Lektion 3: Netzwerkzugriffsschutz 215
■ Mit der VPN-Erzwingung können Sie nichtkonforme Computer daran hindern, erfolg-
reich VPN-Verbindungen mit geschützten Netzwerken herzustellen.
■ Die 802.1X-Erzwingung verwendet VLANs oder IPSec-Filter, um nichtkonforme
Computer an der Kommunikation mit Hosts aus dem Organisationsnetzwerk zu
hindern.
■ Terminaldienstegateway-NAP hindert nichtkonforme Computer am Zugriff auf Termi-
nalserver.
■ Netzwerkrichtlinienserver werden als Komponente der Rolle Netzwerkrichtlinien- und
Zugriffsdienste installiert. Auf diesen Servern konfigurieren Sie Integritätsrichtlinien
und den Umfang der Systemintegritätsprüfungen.
Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen über den Stoff aus Lektion 3, „Netzwerk-
zugriffsschutz“, überprüfen. Die Fragen finden Sie (in englischer Sprache) auch auf der
Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen eines Übungstests be-
antworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
1. In Ihrer Organisation wurde NAP mit der IPSec-Erzwingungsmethode eingeführt. Sie
versuchen, ein Problem zu lösen. Die Antivirussoftware eines Computers, auf dem
Windows Vista ausgeführt wird und an dem Sie arbeiten, ist bereits seit sechs Wochen
veraltet. Trotzdem kann der Computer ein Integritätszertifikat anfordern und erfolg-
reich eine Verbindung mit geschützten Servern herstellen. Wenn Sie die Antivirussoft-
ware deaktivieren, erfüllt der Computer nicht mehr die Zugangsvoraussetzungen und
kann keinen Kontakt mehr zu den geschützten Servern herstellen. Was müssen Sie tun,
um sicherzustellen, dass NAP-Clients in Ihrer Organisation als unzureichend geschützt
eingestuft werden, wenn die Antivirendefinitionen veraltet sind?
A. Aktualisieren der SHA-Konfiguration auf allen Clients
B. Aktualisieren der SHV-Konfiguration auf dem Netzwerkrichtlinienserver
C. Aktualisieren der SHA-Konfiguration auf dem Netzwerkrichtlinienserver
D. Aktualisieren der SHV-Konfiguration auf allen Clients
2. Aus historischen Gründen wurden einige Entwickler auf ihren Desktopcomputern, auf
denen Windows Vista Enterprise verwendet wird, in die lokale Gruppe Administrato-
ren aufgenommen. Sie arbeiten noch an der Frage, welche NAP-Erzwingungsmethode
in Ihrer Organisation eingesetzt werden soll. Welche der folgenden Methoden für den
lokalen Netzwerkzugriff sollten Sie nicht wählen, um sicherzustellen, dass diese Ent-
wickler den NAP-Prozess nicht umgehen können, wenn sie ihre Desktopcomputer
verwenden?
216 Kapitel 4: Netzwerkzugriffssicherheit
A. IPSec-Erzwingung
B. DHCP-Erzwingung
C. 802.1X-Erzwingung
D. VPN-Erzwingung
E. Terminaldienstegateway-NAP-Erzwingung
3. Ihre Organisation ist dabei, die Netzwerkinfrastruktur von Windows Server 2003 auf
Windows Server 2008 umzustellen. Sie wurden beauftragt, in Ihrer Organisation NAP
mit der DHCP-Erzwingungsmethode einzuführen. In jeder Domäne der Gesamtstruk-
tur gibt es zwar inzwischen Windows Server 2008-Domänencontroller, aber auch noch
zahlreiche Windows Server 2003-Domänencontroller. Bei allen DNS-Zonen handelt es
sich um Active Directory-integrierte Zonen. Sämtliche DHCP-Server wurden auf Mit-
gliedsservern installiert, auf denen Windows Server 2003 verwendet wird. Welche der
folgenden Änderungen müssen Sie vornehmen, damit in Ihrer Organisation erfolgreich
NAP mit DHCP-Erzwingung verwendet werden kann?
A. Umstellen aller Domänen auf die Funktionsebene Windows Server 2008
B. Umstellen der Gesamtstruktur auf die Funktionsebene Windows Server 2008
C. Aktualisieren aller Domänencontroller auf Windows Server 2008
D. Aktualisieren aller DHCP-Server auf Windows Server 2008
4. Welche der folgenden Methoden werden verwendet, um den Umfang zu kontrollieren,
in dem konforme, nichtkonforme und nichtauthentifizierte Computer Zugang zum
Netzwerk erhalten, wenn die 802.1X-NAP-Erzwingungsmethode verwendet wird?
(Wählen Sie zwei aus. Jede korrekte Antwort stellt eine vollständige Lösung dar.)
A. IPSec-Zertifikat
B. IP-Adresslease
C. Zugriffspunkt-ACL
D. Virtuelles lokales Netzwerk
E. Subnetzmaske
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
