Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Quarentena de Acesso Remoto

Qual a função da Quarentena de Acesso Remoto?

O controlo de Quarentena de Acesso Remoto permite que os administradores de rede validem a configuração dos computadores cliente remotos antes de estes poderem aceder à rede da empresa. As ligações de acesso remoto normais validam apenas as credenciais do utilizador de acesso remoto. Deste modo, o computador utilizado para ligar a uma rede privada pode, frequentemente, aceder a recursos da rede mesmo quando a respectiva configuração não cumpre a política de rede da organização. Por exemplo, um utilizador de acesso remoto com credenciais válidas pode ligar a uma rede utilizando um computador que não dispõe dos seguintes elementos:

  • O service pack correcto ou os últimos patches de segurança instalados.
  • O software antivírus e os ficheiros de assinaturas correctos instalados.
  • O encaminhamento desactivado. Um computador cliente de acesso remoto com o encaminhamento activado poderá constituir um risco de segurança, dando oportunidade a um utilizador mal intencionado para aceder aos recursos da rede da empresa através do computador cliente, que dispõe de uma ligação autenticada para a rede privada.
  • Software de firewall instalado e activo na interface da Internet.
  • Uma protecção de ecrã protegida por palavra-passe com um tempo de espera adequado.

Apesar dos esforços levados a cabo nas organizações para garantir que os computadores utilizados internamente cumprem a política de rede, os computadores utilizados domesticamente pelos funcionários para acesso remoto podem constituir um risco de segurança significativo para a rede.

A funcionalidade Quarantine de Acesso Remoto, nova no Windows Server 2003 Service Pack 1, retarda o acesso remoto normal a uma rede privada até que a configuração do computador de acesso remoto tenha sido examinada e validada por um script configurado pelo administrador (incluído nas definições de ligação). Quando um computador de acesso remoto inicia uma ligação a um servidor de acesso remoto, o utilizador é autenticado e é atribuído um endereço IP ao computador de acesso remoto. No entanto, a ligação é colocada no modo de quarentena, no qual o acesso à rede é limitado. O script configurado pelo administrador é executado no computador de acesso remoto. Quando o script notifica o servidor de acesso remoto de que foi executado com êxito e que o computador de acesso remoto cumpre as políticas de rede actuais, as restrições de acesso do modo quarantine são removidas e é concedido o acesso remoto normal ao computador de acesso remoto.

As restrições de quarantine para as ligações de acesso remoto individuais consistem no seguinte:

  • Um conjunto de filtros de pacote de quarentena que restringem o tráfego que pode ser enviado para e recebido de um cliente de acesso remoto em quarentena.
  • Um temporizador de sessão de quarentena que limita o período de tempo que o cliente pode estar ligado em modo de quarentena antes de ser desligado.

Pode utilizar uma das restrições, ou ambas, conforme necessário. Além disso, o administrador pode optar por ajudar o cliente a solucionar a configuração (por exemplo, actualizando o ficheiro de assinatura para o software antivírus) através do script de validação.

Os componentes necessários para esta solução Quarantine de Acesso Remoto incluem o seguinte:

  • O RQS (Remote Access Quarantine Service, Serviço de Quarentena de Acesso Remoto) ou Ponto de Escuta (Listener) que será executado no servidor RRAS (Routing and Remote Access Service, serviço de encaminhamento e acesso remoto) a escutar os pedidos provenientes de clientes remotos para remoção das restrições de quarentena.
  • Um servidor RADIUS (ou o próprio servidor RRAS) onde é possível definir uma política de quarentena para aplicar filtros IP ou tempos limite de sessão a ligações remotas.
  • Um script de validação da configuração que executa as verificações de validação para se certificar de que o computador cliente de acesso remoto cumpre as regras mínimas de segurança para aceder à rede da empresa.
  • Um perfil do Gestor de Ligações configurado para executar o RQC (Remote Access Quarantine Client, Cliente de Quarentena de Acesso Remoto) como uma acção Pós-ligação no computador cliente remoto. O perfil do CM de Quarantine irá actualizar os scripts de validação a partir de um caminho partilhado especificado pelo administrador e executar os scripts de validação. Se os scripts verificarem que são cumpridos os requisitos mínimos, o RQC notificará o RQS e solicita a remoção das restrições de quarentena.
  • Clientes de acesso remoto configurados para executar o Cliente de Quarentena de Acesso Remoto e o script de validação (distribuídos através do Perfil do Gestor de Ligações).
CautionAtenção
A função Quarentena de Acesso Remoto não é uma solução de segurança. Foi concebida para ajudar a impedir que os computadores com configurações não seguras estabeleçam ligação a uma rede privada; não para proteger uma rede privada de utilizadores mal intencionados que obtiveram um conjunto válido de credenciais.

A quem se aplica esta função?

Esta função aplica-se a:

  • Servidores de acesso remoto, com o Windows Server 2003 com o Service Pack 1.
  • Computadores cliente de acesso remoto que estabelecem ligação à rede da empresa a partir de localizações remotas, com o Windows 2000 ou Windows XP.
  • Administradores de Rede que pretendam validar a configuração dos computadores cliente, antes de estes serem autorizados a aceder à rede da empresa.

Porque é que esta alteração é importante?

A Quarantine de Acesso Remoto fornece aos administradores de rede um mecanismo para colocar em quarentena os clientes de acesso remoto fornecendo o acesso VPN a partes limitadas da rede privada e permitindo que os administradores validem o computador relativamente aos requisitos mínimos de segurança. Depois de se verificar se os computadores cumprem as regras de acesso à rede, é possível remover as restrições de quarentena para permitir que os computadores cliente acedam normalmente aos recursos da rede.

Este processo atenua as ameaças a uma rede privada ou empresarial por parte de computadores cliente vulneráveis que se encontram em localizações remotas ou que não pertencem a um domínio e que, por isso, estão fora do alcance do administrador.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

 

Nome da definição Localização Valor predefinido anterior Valor predefinido Valores possíveis

AllowedSet, REG_MULTI_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

RASQuarantineConfigPassed

N/A

Port, REG_DWORD

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

Não definido

Quando esta chave não está definida, o servidor aguarda a notificação do cliente na porta 7250

número da porta para escuta

Authenticator, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

Não definido

NULL

Verifier, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

Não definido

NULL

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft