Exporteren (0) Afdrukken
Alles uitvouwen

Remote Access Quarantine

Wat doet Remote Access Quarantine?

Via Remote Access Quarantine kunnen netwerkbeheerders de configuratie van externe clientcomputers valideren voordat ze deze toegang verlenen tot het netwerk van een onderneming. Bij traditionele RAS-verbindingen worden alleen de referenties van de RAS-gebruiker in kwestie gevalideerd. De computer waarmee verbinding wordt gemaakt met een particulier netwerk heeft dus vaak zelfs toegang tot netwerkbronnen wanneer de configuratie ervan niet voldoet aan de netwerkbeleidsregels van de organisatie. Zo kan een RAS-gebruiker met geldige referenties bijvoorbeeld verbinding maken met een netwerk vanaf een computer die niet voldoet aan de volgende voorwaarden:

  • Het juiste Service Pack of de nieuwste beveiligingspatches zijn geïnstalleerd.
  • De juiste antivirussoftware en handtekeningbestanden zijn geïnstalleerd.
  • Routering is uitgeschakeld. Een RAS-clientcomputer waarop routering is ingeschakeld, kan een beveiligingsrisico vormen en een kwaadwillige gebruiker toegang verschaffen tot de netwerkbronnen van een onderneming via de clientcomputer die beschikt over een geverifieerde verbinding met het particuliere netwerk.
  • Firewallsoftware is geïnstalleerd en actief op de internetinterface.
  • Er wordt een schermbeveiliging gebruikt met een wachtwoord en een voldoende lange wachttijd.

Alle inspanningen ten spijt die organisaties zich getroosten om ervoor te zorgen dat computers die intern worden gebruikt, voldoen aan de netwerkbeleidsregels, kunnen de computers die medewerkers thuis gebruiken voor externe toegang nog steeds een groot risico vormen voor het netwerk.

Remote Access Quarantine, een nieuwe functie in Windows Server 2003 Service Pack 1, zorgt ervoor dat een computer via een RAS-verbinding pas toegang tot het particuliere netwerk krijgt wanneer de configuratie van de RAS-computer is onderzocht en gevalideerd met behulp van een script dat de beheerder heeft geconfigureerd (als onderdeel van de verbindingsinstellingen). Wanneer vanaf een RAS-computer verbinding wordt gemaakt met een RAS-server, wordt de gebruiker geverifieerd en wordt aan de RAS-computer een IP-adres toegewezen. De verbinding wordt echter in quarantaine geplaatst, waarbij de netwerktoegang wordt beperkt. Het door de beheerder geconfigureerde script wordt uitgevoerd op de RAS-computer. Wanneer de RAS-server na uitvoering van het script de melding ontvangt dat het script met succes is uitgevoerd en dat de RAS-computer voldoet aan de huidige netwerkbeleidsregels, worden de toegangsbeperkingen van de quarantainemodus opgeheven en worden de gebruikelijke rechten voor externe toegang toegewezen aan de RAS-computer.

De beperkingen die tijdens de quarantaine worden ingesteld voor de afzonderlijke RAS-verbindingen kunnen bestaan uit:

  • Een set quarantainepakketfilters die het verkeer aan banden leggen dat kan worden verzonden naar en ontvangen van een RAS-client die in quarantaine is geplaatst.
  • Een quarantainesessietimer die bepaalt hoe lang de in quarantaine geplaatste client verbonden kan blijven voordat de verbinding wordt verbroken.

U kunt desgewenst een van beide of beide beperkingen gebruiken. De beheerder kan de configuratie van de client ook corrigeren, bijvoorbeeld door het handtekeningbestand voor de antivirussoftware bij te werken via het validatiescript.

Voor deze oplossing op basis van RAS Quarantine zijn de volgende onderdelen vereist:

  • De Remote Access Quarantine-service (RQS of Listener) die moet worden uitgevoerd op de RRAS-server (Routing and Remote Access) die luistert naar verzoeken van de externe clients om de quarantainebeperkingen te verwijderen.
  • Een RADIUS-server (of de RRAS-server zelf) waarop een quarantainebeleid kan worden gedefinieerd waarmee IP-filters of sessietime-outs kunnen worden toegepast op externe verbindingen.
  • Een script voor configuratievalidatie waarmee wordt gecontroleerd of de RAS-clientcomputer voldoet aan de minimale beveiligingsrichtlijnen voor toegang tot het netwerk van de onderneming.
  • Een profiel voor Verbindingsbeheer dat is geconfigureerd voor uitvoering op de Remote Access Quarantine-client (RQC) als actie na totstandkoming van de verbinding op de externe client computer. Het Quarantine CM-profiel zorgt ervoor dat de validatiescripts worden bijgewerkt aan de hand van een door de beheerder opgegeven share-pad en dat de validatiescripts worden uitgevoerd. Als wordt voldaan aan de minimumvereisten die worden geverifieerd via de scripts, waarschuwt de RQC-client de RQS-server en wordt gevraagd de quarantainebeperkingen op te heffen.
  • RAS-clients die zo zijn geconfigureerd dat de RQC-client en het validatiescript worden uitgevoerd (gedistribueerd via het profiel voor Verbindingsbeheer).
CautionWaarschuwing
Remote Access Quarantine is geen beveiligingsoplossing. Deze functie is bedoeld om te voorkomen dat computers met onveilige configuraties verbinding maken met een particulier netwerk en niet om een particulier netwerk te beschermen tegen kwaadwillige gebruikers die de hand hebben weten te leggen op geldige referenties.

Op wie is deze functie van toepassing?

Deze functie is van toepassing op:

  • RAS-servers waarop Windows Server 2003 met Service Pack 1 wordt uitgevoerd.
  • RAS-clientcomputers die verbinding maken met het netwerk van een onderneming vanaf externe locaties en waarop Windows 2000 of Windows XP wordt uitgevoerd.
  • Netwerkbeheerders die de configuratie van clientcomputers willen valideren voordat ze deze toegang verlenen tot het netwerk van een onderneming.

Wat is het belang van deze wijziging?

RAS Quarantine stelt netwerkbeheerders in staat RAS-clients in quarantaine te plaatsen door VPN-toegang te verlenen tot beperkte onderdelen van het particuliere netwerk en geeft systeembeheerders de mogelijkheid te controleren of de computer voldoet aan de minimale beveiligingseisen. Wanneer is gebleken dat de computers voldoen aan de richtlijnen voor netwerktoegang, kunnen de quarantainebeperkingen worden opgeheven zodat normale toegang tot de netwerkbronnen mogelijk is.

Op die manier kunt u een particulier netwerk of ondernemingsnetwerk beschermen tegen het gevaar dat uitgaat van computers met onveilige configuraties die zich op externe locaties bevinden of geen lid zijn van het domein en daarmee buiten het gezichtsveld van de beheerder vallen.

Welke instellingen zijn in Windows Server 2003 Service Pack 1 toegevoegd of gewijzigd?

 

Naam van instelling Locatie Vorige standaardwaarde Standaardwaarde Mogelijke waarden

AllowedSet, REG_MULTI_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N.v.t.

RASQuarantineConfigPassed

N.v.t.

Port, REG_DWORD

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

n.v.t.

Niet ingesteld

Wanneer deze sleutel niet is ingesteld, luistert de server op poort 7250 naar clientmeldingen.

poortnummer waarop wordt geluisterd

Authenticator, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

n.v.t.

Niet ingesteld

NULL

Verifier, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

n.v.t.

Niet ingesteld

NULL

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft