Lektion 3: Netzwerkzugriffsschutz 201
Abbildung 4.27 Wartungsservergruppen
Schnelltest
1. NAP verwendet Systemintegritäts-Agenten und Systemintegritätsprüfungen. Was
konfigurieren Sie davon auf einem NPS-Server?
2. Welche Art von Gruppe sollten Sie auf dem NPS-Server konfigurieren, um nichtkon-
forme Computer so umzuleiten, dass sie das erforderliche Material herunterladen
können, um die Zugangsvoraussetzungen zu erfüllen?
Antworten zum Schnelltest
1. Sie konfigurieren auf dem Netzwerkrichtlinienserver Systemintegritätsprüfungen.
2. Wartungsservergruppen sind Listen von Serveradressen, auf denen nichtkonforme
Clients die Dateien und Updates herunterladen können, die erforderlich sind, um die
Zugangsvoraussetzungen zu erfüllen.
NAP-Erzwingung
Auf Windows Vista- und Windows XP SP3-Clients sind zwar bereits ein einfacher System-
integritäts-Agent und NAP-Clients installiert, aber Sie müssen den NAP-Client konfigurie-
ren, damit der NAP-Prozess funktionsfähig wird. Konfigurieren Sie die NAP-Erzwingung in
den
Gruppenrichtlinien. Es ist zwar möglich, mit dem Befehl netsh nap client set enforcement
den Erzwingungsclient unter Angabe seiner ID auch auf einem Computer zu aktivieren, der
nicht mit Gruppenrichtlinien verwaltet wird, aber die Konfiguration von NAP mit Gruppen-
richtlinien ist einfacher. Der entsprechende Knoten in den Gruppenrichtlinien ist Computer-
konfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Network Access
Protection. Unter diesem Knoten können Sie einen Erzwingungsclient konfigurieren (Abbil-
dung 4.28). Es ist auch möglich, eine Benutzerschnittstelle für NAP zu konfigurieren. Dabei
können Sie einen Text und ein Bild festlegen. Beides wird im Verlauf des NAP-Vorgangs auf
202 Kapitel 4: Netzwerkzugriffssicherheit
dem Client angezeigt. Außerdem können Sie Einstellungen für die Integritätsregistrierungs-
stelle vornehmen, falls Sie die Erzwingungsmethode NAP mit IPSec verwenden.
Abbildung 4.28 NAP-Erzwingungsclients
Gewöhnlich empfiehlt es sich auch, eine Gruppenrichtlinie zu konfigurieren, die für den
automatischen Start des NAP-Agenten auf Clientcomputern sorgt. Der Rest dieser Lektion
beschreibt, wie die verschiedenen Methoden der NAP-Erzwingung implementiert und kon-
figuriert werden.
Hinweis Für NAP ungeeignete Clientcomputer
Zur Bereitstellung von NAP gehört es, eine Lösung für Clientcomputer zu finden, die nicht
für NAP geeignet sind. Es wurden zwar für viele Betriebssysteme, die nicht von Microsoft
stammen, NAP-Clients entwickelt, aber manche Clients eignen sich nicht für den Prozess.
Wenn Sie eine NAP-Richtlinie konfigurieren, haben Sie die Möglichkeit, den Computern,
die sich nicht für NAP eignen, den vollen Netzwerkzugriff zu gewähren.
NAP-Erzwingung mit DHCP
Von den NAP-Erzwingungsmethoden, die Administratoren unter Windows Server 2008 zur
Verfügung stehen, ist die DHCP-Erzwingungsmethode am einfachsten zu implementieren.
Wenn Sie NAP mit DHCP erzwingen, richten Sie einen DHCP-Server so ein, dass er für
Computer, die die Zugangsvoraussetzungen erfüllen, einen bestimmten IPv4-Adressbereich
vorsieht, und für die anderen Computer, die die Zugangsvoraussetzungen nicht erfüllen,
einen anderen verwendet. Die IPv4-Adressen, die an konforme Computer ausgegeben wer-
den, ermöglichen den unbeschränkten Zugang zu anderen Hosts aus dem Netzwerk. Die
IPv4-Adressen, die an Computer ausgegeben werden, die nicht die Zugangsvoraussetzungen
erfüllen, lassen nur den Zugriff auf eine bestimmte Teilmenge der Hosts zu. Gewöhnlich
handelt es sich dabei um Hosts, die für die Wartung verwendet werden.
Wird die DHCP-NAP-Erzwingungsmethode verwendet, erfolgt die Erzwingung nur wäh-
rend der ersten Adresszuweisung oder während der Adresserneuerung. Da es durchaus ge-
schehen kann, dass ein Host nicht mehr die Zugangsvoraussetzungen erfüllt, nachdem er
eine gültige IP-Adresse erhalten hat, sollten Sie kurze DHCP-Leases konfigurieren. Kurze
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
