Konfigurieren der RQS- und RQC-basierten Quarantänesteuerung

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

In diesem Thema wird beschrieben, wie Forefront TMG konfiguriert wird, um VPN-RAS-Clients mithilfe von RQS (Remote Access Quarantine Service) und RQC (Remote Access Quarantine Client) unter Quarantäne zu stellen. Die Quarantänesteuerung gewährt VPN-Remoteclients einen Netzwerkzugriff in Stufen. Dieser wird auf einen Quarantänemodus beschränkt, bis der Zugriff auf das Netzwerk zugelassen wird.

Zwei Softwarekomponenten bieten einen Mechanismus für die Quarantänesteuerung. Der RQS (Remote Access Quarantine Service, Rqs.exe) wird auf dem Forefront TMG-Computer als Listenerkomponente ausgeführt. Der RQC (Remote Access Quarantine Client, Rqc.exe) wird auf dem RAS-Computer als Benachrichtigungskomponente ausgeführt, damit die Listenerkomponente (Rqs.exe) darüber informiert wird, dass der Clientcomputer der Sicherheitsrichtlinie entspricht.

Sobald sich die Konfiguration des Clientcomputers in Übereinstimmung mit den spezifischen Quarantäneeinschränkungen Ihrer Organisation befindet, wird auf die Verbindung die Standard-VPN-Richtlinie angewendet. Dabei wird der angegebene Quarantänetyp berücksichtigt.

So aktivieren und konfigurieren Sie die Quarantänesteuerung

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Remotezugriffsrichtlinie (VPN), und klicken Sie dann im Detailbereich auf die Registerkarte VPN-Clients.

  2. Klicken Sie auf der Registerkarte Aufgaben auf Quarantänesteuerung konfigurieren.

  3. Klicken Sie auf der Registerkarte Quarantäne auf die Option Quarantänesteuerung aktivieren.

  4. Wählen Sie eine der folgenden Optionen aus:

    • Quarantäne gemäß den RADIUS-Serverrichtlinien. Wenn ein VPN-Client versucht, eine Verbindung herzustellen, wird durch die Routing- und RAS-Richtlinie festgelegt, ob diese Verbindungsanforderung an Forefront TMG weitergeleitet wird. Nach Überprüfung der Routing- und RAS-Richtlinie wird der Client in das VPN-Clientnetzwerk aufgenommen.

    • Quarantäne für VPN-Clients gemäß den Forefront TMG-Richtlinien Wenn ein VPN-Client versucht, eine Verbindung mit dem Forefront TMG-Computer herzustellen, übergibt Routing und RAS die Anforderung ohne Vorbehalt an Forefront TMG. Von Forefront TMG wird der Client, der die Verbindung herstellt, in das Quarantäne-VPN-Clientnetzwerk verschoben. Für den Client gilt somit auch die für dieses Netzwerk definierte Firewallrichtlinie. Nach Ablauf der Quarantäne wird der Client in das VPN-Clientnetzwerk übernommen. Bei Auswahl dieser Option müssen Sie die Routing- und RAS-Quarantänefunktion deaktivieren, damit die VPN-Verbindung hergestellt werden kann.

  5. Wenn Clients in Quarantäne nach einer bestimmten Zeitspanne getrennt werden sollen, wählen Sie die Option Verbindung wird getrennt nach (in Sekunden) aus, und geben Sie dann die Dauer in Sekunden ein, die verstreichen soll, bevor ein Client aus dem Quarantäne-VPN-Clientnetzwerk entfernt und die betreffende Verbindung mit Forefront TMG getrennt werden soll.

    ImportantWichtig:
    Bei Auswahl dieser Option müssen Sie die Quarantänesteuerung auf dem Forefront TMG-Computer und den Remote-VPN-Clients konfigurieren, die versuchen, eine Verbindung zum Unternehmensnetzwerk herzustellen. Andernfalls verbleiben die Remote-VPN-Clients im Quarantänemodus, bis die festgelegte Zeitspanne verstrichen ist und die Verbindung mit Forefront TMG getrennt wird.

  6. Wenn Sie bestimmte Benutzer aus der Quarantänesteuerung ausschließen möchten, klicken Sie auf Hinzufügen, und wählen Sie dann in Verfügbare Benutzersätze aus, welche Benutzer von der Qurantänesteuerung ausgeschlossen werden sollen.

    noteHinweis:
    Aus der Quarantänesteuerung ausgeschlossene Benutzer werden automatisch in das VPN-Clientnetzwerk aufgenommen.

Bereiten Sie Forefront TMG als RQS-Listener vor. Anweisungen dazu finden Sie unter Installieren des RAS-Quarantäne-Tools.

 
Anzeigen: