198 Kapitel 4: Netzwerkzugriffssicherheit
Lektion 3: Netzwerkzugriffsschutz
Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine neue Windows Server
2008-Technologie, mit der Sie den Zugang zum Netzwerk davon abhängig machen können,
ob ein Clientcomputer über aktuelle Antivirendefinitionen verfügt und die neusten Updates
installiert wurden. Als erfahrener Administrator ist Ihnen wahrscheinlich bewusst, dass die
meisten Viren und Würmer auf Schwachstellen im Betriebssystem und in den Anwendungen
angewiesen sind, die von den Herstellern bereits behoben wurden. NAP ermöglicht es Ihnen,
Computern, die nicht auf dem neusten Stand sind, den Zugang zu Ihrem Netzwerk zu ver-
weigern, indem Sie diesen Computern den VPN-Zugang verweigern, ihnen keine DHCP-
Leases geben oder Technologien wie VLANs oder IPSec verwenden. In dieser Lektion
erfahren Sie etwas über NAP und die Schritte, mit denen Sie diese Technologie in Ihrer
eigenen Umgebung bereitstellen und verwalten können.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Beschreiben der Funktionsweise von NAP
■ Installieren und Konfigurieren der NAP-Infrastruktur
■ Konfigurieren der NAP-Erzwingungsmethoden
Veranschlagte Zeit für diese Lektion: 40 Minuten
Einführung in den Netzwerkzugriffsschutz
NAP ermöglicht Ihnen, den Zugang zum Netzwerk Ihrer Organisation davon abhängig zu
machen, ob ein Clientcomputer bestimmte Sicherheitsstandards erfüllt. Sie können den Zu-
gang zum LAN mit verschiedenen NAP-Methoden beschränken. Jede Methode hat Vor- und
Nachteile. Die einfachste Methode, die DHCP-Erzwingung, erfordert außer Windows Server
2008-DHCP-Servern keine spezielle Infrastruktur. Die 802.1X-Methode setzt Netzwerk-
hardware voraus, die die 802.1x-Authentifizierung unterstützt. Die IPSec-Methode kommt
zwar ohne spezielle Hardware aus, erfordert aber eine komplexe Konfiguration der Zertifi-
katdienste und der Gruppenrichtlinien. NAP kann auch den VPN-Zugriff und den Zugriff
auf Terminaldienste-Gatewayserver beschränken. Diese Lektion beginnt mit einer Beschrei-
bung der Kernkomponenten von NAP. Anschließend werden die verfügbaren Erzwingungs-
methoden vorgestellt.
Konfigurieren der Integritätsrichtlinien
Zu den ersten Schritten vor der Einführung von NAP in Ihrer Umgebung gehört es, die
Kriterien festzulegen, nach denen die Sicherheit oder Integrität von Hosts bewertet werden
soll. Zu diesem Zweck konfigurieren Sie Integritätsrichtlinien, mit denen Systemintegritäts-
Agenten und Systemintegritätsprüfungen gesteuert werden. Systemintegritäts-Agenten
(SHAs, System Health Agents) werden auf einem Clientcomputer installiert und ermitteln
den Integritätsstatus, der an den NAP-Integritätsrichtlinienserver weitergeleitet wird. Win-
dows Vista, Windows Server 2008 und Windows XP mit Service Pack 3 enthalten einen
Standard-SHA, der die Einstellungen des Windows-Sicherheitscenters überwacht. Das er-
möglicht die Erfassung und Weiterleitung von Daten an Integritätsrichtlinienserver. Zu den
Lektion 3: Netzwerkzugriffsschutz 199
Angaben gehört, ob die neusten Updates installiert wurden, ob Antivirus-Software und Anti-
spyware installiert wurde und ob diese auf dem neusten Stand ist. Andere Anbieter können
eigene Systemintegritäts-Agenten entwickeln, um auch andere Komponenten in die Bewer-
tung der Integrität eines Clients einzubeziehen.
Systemintegritätsprüfungen (System Health Validators, SHVs) sind konfigurierbare Krite-
rien, anhand derer der NPS-Server die Integritätsstatusmeldungen der Clients bewertet. Ab-
bildung 4.25 zeigt die Windows-Sicherheitsintegritätsprüfung für Windows Vista. Ein Ad-
ministrator kann mit den Optionen festlegen, wie streng die Integritätsstandards eingehalten
werden müssen. Mancher Administrator hält es vielleicht für ausreichend, wenn auf dem
Clientcomputer ein Antivirusprogramm aktiv ist, während andere nur dann Verbindungen
des Clients zulassen, wenn das Antivirusprogramm aktiv und auf dem neusten Stand ist.
Abbildung 4.25 Windows-Sicherheitsintegritätsprüfung
Windows Vista, Windows Server 2008 und Windows XP mit Service Pack 3 unterstützen
zwar NAP, aber der NAP-Client muss aktiviert werden und der NAP-Agent-Dienst muss so
konfiguriert werden, dass er automatisch gestartet wird. Die gebräuchlichste Methode,
Clientcomputer für NAP zu konfigurieren, führt über die Einstellungen im Knoten Com-
puterkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Network
Access Protection\NAP-Clientkonfiguration eines Gruppenrichtlinienobjekts. Von dort aus
können Sie die NAP-Benutzeroberfläche konfigurieren, Integritätsregistrierungseinstellun-
gen vornehmen und NAP-Erzwingungsmethoden aktivieren. In Abbildung 4.26 wurde der
DHCP-Quarantäneerzwingungsclient aktiviert.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
