Microsoft Windows Server 2003 – Quarantänesteuerung
Die Quarantänesteuerung ist ein Feature von Microsoft Windows Server 2003. Sie verzögert den normalen Netzwerkzugriff auf ein privates Netzwerk, bis die Konfiguration des RAS-Computers durch ein administratives Script überprüft ist. Dieses Whitepaper erklärt, wie die Quarantänesteuerung arbeitet und welche Komponenten dabei zum Einsatz kommen. Außerdem beschreibt es die Bereitstellung der Quarantänesteuerung mit einem RAS-Server unter Windows Server 2003, dem Verbindungs-Manager-Verwaltungskit und IAS-Servern.
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
Einleitung
Typische RAS-Verbindungen prüfen nur die Berechtigung des RAS-Benutzers. Daher kann der Computer, der mit dem privaten Netzwerk verbunden ist, oftmals auch dann auf Netzwerkressourcen zugreifen, wenn er nicht der Netzwerkrichtlinie der Organisation entspricht. Ein RAS-Benutzer könnte sich zum Beispiel über einen Computer verbinden, der die folgenden Mängel aufweist:
| • | Das korrekte Service Pack oder die aktuellen Patches sind nicht installiert. |
| • | Der korrekte Virenscanner oder die aktuellen Signaturdateien sind nicht installiert. |
| • | Routing ist nicht deaktiviert. Ein RAS-Client mit aktiviertem Routing kann ein Sicherheitsrisiko darstellen. Er gibt böswilligen Benutzern die Möglichkeit, über den Clientcomputer mit der autorisierten Verbindung auf das Netzwerk zuzugreifen. |
| • | Für die Internet-Schnittstelle ist keine Firewall installiert, oder diese ist nicht aktiv. |
| • | Es ist kein Bildschirmschoner mit Passwortschutz und einer entsprechenden Aktivierungszeit vorhanden. |
Trotz aller Erfolge bei der Durchsetzung der Netzwerkrichtlinie für die internen Computer kann es sein, dass die Computer bei den Benutzern zu Hause weiterhin ein Risiko darstellen.
Das Quarantänesteuerungs-Feature von Microsoft® Windows Server 2003 verzögert den normalen Netzwerkzugriff auf ein privates Netzwerk, bis die Konfiguration des RAS-Computers durch ein administratives Script überprüft wurde. Wenn ein RAS-Computer eine Verbindung zum RAS-Server initiiert, wird der Benutzer authentifiziert und dem RAS-Computer wird eine IP-Adresse zugewiesen. Die Verbindung wird auf einen Quarantänemodus gesetzt. In diesem ist der Netzwerkzugriff eingeschränkt. Ein administratives Script wird auf dem RAS-Computer ausgeführt. Wenn das Script dem RAS-Server mitteilt, dass es erfolgreich ausgeführt wurde und der RAS-Client den aktuellen Netzwerkrichtlinien entspricht, wird der Quarantänemodus aufgehoben und der RAS-Computer erhält einen normalen Remotezugriff.
Die folgenden Quarantänebeschränkungen werden für die RAS-Verbindungen angewandt:
| • | Paketfilter beschränken den Netzwerkverkehr, der von und zum RAS-Client gesendet werden kann. |
| • | Eine Zeitbeschränkung für die Verbindung im Quarantänemodus. |
Sie können entweder nur eine dieser Einschränkungen nutzen oder beide zusammen.
Die Quarantänesteuerung ist keine Sicherheitslösung. Sie wurde entwickelt, um zu vermeiden, dass Computer mit unsicheren Konfigurationen sich mit einem privaten Netzwerk verbinden - nicht, um ein privates Netzwerk vor böswilligen Benutzern mit gültigen Berechtigungen zu schützen.
Um zu verstehen, wie die Quarantänesteuerung arbeitet, werfen wir erst einen Blick auf die normale RAS-Konfiguration und schauen uns dann die Quarantänenkonfiguration an.
Windows RAS-Komponenten
Abbildung 1 zeigt die RAS-Komponenten von Windows bei einer Verwendung der RADIUS-Authentifizierung.
Abbildung 1: Windows RAS-Komponenten
Die gezeigte Konfiguration setzt sich aus den folgenden Komponenten zusammen:
| • | RAS-Client: Computer mit einem Windows-Betriebssystem, die entweder eine DFÜ- oder eine VPN-Verbindung mit einem RAS-Server aufbauen. Der RAS-Client verwendet entweder eine manuell konfigurierte Verbindung oder ein Verbindungs-Manager-Profil. |
| • | RAS-Server: Ein Computer unter Windows 2000 Server oder Windows Server 2003, der den Routing und RAS-Dienst ausführt und für eine Windows- oder RADIUS-Authentifizierung konfiguriert ist. |
| • | RADIUS-Server (optional): Ein Computer unter Windows 2000 oder Windows Server 2003, der den IAS-Dienst ausführt. Die Verwendung eines RADIUS-Servers ist optional und nur erforderlich, wenn der RAS-Server für eine RADIUS-Authentifizierung konfiguriert ist. |
| • | Kontendatenbank: In Windows 2000 oder Windows Server 2003 basierten Netzwerken wird Active Directory als Kontendatenbank verwendet. Diese speichert alle Benutzerkonten und DFÜ-Eigenschaften. |
| • | RAS-Richtlinie: Auf dem RAS-Server mit Routing und RAS-Dienst oder auf dem IAS-Server ist eine RAS-Richtlinie konfiguriert, die eine bestimmte Autorisierung und Verbindungseinschränkungen für RAS-Verbindungen definiert. |
Komponenten der Quarantänesteuerung
Abbildung 2 zeigt die Komponenten von Windows-RAS mit Quarantänesteuerung bei einer Verwendung der RADIUS-Authentifizierung.
Abbildung 2: Komponenten von Windows RAS mit Quarantänesteuerung
Die gezeigte Konfiguration setzt sich aus den folgenden Komponenten zusammen:
| • | Mit Quarantänesteuerung kompatible RAS-Clients. |
| • | Mit Quarantänesteuerung kompatibler RAS-Server |
| • | Mit Quarantänesteuerung kompatibler RADIUS-Server (optional) |
| • | Quarantäne-Ressourcen |
| • | Kontendatenbank |
| • | Quarantänen-RAS-Richtlinie |
RAS-Clients, die mit der Quarantänesteuerung kompatibel sind
Der RAS-Client muss eins der folgenden Betriebssysteme verwenden:
| • | Windows Server 2003 |
| • | Windows XP Professional |
| • | Windows XP Home Edition |
| • | Windows 2000 |
| • | Windows Millennium Edition |
| • | Windows 98 Second Edition |
Diese Windows-Versionen unterstützen Verbindungs-Manager-Profile (VM-Profile) die mit dem Verbindungs-Manager-Verwaltungskit (VMVK) von Windows Server 2003 erstellt worden sind. Ein VM-Profil enthält folgende Informationen:
| • | Eine Aktion, die das Script zum Feststellen der Einhaltung der Richtlinienanforderungen startet und die nach dem Verbindungsaufbau ausgeführt wird.
|
| • | Ein Script, das die Einhaltung der Netzwerkrichtlinie prüft.
|
| • | Eine Benachrichtigungskomponente
|
Anmerkung: Da die Quarantänesteuerung zu einer Verzögerung des normalen Netzwerkzugriffs führt, könnte es zu Problemen mit Anwendungen kommen, die sofort nach dem Verbindungsaufbau ausgeführt werden. Weitere Informationen hierzu finden Sie im Abschnitt Alternative Konfigurationen dieses Whitepapers. Bis jetzt wurde mit einem separaten Script und einer Benachrichtigungskomponente gearbeitet. Es ist jedoch auch möglich, beide zusammenzufassen. Außerdem können Sie statt eines VM-Profils ein Einwahlprogramm eines Drittanbieters verwenden (wenn dieses die Möglichkeit bietet, eine Aktion nach dem Verbindungsaufbau zu definieren, um das Quarantäne-Script auszuführen). |
Mit der Quarantänesteuerung kompatibler RAS-Server
Die folgenden Anforderungen gelten für einen mit der Quarantänesteuerung kompatiblen RAS-Server:
| • | Ein Computer unter Windows Server 2003 und Routing und RAS Dienst, der eine Listener-Komponente und die RADIUS-Attribute MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout unterstützt. |
| • | Eine Listener-Komponente wartet auf eine Benachrichtigung des Quarantäne-Kompatiblen RAS-Clients. Sie können eine eigene Listener-Komponente erstellen, oder den Remote Access Quarantine Agent Service (Rqs.exe) aus dem Windows Server 2003 Resource Kit installieren. Wenn Sie eine eigene Komponente erstellen, muss diese die MprAdminConnectionRemoveQuarantine() API verwenden, um die Quarantäneeinschränkungen aufzuheben. Weitere Informationen finden Sie im Microsoft Developer Network unter http://www.microsoft.com/germany/msdn/default.mspx. |
Wenn Sie Rqc.exe und Rqs.exe verwenden, enthält die von Rqc.exe gesendete Nachricht eine Zeichenkette mit der Version des ausgeführten Scripts. Diese Zeichenkette wird für Rqc.exe als Parameter angegeben. Rqs.exe vergleicht sie mit den in der Registrierung des RAS-Servers gespeicherten Zeichenketten. Wenn diese übereinstimmen, wird die Quarantäne aufgehoben. Ein Beispiel hierzu finden Sie im Abschnitt Wie die RAS-Quarantänesteuerung bereitgestellt wird diese Whitepapers.
Anmerkung: Die Benachrichtigung von Rqc.exe ist nicht verschlüsselt oder authentifiziert. Sie kann durch einen böswilligen Client abgefangen und gefälscht werden. |
Routing und RAS kann für eine Windows- oder RADIUS-Authentifizierung konfiguriert werden. Die in Abbildung 2 gezeigte Konfiguration verwendet eine RADIUS-Authentifizierung.
Mit der Quarantänesteuerung kompatibler RADIUS-Server (optional)
Wenn Sie die RADIUS-Authentifizierung verwenden, benötigen Sie einen RADIUS-Server unter Windows Server 2003, der mit der Quarantänesteuerung kompatibel ist. Außerdem ist ein IAS-Server notwendig, der die RADIUS-Attribute MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout unterstützt.
Quarantäne-Ressourcen
Quarantäne-Ressourcen sind die Server, auf die ein RAS-Client im Quarantänemodus für eine Namensauflösung zugreifen kann (zum Beispiel DNS-Server), über die der Client das aktuelle VM-Profil beziehen kann (Dateiserver, die einen anonymen Zugriff gestatten) und über die der Client Anweisungen und Komponenten zur Konfiguration nach der Netzwerkrichtlinie erlangt (Webserver, die einen anonymen Zugriff gestatten).
Kontendatenbanken
In Windows Server 2003 oder Windows 2000 basierten Netzwerken wird Active Directory als Kontendatenbank verwendet. Es können allerdings auch Windows NT 4.0 Domänen verwendet werden.
Quarantäne-RAS-Richtlinie
Sie müssen eine Quarantäne-RAS-Richtlinie mit den für RAS-Verbindungen erforderlichen Bedingungen und Profileinstellungen und den MS-Quarantine-IPFilter- und MS-Quarantine-Session-Timeout-Attributen definieren (über die Registerkarte Erweitert des Profils).
Sie können das MS-Quarantine-IPFilter-Attribut für die Erstellung von Eingangs- und Ausgangs-Paketfiltern verwenden. Diese sollten nur den folgenden Verkehr erlauben:
| • | Verkehr, der von der Benachrichtigungskomponente ausgeht. Wenn Sie Rqc.exe und Rqs.exe mit deren Standardports verwenden, dann konfigurieren Sie einen Paketfilter, der nur Verkehr zu TCP-Port 7250 erlaubt. |
| • | Verkehr für Dynamic Host Configuration Protocol (DHCP)-Nachrichten zwischen RAS-Client und -Server. |
| • | Verkehr für den Zugriff auf die Quarantäne-Ressourcen. Diese Filter sollten dem RAS-Client einen Zugriff auf DNS-Server, Dateifreigaben und/oder Websites gestatten. |
Sie können das MS-Quarantine-Session-Timeout-Attribut verwenden, um festzulegen, wie lange der RAS-Server auf die Benachrichtigung durch das Script wartet, bevor er die Verbindung trennt.
Wenn die Quarantäne-RAS-Richtlinie die einzige Richtlinie für RAS-Verbindungen ist, wird die Prüfung für alle RAS-Clients durchgeführt. Alle Clients, die der Netzwerkrichtlinie nicht entsprechen, sind nicht in der Lage, einen normalen Netzwerkzugriff zu erlangen. Sie werden stattdessen im Quarantänemodus gehalten. Wenn eine Zeitgrenze für Quarantäne-Verbindungen definiert wurde, wird die Verbindung nach diesem Zeitraum getrennt.
Wenn Sie eine Mischung aus Quarantäne- und Nicht-Quarantäne-Clients unterstützten möchten, können Sie eine Gruppe für die Nicht-Quarantäne-Clients erstellen. Danach erstellen Sie eine gruppenbasierte RAS-Richtlinie ohne Quarantäneeinschränkungen für diese Gruppe. Weitere Informationen hierzu finden Sie im Abschnitt EineAusnahme-RAS-Richtlinie verwenden dieses Whitepapers.
Anmerkung: Die Quarantänesteuerung kann für drahtlose Clients oder authentifizierte Switch-Clients nicht verwendet werden, da sie die Verwendung des Routing und RAS-Dienstes und die Möglichkeit, ein Script nach dem Verbindungsaufbau auszuführen, erfordert. |
Wie die RAS-Quarantäne arbeitet
Der folgende Prozess zeigt, wie die Quarantänesteuerung in dem in Abbildung 2 gezeigten Beispiel arbeitet:
1. | Der Benutzer des Quarantäne-kompatiblen RAS-Clients verwendet das installierte VM-Profil, um eine Verbindung mit dem Quarantäne-kompatiblen RAS-Server aufzubauen. |
2. | Der RAS-Client überträgt seine Authentifizierunginformationen an den RAS-Server. |
3. | Der Routing und RAS Dienst sendet eine RADIUS-Access-Request-Nachicht an den IAS-Server. |
4. | Der IAS-Server prüft die Authentifizierungsinformationen des RAS-Clients. Wenn diese gültig sind, prüft er seine RAS-Richtlinien. Der Verbindungsversuch entspricht der Quarantänerichtlinie. |
5. | Die Verbindung wird mit den Quarantänebeschränkungen akzeptiert. Der IAS-Server sendet eine RADIUS-Access-Accept-Nachicht. Diese enthält unter anderem das MS-Quarantine-IPFilter und das MS-Quarantine-Session-Timeout-Attribut. In diesem Beispiel gehen wir davon aus, dass beide Attribute in der RAS-Richtlinie konfiguriert sind. |
6. | Der RAS-Client und der RAS-Server schließen den Verbindungsaufbau ab (dies schließt zum Beispiel das Zuweisen einer IP-Adresse und anderer Konfigurationseinstellungen mit ein). |
7. | Der Routing und RAS Dienst konfiguriert die MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout Einstellungen der Verbindung. Jetzt kann der Client nur noch Netzwerkverkehr senden, der den Quarantänefiltern entspricht. Ihm steht der im Attribut MS-Quarantine-Session-Timeout definierte Zeitraum zur Verfügung um die Benachrichtigung an den RAS-Server zu senden. |
8. | Das VM-Profil führ das Quarantäne-Script aus. |
9. | Das Quarantäne-Script prüft, ob die Konfiguration des RAS-Client den Netzwerkrichtlinien entspricht. Wenn alle Tests erfolgreich abgeschlossen sind, startet das Script Rqc.exe mit den entsprechenden Parametern. Einer dieser Parameter ist eine Zeichenkette mit der Version des Quarantäne-Scripts aus dem VM-Profil. |
10. | Rqc.exe sendet die Benachrichtigung an den RAS-Server. Diese Benachrichtigung enthält unter anderem die Zeichenkette mit der Version des Scripts. |
11. | Die Benachrichtigung wird von der Listener-Komponente (Rqs.exe) empfangen. Der entsprechende Netzwerkverkehr ist gestattet, da er im Quarantänefilter der RAS-Richtlinie berücksichtigt wurde. |
12. | Die Listener-Komponenten prüft die Script-Version gegen die in der Registrierung gespeicherten Script-Versionen und schickt eine Nachricht zurück, in der akzeptiert oder nicht akzeptiert wird. |
13. | Wenn das Script akzeptiert wurde, ruft die Listener-Komponente die MprAdminConnectionRemoveQuarantine() API auf. Diese bringt den Routing und RAS Dienst dazu, die MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout Einstellungen der Verbindung zu entfernen und die normalen Verbindungseinschränkungen zu konfigurieren. Jetzt hat der Client einen normalen Zugriff auf das Netzwerk. |
14. | Die Listener-Komponente erstellt im Systemprotokoll ein Ereignis zu der Quarantäneverbindung. |
Wie die RAS-Quarantänesteuerung bereitgestellt wird
Bei den hier gegebenen Anweisungen wird folgendes vorausgesetzt:
| • | Die Benachrichtigungskomponente ist Rqc.exe aus dem Windows Server 2003 Resource Kit. |
| • | Die Listener-Komponente ist Rqs.exe aus dem Windows Server 2003 Resource Kit. |
| • | Beim Client-Einwahlprogramm handelt es sich um ein VM-Profil, das mit dem Windows Server 2003 VMVK erstellt wurde. |
Wenn Sie eine andere Benachrichtigungskomponente, Listener-Komponente oder ein anderes Einwahlprogramm verwenden, ersetzten Sie wenn notwendig deren Konfiguration und Bereitstellungsverfahren.
Die grundlegenden Schritte in der Bereitstellung eine Quarantänesteuerung sind:
1. | Quarantäne-Ressourcen erstellen |
2. | Script oder Programm erstellen, das die Clientkonfiguration prüft |
3. | Rqs.exe auf den RAS-Server installieren |
4. | Ein neues Quarantäne-VM-Profil mit dem Windows Server 2003 VMVK erstellen |
5. | Das VM-Profil auf den RAS-Clients installieren |
6. | Eine Quarantäne-RAS-Richtlinie konfigurieren |
Quarantäne-Ressourcen erstellen
Um den RAS-Clients im Quarantänemodus einen Zugriff auf die entsprechenden Ressourcen zu ermöglichen, müssen Sie entsprechende Server einrichten und konfigurieren. Im Einzelnen sind das:
| • | Nameserver (zum Beispiel DNS- oder WINS-Server) |
| • | Dateiserver |
| • | Webserver |
Sie können die Quarantänen-Ressourcen auf eine der folgenden Arten bereitstellen:
| • | Die Ressourcen über unterschiedliche Server an irgendeinem Standort bereitstellen. Für eine solche Konfiguration werden die folgenden Paketfilter empfohlen:
| ||||||||||||||
| • | Alle Quarantänen-Ressourcen in einem eigenen Subnetz bereitstellen. Für einen solche Konfiguration sollten Sie die folgenden Paketfilter verwenden:
|
Ein Script oder Programm zur Prüfung der Clientkonfiguration erstellen
Das Script kann zum Beispiel eine ausführbare Datei (*.exe) oder einfach nur eine Batch-Datei (*.cmd oder *.bat) sein. Es führt einen Reihe von Tests durch, um sicherzustellen, dass der RAS-Client den Netzwerkrichtlinien entspricht. Wenn alle Tests erfolgreich durchgeführt wurden, muss das Script Rqc.exe mit den folgenden Parametern starten:
rqc VerbName TunnelVerbName TCPPort Domaene Benutzername ScriptVersion
Die Parameter haben die folgenden Bedeutungen:
| • | VerbName: Der Name der RAS-Verbindung auf diesem Host. Der Wert dieses Parameters kann von der Variable %DialRasEntry% des VM-Profils übernommen werden. |
| • | TunnelVerbName: Der Name der Tunnel-Verbindung auf diesem Host. Der Wert dieses Parameters kann von der Variable %TunnelRasEntry% des VM-Profils übernommen werden. |
| • | TCPPort: Der TCP-Port, über den die Benachrichtigung gesendet wird. Der Standardport von Rqs.exe ist 7250. Sie können über diesen Parameter einen anderen Port konfigurieren. |
| • | Domaene: Die Domäne des Benutzers, der sich verbinden will. Der Wert dieses Parameters kann von der Variable %Domain% des VM-Profils übernommen werden. |
| • | Benutzername: Der Benutzername des Benutzers. Der Wert dieses Parameters kann von der Variable %UserName% des VM-Profils übernommen werden. |
| • | ScriptVersion: Eine Zeichenkette, die die Script-Version enthält. Sie können alle Zeichen außer der Zeichenfolge /0 verwenden. |
Ein Beispiel zur Verwendung von Rqc.exe in einem Script finden Sie in Anhang A.
Wenn der RAS-Client den Richtlinien nicht entspricht, kann das Script den Benutzer auf eine Webseite mit weiteren Anweisungen umleiten. Wenn eine ungültige Script-Version verwendet wird, kann das Script den Benutzer zu einem aktuelleren VM-Profil auf eine Freigabe oder Webseite umleiten.
Rqs.exe auf dem RAS-Server installieren
Der Remote Access Quarantine Agent Service (Rqs.exe) muss auf allen Windows Server 2003 RAS-Servern installiert sein. Dies können Sie über die Datei Rqs_setup.bat aus dem Ordner Programme\Windows Server 2003 Resource Kit durchführen. Rqs_setup.bat kopiert die entsprechenden Dateien und passt die Registrierungseinstellungen an. Danach wird Rqs.exe automatisch als Dienst gestartet.
Ein Teil in der Einrichtung von Rqs.exe ist die Angabe der Script-Versionen. Diese müssen mit den Script-Versionen, die als Parameter für Rqc.exe über das Quarantäne-Script angegeben werden, übereinstimmen. Hierzu können Sie entweder die Registrierung manuell anpassen oder die Datei Rqs_setup.bat vor deren Ausführung so bearbeiten, dass diese gleich die passenden Registrierungseinstellungen vornimmt. Bei allen weiteren Änderungen der Script-Versionen müssen Sie die Registrierung aber auf jeden Fall manuell bearbeiten.
Das folgende Verfahren geht davon aus, dass Sie die Datei Rqs_setup.bat vor deren Ausführung mit den passenden Script-Versionen angepasst haben. Um Rqs.exe auf einem Windows Server 2003 RAS-Server zu installieren und zu konfigurieren führen Sie die folgenden Aktionen durch:
1. | Installieren Sie die Windows Server 2003 Resource Kit Tools auf dem RAS-Server. |
2. | Öffnen Sie die Datei Rqs_setup.bat mit Notepad (Sie finden die Datei im Ordner Programme\Windows Server 2003 Resource Kit). |
3. | Klicken Sie auf Bearbeiten und Suchen. Geben Sie im Feld Suchen nach den Text Version1\0 ein und klicken Sie auf OK. |
4. | Der Cursor sollte zur folgenden Zeile springen: REM REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d Version1\0Version1a\0Test |
5. | Um eine weitere Script-Version hinzuzufügen, entfernen Sie 'REM' am Anfang der Zeile und ersetzten Sie den Text 'Version1\0Version1a\0Test' mit dem Text für die entsprechende Script-Version, den Sie auch als Parameter für Rqc.exe im Quarantäne-Script verwenden. Für ein Script mit der Bezeichnung 'QScript1.0a' würde die geänderte Zeile dann zum Beispiel so aussehen: REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d QScript1.0a |
6. | Um mehrere Script-Versionen hinzuzufügen, entfernen Sie 'REM' am Anfang der Zeile und ersetzen Sie den Text 'Version1\0Version1a\0Test' durch die entsprechenden Script-Versionen. Trennen Sie die einzelnen Script-Versionen durch '\0'. Wenn Sie zum Beispiel die Scripts Script1, Script1a und Script2 verwenden sieht die entsprechende Zeile so aus: REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d Script1\0Script1a\0Script2 In beiden Fällen werden die Script-Versionen zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\AllowedSet hinzugefügt. |
7. | Speichern Sie die Datei. |
8. | Starten Sie in einer Eingabeaufforderung Rqs_setup /install aus dem Ordner Programme\Windows Server 2003 Resource Kit. |
9. | Die Datei Rqs_setup.bat installiert die benötigten Dateien im Ordner SystemRoot\System32\Ras. |
10. | Durch das Ausführen der Datei Rqs_setup.bat wird nicht automatisch der Remote Access Quarantine Agent Service gestartet. Als Netzwerkadministrator müssen Sie den Zeitpunkt für den Start des Dienstes selbst auswählen. Er ist vom Routing und RAS Dienst abhängig. Wenn dieser neu gestartet wird, wird der Remote Access Quarantine Agent Service jedoch nicht neu gestartet. Dies müssen Sie manuell erledigen. |
11. | Um Rqs.exe zu entfernen starten Sie in einer Eingabeaufforderung Rqs_setup /remove. |
12. | Um die Script-Versionen manuell zu ändern, bearbeiten Sie mit einem Registrierungseditor (Regedit.exe) den Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\AllowedSet |
Standardmäßig wartet Rqs.exe auf Benachrichtigungen auf TCP-Port 7250. Um den Standardport zu ändern, tragen Sie diesen unter dem folgenden Schlüssel ein:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs\Port
Stellen Sie aber sicher, dass Rqc.exe seine Benachrichtigungen auch an diesen Port sendet.
Ein neues Quarantäne-VM-Profil mit dem Windows Server 2003 VMVK erstellen
Ein Quarantäne-VM-Profil ist ein einfaches RAS-VM-Profil für einen DFÜ- oder VPN-Zugriff mit den folgenden Erweiterungen:
| • | Sie müssen eine Aktion nach dem Herstellen der Verbindung angeben, um ein Script zu starten und das Script muss in das Profil aufgenommen werden. Dies führen Sie auf der Seite Benutzerdefinierte Aktionen des VMVK-Assistenten durch. |
| • | Sie müssen dem Profil eine Benachrichtigungskomponente hinzufügen. Dies machen Sie über die Seite Zusätzliche Dateien des VMVK-Assistenten. |
Weitere Informationen zur Verwendung des VMVK finden Sie in im Hilfe und Supportcenter von Windows Server 2003.
Die folgenden Anweisungen geben Ihnen ein Beispiel für diese beiden Vorgänge. Es handelt sich jedoch nicht um eine Schritt-für-Schritt-Anweisung zur Erstellung eines kompletten Profils. Informationen zum Erstellen eines Profils finden Sie ebenfalls im Windows Server 2003 Hilfe und Supportcenter.
Um die Quarantäne-Einstellungen des VM-Profils zu konfigurieren, gehen Sie wie folgt vor:
1. | Führen Sie eine normale Konfiguration über VMVK-Assistenten durch, bis Sie die Seite Benutzerdefinierte Aktionen erreichen.
|
2. | Im Feld Aktionstyp wählen Sie Nach Herstellen der Verbindung aus und klicken auf Neu. |
3. | Das Fenster Neue benutzerdefinierte Aktion wird angezeigt.
|
4. | Im Feld Beschreibung geben Sie eine Beschreibung für die Aktion ein. |
5. | Im Fehl Auszuführendes Programm geben Sie den Namen des Programms oder der Scriptdatei ein oder klicken Sie auf Durchsuchen. |
6. | Im Feld Parameter geben Sie die Kommandozeilenparameter ein, die an das Programm in Auszuführendes Programm übergeben werden. |
7. | Aktivieren Sie das Kontrollkästen Programm für benutzerdefinierte Aktion in Dienstprofil aufnehmen. Die folgende Abbildung zeigt Ihnen ein Beispiel für ein Script mit dem Namen Script.bat und den Parametern '%DialRasEntry% %TunnelRasEntry% %Domain% %UserName%'. Diese Parameter sind VM-Profil-Variablen, die dem Script übergeben werden.
|
8. | Klicken Sie auf OK.
|
9. | Fügen Sie bei Bedarf weitere Aktionen hinzu. |
10. | Klicken Sie auf Weiter. |
11. | Konfigurieren Sie das VM-Profil wie gewohnt weiter, bis Sie die Seite Weitere Dateien erreichen.
|
12. | Klicken Sie auf Hinzufügen und wählen Sie die Datei Rqc.exe im Ordner Programme\Windows Server 2003 Resource Kit aus. |
13. | Klicken Sie auf OK.
|
14. | Fügen Sie bei Bedarf weitere Dateien hinzu. |
15. | Schließen Sie den VMVK-Assistenten wie gewohnt ab. |
Das Profil auf den RAS-Clients installieren
Nachdem das VM-Profil erstellt wurde, muss es auf die Clients verteilt und dort installiert werden. Das Profil selbst ist eine ausführbare Datei, die auf dem Client ausgeführt werden muss. Zu Verteilung gibt es mehrere Verfahren:
| • | Versenden Sie das Profil als Dateianhang einer E-Mail. |
| • | Stellen Sie das Profil über eine Webseite zur Verfügung. |
| • | Installieren Sie das Profil als Teil eines Anmelde- oder Start-Scripts bei der Domänenanmeldung. |
Außerdem sollten Sie das Profil in einer Freigabe oder Webseite Ihrer Quarantäne-Ressourcen zur Verfügung stellen. So können sich die Client mit alten Profilen das aktuelle Profil herunterladen.
Eine Quarantänen-RAS-Richtlinie konfigurieren
Wenn Routing und RAS für eine Windows-Authentifizierung konfiguriert ist, erstellen Sie die Quarantänen-RAS-Richtlinie mit dem Routing und RAS-Snap-In auf dem RAS-Server. Wenn Sie die RADIUS-Authentifizierung verwenden, konfigurieren Sie die Richtlinie mit dem Internet Authentication Service Snap-In auf dem IAS-Server.
Um eine Richtlinie zu konfigurieren, erstellen Sie als erstes eine RAS-Richtlinie für einen normalen Zugriff. Passen Sie diese Richtlinie dann an. Fügen Sie danach über die Registerkarte Erweitert der Profileigenschaften die Attribute MS-Quarantine-Session-Timeout und MS-Quarantine-IPFilter hinzu.
Beim folgenden Beispiel handelt es sich um eine RAS-Richtlinie für einen VPN-Zugriff ohne angepasste oder herstellerspezifische Attribute. Alle Dateien für die Installation auf dem Client stehen über eine Webseite zur Verfügung:
1. | Klicken Sie mit der rechten Maustaste in der Konsolenansicht auf RAS-Richtlinien und dann auf Neue RAS-Richtlinie. |
2. | Klicken Sie auf der Willkommensseite auf Weiter. |
3. | Auf der Seite Richtlinienkonfigurationsmethode geben Sie im Feld Richtlinienname "RAS/VPN-Verbindung in Quarantäne" ein.
|
4. | Klicken Sie auf Weiter. Auf der Seite Zugriffsmethode wählen Sie VPN aus.
|
5. | Klicken Sie auf Weiter. Auf der Seite Benutzer- oder Gruppenzugriff wählen Sie Gruppen.
|
6. | Klicken Sie auf Hinzufügen. Im Fenster Gruppe wählen geben Sie den entsprechenden Gruppennamen ein.
|
7. | Klicken Sie auf OK. Die Beispielgruppe "vpnbenutzer" der Beispieldomäne WorldWideImporters.com wurde zur Gruppenliste hinzugefügt.
|
8. | Klicken Sie auf Weiter. Auf der Seite Authentifizierungsmethoden ist das Protokoll MS-CHAP v2 bereits standardmäßig ausgewählt.
|
9. | Klicken Sie auf Weiter. Auf der Seite Richtlinienverschlüsselungsstufe deaktivieren Sie die Kontrollkästchen Einfache Verschlüsselung und Starke Verschlüsselung.
|
10. | Klicken Sie auf Weiter. Auf der Fertigstellen-Seite klicken Sie auf Fertigstellen. |
11. | Klicken Sie im Detailbereich mit der rechten Maustaste auf die neue Richtlinie und dann auf Eigenschaften. Klicken Sie auf Profil bearbeiten. |
12. | Klicken Sie auf die Registerkarte Erweitert.
|
13. | Klicken Sie auf Hinzufügen. Die Seite Attribute hinzufügen wird angezeigt.
|
14. | Wählen Sie MS-Quarantine-Session-Timeout aus der Liste aus und klicken Sie auf Hinzufügen. |
15. | Im Fenster Attributinformationen geben Sie einen Attributwert für die Zeitbegrenzung ein.
|
16. | Klicken Sie auf OK |
17. | Klicken sie auf Hinzufügen und wiederholen Sie den Vorgang für das Attribut MS-Quarantine-IPFilter.
|
18. | Im Fenster IP Filterattributeinformation klicken Sie auf Eingabefilter. Das Fenster Eingehende Filter wird angezeigt.
|
19. | Klicken Sie auf Neu um den ersten Filter hinzuzufügen. Das Fenster IP-Filter hinzufügen wird angezeigt. Wählen Sie im Feld Protokoll den Eintrag TCP aus. Geben Sie im Feld Zielport den Wert 7250 ein.
|
20. | Klicken Sie auf OK. Klicken Sie im Fenster Eingehende Filter auf die Option Nur die unten aufgeführten Pakete zulassen.
|
21. | Klicken Sie auf Neu und fügen Sie den Filter für den DHCP-Verkehr hinzu.
|
22. | Klicken Sie auf OK und Neu und fügen Sie den Filter für den DNS-Verkehr hinzu.
|
23. | Klicken Sie auf OK und Neu und fügen Sie den Filter für den WINS-Verkehr hinzu.
|
24. | Klicken Sie auf OK und Neu und fügen Sie den Filter für eine Quarantänen-Ressource (zum Beispiel einen Webserver) hinzu. Im gezeigten Beispiel wird der Verkehr zum Webserver mit der IP-Adresse 131.107.47.91 gestattet.
|
25. | Wiederholen Sie Schritt 23 für alle weiteren Quarantäne-Ressourcen. |
26. | Wenn Sie mit dem Hinzufügen der Filter fertig sind, klicken Sie auf OK, um die Liste zu speichern. |
27. | Klicken Sie erneut auf OK, um die Änderungen an den Profileinstellungen zu speichern. Klicken Sie ein letztes Mal auf OK, um die Änderungen an der Richtlinie zu speichern. |
Wenn Sie RADIUS verwenden, kopieren Sie anschließend die Richtlinie auf die anderen IAS-Server oder erstellen auf diesen weitere Richtlinien. Weitere Informationen finden Sie unter dem Suchbegriff Die IAS-Konfiguration auf einen anderen Server kopieren im Hilfe und Supportcenter von Windows Server 2003.
Alternative Konfigurationen
Dieser Abschnitt bespricht die folgenden alternativen Quarantänesteuerungs-Konfigurationen:
| • | Eine Ausnahme-RAS-Richtlinie verwenden. |
| • | Die Anwendungsverzögerung im Quarantänemodus verringern. |
| • | Globale Verteilung von Quarantäne-Ressourcen. |
Eine Ausnahme-RAS-Richtlinie verwenden
Wie bereits beschrieben, müssen nach der Erstellung einer Quarantäne-Richtlinie alle RAS-Clients ein VM-Profil verwenden und das Quarantäne-Script ausführen. Wenn ein Client diesen Anforderungen nicht entspricht, bleibt seine Verbindung im Quarantänemodus und wird möglicherweise nach einem bestimmten Zeitraum getrennt.
Auch wenn es ideal wäre, wenn alle Benutzer ein Quarantäne-Script verwenden, kann es doch sein, dass dies nicht möglich ist. In diesem Fall können Sie für solche Benutzer eine separate Richtlinie erstellen. Bevor Sie so eine Ausnahmerichtlinie erstellen, müssen Sie eine Ausnahmegruppe erstellen und die entsprechenden Benutzer und Gruppen in diese Gruppe aufnehmen.
Danach erstellen Sie eine RAS-Richtlinie, die diese Gruppe verwendet, und konfigurieren diese mit denselben Einstellungen wie die Quarantäne-Richtlinie. Lassen Sie jedoch die Attribute MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout weg. Verschieben Sie die neue Richtlinie so, dass sie vor der Quarantäne-Richtlinie geprüft wird.
Anwendungsverzögerung im Quarantänemodus verringern
Wie bereits erwähnt, vergrößert ein Quarantäne-Script die Zeit zwischen dem erfolgreichen Verbindungsaufbau und dem vollständigen Netzwerkzugriff. Diese Verzögerung hängt davon ab, wie lange es dauert, das Script auszuführen, die Benachrichtigung zu senden und die Quarantänebeschränkungen aufzuheben. Es könnte sein, dass Anwendungen sofort nach dem Verbindungsaufbau versuchen, über diese Verbindung zu arbeiten. Wenn die Quarantäne-Filter den Verkehr durch diese Anwendungen nicht enthalten, dann kann es zu Problemen mit diesen Anwendungen kommen.
Ein Workaround ist das Erstellen von Eingangsfiltern für diese Anwendungen. Der Nachteil dieser Methode ist jedoch der möglicherweise recht hohe Aufwand bei der Suche nach solchen Anwendungen und der Umsetzung der Filter. Außerdem empfiehlt Microsoft, die Zahl der Filter möglichst gering zu halten.
Alternativ stehen Ihnen die folgenden Möglichkeiten zu Verfügung, die Verzögerung ohne weitere Filter zu verringern:
| • | Die ausschließliche Verwendung der Sitzungs-Zeitbeschränkung |
| • | Eine sofortige Benachrichtigung |
Ausschließliche Verwendung der Sitzungs-Zeitbeschränkung
Bei dieser Konfiguration wird das MS-Quarantine-Session-Timeout-Attribut verwendet, das MS-Quarantine-IPFilter-Attribut jedoch nicht. Der Client hat sofort normalen Zugriff auf das Netzwerk. Er wird nicht durch Filter eingeschränkt, muss jedoch noch immer eine Benachrichtigung über die Einhaltung der Netzwerkrichtlinien senden. Wenn er dies nicht einhält, wird die Verbindung nach wie vor getrennt.
Die Vorteile einer solchen Konfiguration bestehen darin, dass Sie keinen Paketfilter konfigurieren müssen und dass es zu keiner Verzögerung für Anwendungen kommt. Der RAS-Zugriff findet statt, als ob es keine Quarantäne gäbe. Dies ist auch gleichzeitig der Nachteil. Der Client hat uneingeschränkten Zugriff auf das Netzwerk - auch wenn er den Netzwerkrichtlinien nicht entspricht. Er könnte dem Netzwerk so Schaden zufügen.
Sofortige Benachrichtigung
Bei dieser Konfiguration führt das Quarantäne-Script Rqc.exe aus, bevor die Tests durchgeführt wurden. Die Beschränkungen werden entfernt und der Client hat sofort einen uneingeschränkten Zugriff. Wenn das Script dann im Nachhinein Probleme mit der Konfiguration des Clients feststellt, kann es den Benutzer benachrichtigen und die Verbindung nach einem bestimmten Zeitraum trennen.
Vorteil dieser Konfiguration ist die fehlende Anwendungsverzögerung. Nachteil einer solchen Konfiguration ist der normale Zugriff des Clients auf das Netzwerk, den dieser auch erlangt, wenn er den Netzwerk-Richtlinien nicht entspricht.
Globale Verteilung von Quarantäne-Ressourcen
In einem großen Unternehmen kann es nützlich sein, Quarantäne-Ressourcen abhängig von regionalen, geographischen oder Bandbreiten-Überlegungen mehrfach bereitzustellen. Wenn Ihre Quarantäne-Ressourcen zum Beispiel nur in New York verfügbar sind, müssen die Benutzer aus Australien über das WAN des Unternehmens auf diese Ressourcen zugreifen. Wenn Sie mehrere regionale Ressourcen einrichten, müssen Sie das Quarantäne-Script so anpassen, dass es auf die entsprechenden lokalen Ressourcen in der Nähe des RAS-Servers zugreift.
Um festzustellen, welche Quarantäne-Ressourcen verwendet werden sollten, können Sie verschiedene Verbindungs-Manager-Variablen im Quarantäne-Script verwenden (zum Beispiel %ConnectionType%, %PopName% oder %TunnelServerAddress%). Weitere Informationen zu den verwendbaren Variablen finden Sie mit dem Suchbegriff angepasste Aktionen im Windows Server 2003 Hilfe und Supportcenter.
Anhang A - Beispiel-Quarantäne-Script
Dieses Beispiel soll Ihnen einen Rahmen für ein Test-Script bieten. Es wird über den folgenden Kommandozeilenbefehl gestartet:
script.bat %DialRasEntry% %TunnelRasEntry% %Domain% %UserName%
Auf den Wert von %DialRasEntry% können Sie in der Batchdatei über die Variable %1 zugreifen. %TunnelRasEntry% ist Variable %2, %Domain% ist Variable %3 und %UserName% ist Variable %4.
@echo off
echo RAS Connection = %1
echo Tunnel Connection = %2
echo Domain = %3
echo User Name = %4
set MYSTATUS=
REM
REM Network policy compliance tests
REM
REM
REM Check if Internet Connection Firewall is enabled.
REM Set ICFCHECK to 1 if it is (pass).
REM Set ICFCHECK to 2 if it is not (fail).
REM
REM
REM Check if Virus checker is running and has correct signature file installed.
REM Set VIRCHECK to 1 if it is (pass).
REM Set VIRCHECK to 2 if it is not (fail).
REM
REM
REM Based on the test results, run Rqc.exe.
REM
if '%ICFCHECK%' == '2' goto :TESTFAIL
if '%VIRCHECK%' == '2' goto :TESTFAIL
rqc.exe %1 %2 7250 %3 %4 Version1
REM %1 = %DialRasEntry%
REM %2 = %TunnelRasEntry%
REM 7250 is the TCP port on which Rqs.exe is listening
REM %3 = %Domain%
REM %4 = %UserName%
REM Version1 is the script version string
REM
REM Print out the status
REM
if '%ERRORLEVEL%' == '0' (
set MYERRMSG=Success!
) else if '%ERRORLEVEL%' == '1' (
set MYERRMSG=Unable to contact remote access gateway. Quarantine support may be disabled.
) else if '%ERRORLEVEL%' == '2' (
set MYERRMSG=Access denied. Please install the Connection Manager profile from
http://www.corpnet.example.com/remote_access_tshoot.asp and reconnect.
) else (
set MYERRMSG=Unknown failure. The client will remain in quarantine mode.
)
echo %MYERRMSG%
goto :EOF
:TESTFAIL
echo
echo Your computer has failed network compliance tests. Either
echo Internet Connection Firewall is not enabled or you do not
echo have the correct virus-checking program with the current
echo signature file loaded. For information about how to configure
echo or install these components, see
echo http://www.corpnet.example.com/remote_access_tshoot.asp.
echo
:EOF
Anhang B - Anforderungen für die Quarantänesteuerung
Die Quarantänesteuerung stellt die folgenden Anforderungen:
| • | Einen Windows Server 2003 mit dem Routing und RAS Dienst als RAS-Server. |
| • | Auf dem RAS-Server muss eine Listener-Komponente ausgeführt werden, die auf Benachrichtigungen wartet und die einen RAS-Client über die MprAdminConnectionRemoveQuarantine() API aus dem Quarantänemodus entfernt. |
| • | Der RAS-Client muss in der Lage sein, nach dem Verbindungsaufbau die Tests zur Einhaltung der Netzwerkrichtlinien durchzuführen und die Benachrichtigung an den RAS-Server zu versenden. Solche RAS-Clients sind zum Beispiel Computer unter Windows Server 2003, Windows XP Professional, Windows XP Home Edition, Windows 2000, Windows Millennium Edition oder Windows 98 Second Edition mit einem VM-Profil, das eine Aktion nach der Verbindungsherstellung und ein Script enthält, und auf denen Rqc.exe aus dem Windows Server 2003 Resource Kit installiert ist. |
| • | Als Kontendatenbank wird Active Directory oder eine Windows NT 4.0 Domäne benötigt. |
Zusammenfassung
Die Quarantänesteuerung ist ein erweitertes Feature von Windows Server 2003, das Ihnen die Möglichkeit bietet, den vollständigen Zugriff auf das Netzwerk zu verzögern, bis der RAS-Client auf die Einhaltung aller Netzwerkrichtlinien geprüft wurde. Die Quarantänesteuerung verwendet ein VM-Profil mit einem eingebetteten Script und einer Benachrichtigungskomponente, eine Listener-Komponenten die auf einem Windows Server 2003 RAS-Server ausgeführt wird und eine Quarantänen-RAS-Richtlinien. Sie müssen Quarantäne-Ressourcen, ein Quarantäne-Script, die Listener-Komponente auf dem RAS-Server, das VM-Quarantänenprofil und eine Quarantänen-RAS-Richtlinie erstellen und installieren.
Weitere Links zum Thema
| • | Virtual Private Networks bei TechNet US: http://www.microsoft.com/technet/itsolutions/network/vpn/default.mspx (englischsprachig) |
| • | Managed Remote Access with the Connection Manager Components of Windows 2000: http://www.microsoft.com/technet/community/columns/cableguy/cg0901.mspx (englischsprachig) |
| • | Step-by-Step Guide for Setting Up Network Quarantine and Remote Access Certificate Provisioning in a Test Lab: http://www.microsoft.com/downloads/details.aspx?FamilyID=7e480471-4480-4175-962c-4d3c27e8c7d2&DisplayLang=en (englischsprachig) |
| • | Internet Authentication Service: http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx (englischsprachig) |
Aktuelle Informationen zu Windows Server 2003 finden Sie auf der Windows Server 2003 Webseite unter http://www.microsoft.com/germany/windowsserver2003/.