Hogy működik?
Eddig kiderült, hogy a Resource Kit ad két fontos komponenst, azaz a karantén ellenőrzési módszerének lényegi elemeit. E módszer szerint, amikor a speciálisan felturbózott VPN kliens csatlakozik, akkor az ISA beengedi, de egyelőre elkülöníti a Quarantined VPN Clients "hálózatba". Ekkor kezdődik az érvényesítés, azaz annak/azoknak a feltételnek/feltételeknek a lekérdezése, amelyet megkövetel(het)ünk a VPN klienssel szemben. Néhány példa erre, jellemző "kérdések" zárójelben:
- tűzfal (be van-e kapcsolva?)
- ICS (ki van-e kapcsolva?)
- javítócsomagok (fent vannak-e a legfrissebbek?)
- víruskereső (van-e? az adatbázis friss-e?)
- jelszó (elég komplex-e?)
- jelszavas képernyővédő (van-e?)
- stb., igény és persze programozói tudásszint szerint
A gyakorlatban ezeknek a feltételeknek a lekérdezője/figyelője az Rqs.exe a szerveren, a megvizsgáló/küldő pedig az Rqc.exe a kliensen. Ha a feltételeknek megfelel a kliens, akkor az utóbbi egy speciális (ún. SIGNATURE) sztringet küld a szervernek és ezután az ISA 2004 kiemeli a karanténból és behelyezi a szimpla VPN kliensek közé. De hogy kerül a kliensre pl. az Rqc.exe, hogy és hol fut le az ellenőrzés? Mi alapján ellenőriz? Ezekre a kérdésekre a válasz a CMAK, amely egy jó sok (kb. 20) lépésből álló szerveroldali varázsló. A varázslás során elkészítünk majd egy ún. CM (Connection Manager) profilt, amely egy .exe csomag, és amely magába foglalja a VPN-Q klienst, az általunk legyártott ún. "post-connect" ellenőrző szkripteket (.vbs, .cmd, .exe, .bat), az esetleges nyelvi válaszfájlokat és minden mást, amit le kívánunk küldeni a kliens gépre. Valamilyen úton-módon aztán lekerül (pl. letölti a delikvens a dedikált weboldalunkról), majd elindítja. A csomag a telepítés után rögvest bekéri a felhasználónevet/jelszót, csatlakozni próbál és siker esetén máris bekerül a karanténba. Így kerek a művelet.
Karantén beállítása az ISA szerveren
Tehát fussunk neki végre a gyakorlati tennivalóknak, magán a VPN szerveren, ami a mi esetünkben értelemszerűen az ISA Server 2004. Miután feltelepítettük (és az RQS frissítést is), navigáljunk el parancssorban a Resource Kit Tools mappájába!
C:Program FilesWindows Resorce KitsTools
Használjuk a következő parancsot a "Remote Access Quarantine Agent" szerviz telepítésére és beállítására.
Rqs_setup /install
Ezután a Computer Management MMC-ben a frissen kisütött szolgáltatás induló értékét automatikusról kézire állítsuk át (később lesz értelme).