Créer le script de quarantaine

pour votre environnement. Heureusement, Microsoft a fourni quelques exemples de scripts qui vous serviront de modèles. Vous pouvez télécharger les scripts à partir de cette adresse.

Le script de quarantaine contient un ou plusieurs exécutables, fichiers DLL, fichiers batch ou scripts, que vous créez pour appliquer votre stratégie de quarantaine. Le script contient aussi les critères de stratégie de quarantaine que le client doit remplir pour être autorisé à se connecter au réseau. Vous pouvez inclure d’autres critères :

• Le système est à jour en matière de correctifs à chaud et de packs de service.
• Le logiciel antivirus possède le jeu de signatures le plus récent.
• Le client a un pare-feu personnel installé et configuré dans les règles.
• Le système n’est pas vulnérable à un « exploit » le jour J spécifique.
• Une application spécifique est installée ou un certain exécutable est en service.
• Les paramètres des registres correspondent aux valeurs recommandées.

Le principal rôle du script de quarantaine consiste à envoyer l’appel au service Remote Access Quarantine Agent sur le serveur RRAS. Pour exécuter l’appel de renvoi, lancez rqc.exe avec le code suivant :

Rqc.exe <ConnName>
<TunnelConnName> <TCPPort>
<Domain> <Username>
<ScriptVersion>

où

• ConnName est le nom de la connexion d’accès à distance sur cet hôte.
• TunnelConnName est le nom de la connexion au tunnel sur cet hôte.
• TCPPorts est le port TCP qui sert à envoyer le message de notification. Le port TCP par défaut est 7250.
• Domain est le domaine de l’utilisateur qui se connecte.
• Username est le nom de l’utilisateur qui se connecte.
• ScriptVersion est une chaîne de texte contenant la version du script.

Il faut aussi songer aux actions qu’un client pourrait être amené à effectuer pendant qu’il est en quarantaine. Par exemple, vous pourriez vouloir autoriser l’accès à un serveur Web ou à un serveur de fichiers contenant des instructions et des fichiers nécessaires pour se mettre en conformité avec la stratégie de sécurité. Vous pourriez aussi donner le moyen de télécharger les dernières versions du script connection-profile parce que le non-respect de la version a pour effet de laisser la connexion en quarantaine. Par exemple, vous pouvez écrire votre script pour qu’il examine un serveur HTTP pour voir s’il existe une nouvelle version du script et le mettre à jour si nécessaire. Vous pouvez ajouter à votre script autant de fonctions que nécessaire dans votre entreprise.

Ne perdez pas de vue que les scripts de quarantaine se contentent d’examiner l’état de santé du client et qu’ils ne constituent nullement une stricte mesure de sécurité. Network Access Quarantine Control vous protège contre les utilisateurs qui causent par inadvertance des problèmes du genre propagation de virus, parce que leurs machines n’ont pas les derniers correctifs à chaud. Mais il offre peu de protection contre des utilisateurs malveillants qui se seraient procuré des références valides sur votre réseau. Vous devez supposer que le client peut modifier le script ou manipuler les résultats pour donner toutes les apparences de la conformité. Cela dit, si vous exigez la conformité aux stratégies de sécurité du réseau, les utilisateurs qui se connectent auront moins de risque d’être victimes d’utilisateurs malveillants.