISA Server на компьютере под управлением операционной системы Microsoft Windows Server™ 2003. При выборе параметра Помещать в карантин в соответствии с политиками RADIUS-сервера в случае попытки VPN-клиента выполнить подключение ISA Server проверяет, должен ли этот клиент быть переведен в карантин. После выхода из карантина клиент безусловно присоединяется к сети VPN-клиентов.
Переход в карантинный режим средствами ISA Server. Этот метод предусматривает применение карантинной сети VPN-клиентов, для которой может быть настроена политика межсетевого экрана. Для работы этого метода не нужна функция Маршрутизация и удаленный доступ, а потому он доступен на компьютерах с ISA Server под управлением Windows® 2000 Server.

При желании можно отключить карантинный режим.

Инструкции см. в разделе Включение управления карантином.

Управление карантином позволяет контролировать соблюдение VPN-клиентами установленных в организации требований по безопасности. Следует иметь в виду, что при отключенном карантинном режиме все удаленные VPN-клиенты с надлежащими разрешениями проверки подлинности присоединяются к сети VPN-клиентов, а значит, получают те же права доступа, что и другие участники этой сети, согласно существующей политике межсетевого экрана.

Сочетание функции управления карантином с маршрутизацией и удаленным доступом ISA Server позволяет ограничивать доступ VPN-клиентов в корпоративную сеть. ISA Server позволяет в обязательном порядке присоединять недавно подключенных VPN-клиентов к карантинной сети VPN-клиентов и распространять на них ограничительную политику межсетевого экрана; так продолжается до тех пор, пока диспетчер подключений не подтвердит соответствие клиента требованиям принятой в организации политики подключений.

Функция управления карантином работает с профилем диспетчера подключений, созданным для VPN-клиентов. Профили диспетчера подключений создаются с помощью пакета администрирования диспетчера подключений в составе Windows Server 2003 и Windows 2000 Server. Профиль диспетчера подключений состоит из следующих элементов:

Операция запуска после подключения клиента сценария, вводящего в действие требования политики; эта операция настраивается одновременно с созданием профиля диспетчера подключений с помощью пакета администрирования диспетчера подключений.
Сценарий применения требований сетевой политики, который для подтверждения соответствия сетевым политикам проводит проверку удаленного клиента. Такой сценарий может существовать в виде специального EXE-файла или простого командного файла (называемого также пакетным файлом). После успешного завершения сценария, подтвердившего соответствие подключаемого компьютера всем требованиям сетевой политики, запускается уведомитель (EXE-файл) с соответствующими параметрами. Если сценарий не подтвердил соответствия требованиям политики, клиент перенаправляется на карантинный ресурс (например на внутреннюю веб-страницу) с описанием процесса установки компонентов, необходимых для соблюдения положений политики.
Уведомитель — это компонент, отправляющий компьютеру ISA Server с поддержкой карантина сообщение об успешном исполнении сценария. Уведомитель может быть разработан специально, однако в составе Windows Server 2003 Resource Kit есть готовый исполняемый модуль Rqc.exe. Если эти компоненты установлены, то в ходе настройки подключения удаленный клиентский компьютер проверяет соответствие требованиям сетевой политики при помощи профиля диспетчера подключений и сообщает о результатах компьютеру ISA Server.

Примечание

Чтобы получить возможность организации VPN-подключений на основе политик ISA Server, необходимо отключить функцию карантина в политиках удаленного доступа. Последние могут храниться на RADIUS-сервере или в системе поставщика проверки подлинности Windows. Выполните следующие действия:
1. Откройте "Управление компьютером" и раскройте узел Маршрутизация и удаленный доступ.
2. Выберите Политики удаленного доступа.
3. Откройте окно свойств выбранной политики двойным щелчком мыши на ее записи в области сведений, после чего нажмите кнопку Изменить профиль.
4. Перейдите на вкладку Дополнительно и удалите из списка атрибутов записи MS-Quarantine-IPFilter и MS-Quarantine-Session-Timeout.

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server Guidance.

Отправить замечания или отзыв об этой странице.

Перевести на английский