TechNet
Knihovna TechNet

Karanténa vzdáleného přístupu

Jak funguje Karanténa vzdáleného přístupu?

Ovládací prvek Karanténa vzdáleného přístupu umožňuje správcům sítí ověřovat konfiguraci vzdálených klientských počítačů předtím, než jim bude povolen přístup do podnikové sítě. Obvyklá připojení vzdáleného přístupu ověřují pouze pověření uživatele se vzdáleným přístupem. Proto počítač používaný k připojení k privátní síti může mít často přístup k síťovým prostředkům přesto, že jeho konfigurace neodpovídá síťovým zásadám organizace. Uživatel se vzdáleným přístupem s platnými pověřeními by se například mohl připojit k síti s počítačem, který neobsahuje následující prvky:

 • Nainstalovanou správnou aktualizaci Service Pack nebo nejnovější opravy zabezpečení.
 • Nainstalovaný správný antivirový software a soubory podpisů.
 • Zakázáno směrování. Klientský počítač se vzdáleným přístupem s povoleným směrováním by mohl představovat ohrožení zabezpečení, protože znamená příležitost pro uživatele se zlými úmysly, jak přes něj získat přístup k prostředkům podnikové sítě, protože takový počítač má ověřené připojení k privátní síti.
 • V internetovém rozhraní nainstalovaný a aktivní software brány firewall.
 • Heslem chráněný spořič obrazovky s příslušnou čekací dobou.

Přes úsilí vyvíjené v organizacích za účelem zajištění, aby počítače používané interně odpovídaly síťovým zásadám, mohou počítače používané z domu ke vzdálenému přístupu přesto představovat pro síť značné riziko.

Karanténa vzdáleného přístupu, nová funkce v aktualizaci Windows Server 2003 Service Pack 1, zpožďuje normální vzdálený přístup do privátní sítě do doby, než bude konfigurace počítače se vzdáleným přístupem zkontrolována a ověřena skriptem nakonfigurovaným správcem (a obsaženým v nastavení připojení). Jakmile počítač se vzdáleným přístupem zahájí připojení k serveru vzdáleného přístupu, bude uživatel ověřen a počítači se vzdáleným přístupem bude přiřazena adresa IP. Připojení však bude umístěno do režimu karantény, v němž je síťový přístup omezen. V počítači se vzdáleným přístupem bude spuštěn skript nakonfigurovaný správcem. Jakmile skript oznámí serveru vzdáleného přístupu, že byl úspěšně spuštěn a že počítač se vzdáleným přístupem odpovídá aktuálním síťovým zásadám, budou přístupová omezení režimu karantény odebrána a počítači se vzdáleným přístupem bude udělen normální vzdálený přístup.

Karanténní omezení aplikovaná na jednotlivá připojení vzdáleného přístupu se mohou skládat z následujících prvků:

 • Sada karanténních paketových filtrů, které omezují komunikaci, kterou lze odeslat do klienta se vzdáleným přístupem v karanténě a z něj.
 • Časovač relace karantény, který omezuje dobu, po kterou může klientský počítač zůstat připojený v režimu karantény, než bude odpojen.

Podle potřeby můžete použít jedno z omezení nebo obě. Správce také může prostřednictvím ověřovacího skriptu klientovi pomoci s opravou konfigurace, například aktualizací souboru s podpisem pro antivirový software.

Toto řešení Karantény vzdáleného přístupu obsahuje následující součásti:

 • Služba Karantény vzdáleného přístupu (RQS nebo Listener), která bude spuštěna na serveru směrování a vzdáleného přístupu (RRAS), který naslouchá požadavkům ze vzdáleného klienta na odebrání karanténních omezení.
 • Server RADIUS (nebo samotný server RRAS), na němž lze definovat zásadu karantény na použití filtrů protokolu IP nebo časových limitů relace na vzdálená připojení.
 • Konfigurační ověřovací skript, který kontroluje a ověřuje, zda klientský počítač se vzdáleným přístupem odpovídá pokynům pro minimální zabezpečení, které je požadováno k přístupu do podnikové sítě.
 • Profil programu Connection Manager (Správce připojení) nakonfigurovaný na spuštění klienta Karantény vzdáleného přístupu (RQC) jako akci Po připojení (Post-Connect) ve vzdáleném klientském počítači. Karanténní profil programu Správce připojení aktualizuje ověřovací skripty z cesty ke sdílené složce určené správcem a spustí je. Pokud jsou minimální požadavky těmito skripty ověřeny a jsou splněny, oznámí to klient Karantény vzdáleného přístupu službě Karantény vzdáleného přístupu a vyžádá odebrání karanténních omezení.
 • Klienti se vzdáleným přístupem nakonfigurovaní na spuštění klienta Karantény vzdáleného přístupu a ověřovacího skriptu (distribuovaného prostřednictvím profilu programu Connection Manager).
CautionUpozornění
Karanténa vzdáleného přístupu není řešením pro zabezpečení. Má pomoci zabránit počítačům s nebezpečnou konfigurací, aby se připojili k privátní síti. Nemá chránit privátní síť před uživateli se zlými úmysly, kteří získali platnou sadu pověření.

Čeho se tato funkce týká?

Funkce je určena pro:

 • Servery vzdáleného přístupu, na nichž je spuštěn systém Windows Server 2003 s aktualizací Service Pack 1.
 • Klientské počítače se vzdáleným přístupem, které se připojují k podnikovým sítím ze vzdálených umístění a v nichž je spuštěn systém Windows 2000 nebo Windows XP.
 • Správce sítí, kteří chtějí ověřovat konfiguraci klientských počítačů, než jim bude povolen přístup do podnikové sítě.

Proč je tato změna důležitá?

Karanténa vzdáleného přístupu poskytuje správcům sítí mechanismus, jak izolovat klienty se vzdáleným přístupem poskytnutím přístupu do privátní sítě jen omezeným částem privátní sítě a tím, že umožní správcům ověřit, zda počítač splňuje minimální požadavky na zabezpečení. Po ověření počítačů, že splňují pokyny pro přístup do sítě, lze karanténní omezení odebrat a povolit klientským počítačům normální přístup k síťovým prostředkům.

Zmírňuje se tak nebezpečí pro privátní a podnikové sítě ze strany zranitelných klientských počítačů, které se nacházejí ve vzdálených umístěních nebo které nejsou připojeny do domény a proto nejsou pod dohledem správce.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Windows Server 2003 Service Pack 1?

 

Název nastavení Umístění Předchozí výchozí hodnota Výchozí hodnota Možné hodnoty

AllowedSet, REG_MULTI_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

Není k dispozici

RASQuarantineConfigPassed

Není k dispozici

Port, REG_DWORD

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

Není k dispozici

Nenastaveno

Pokud tento klíč není nastaven, bude server naslouchat upozornění klienta na portu 7250.

Číslo portu, na kterém má naslouchat.

Authenticator, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

Není k dispozici

Nenastaveno

NULL

Verifier, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

Není k dispozici

Nenastaveno

NULL

Obsah vytvořený komunitou

Zobrazit:
© 2016 Microsoft