(0) exportieren Drucken
Alle erweitern

Neues zum Netzwerkzugriffsschutz

Letzte Aktualisierung: Januar 2009

Betrifft: Windows Server 2008 R2

Worin bestehen die wichtigsten Änderungen?

Der Netzwerkzugriffsschutz (Network Access Protection, NAP) umfasst in Windows Server® 2008 R2 das folgende neue Feature:

  • SHV für mehrere Konfigurationen. Dieses Feature berücksichtigt die Kosten für Bereitstellung und Betrieb von NAP-Servern, indem Sie mehrere Konfigurationen für eine Systemintegritätsprüfung (System Health Validator, SHV) angeben können. Wenn Sie eine Integritätsrichtlinie konfigurieren, können Sie eine dieser SHV-Konfigurationen auswählen. Beim Konfigurieren einer Netzwerkrichtlinie für die Integritätsüberprüfung wählen Sie eine bestimmte Integritätsrichtlinie aus. Daher können mit unterschiedlichen Netzwerkrichtlinien unterschiedliche Gruppen von Integritätsanforderungen auf Grundlage einer bestimmten Konfiguration der SHV angegeben werden. Sie können z. B. eine Netzwerkrichtlinie erstellen, in der angegeben wird, dass auf über das Intranet verbundenen Computern Antivirensoftware aktiviert sein muss. In einer weiteren Netzwerkrichtlinie können Sie angeben, dass auf über VPN verbundenen Computern Antivirensoftware aktiviert und die Signaturdatei aktuell sein muss.

NAP stellt in Windows® 7 das folgende neue Feature bereit:

  • Verbesserungen der NAP-Clientbenutzeroberfläche. Nach der Auswertung von Feedback zur Endbenutzerinteraktion mit NAP in Bereitstellungen von Microsoft und Partnern wurde die Benutzerfreundlichkeit für Endbenutzer erhöht, indem die NAP-Clientbenutzeroberfläche auf Computern mit Windows 7 im Wartungscenter integriert wurde.

Für wen sind diese Features von besonderem Interesse?

Für Netzwerkadministratoren, Systemadministratoren und Netzwerkarchitekten, die eine NAP-Bereitstellung verwalten, sind diese Features interessant.

Gibt es spezielle Überlegungen?

Im Folgenden werden spezielle Überlegungen für die Verwendung der neuen Features mit NAP aufgeführt:

  • Für die Verwendung von SHVs für mehrere Konfigurationen muss auf NAP-Integritätsrichtlinienservern das Betriebssystem Windows Server 2008 R2 ausgeführt werden.

  • SHVs für mehrere Konfigurationen sind nur für SHVs verfügbar, die dieses Feature unterstützen, z. B. die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV).

  • Wenn Sie die Verbesserungen der AP-Clientbenutzeroberfläche verwenden möchten, muss auf den Clientcomputern ein Windows 7-Betriebssystem ausgeführt werden.

Welche neuen Funktionen werden durch diese Features bereitgestellt?

Diese Features stellen eine höhere Flexibilität und Einfachheit für Administratoren bereit, die NAP-Infrastrukturen verwalten. In den folgenden Abschnitten wird beschrieben, wie Sie diese Verbesserungen verwenden können.

SHV für mehrere Konfigurationen

Mithilfe von Systemintegritätsprüfungen werden die Konfigurationsanforderungen für Computer definiert, die eine Verbindung mit dem Netzwerk herzustellen versuchen. Die WSHV kann z. B. so konfiguriert werden, dass einige oder alle der folgenden Mechanismen auf NAP-Clientcomputern aktiviert sein müssen:

  • Firewall. Wenn dies ausgewählt wird, muss der Clientcomputer über ein Firewall verfügen, die im Windows-Sicherheitscenter registriert und für alle Netzwerkverbindungen aktiviert ist.

  • Virenschutz. Wenn dies ausgewählt wird, muss auf dem Clientcomputer eine Antivirenanwendung installiert, im Windows-Sicherheitscenter registriert und aktiviert sein.

  • Die Antivirenanwendung ist aktuell. Wenn dies ausgewählt wird, kann auf dem Clientcomputer auch überprüft werden, ob die Antivirensignaturdatei aktuell ist.

  • Spywareschutz. Wenn dies ausgewählt wird, muss auf dem Clientcomputer eine Antispywareanwendung installiert, im Windows-Sicherheitscenter registriert und aktiviert sein.

  • Die Antispyware ist aktuell. Wenn dies ausgewählt wird, kann auf dem Clientcomputer auch überprüft werden, ob die Antispywaresignaturdatei aktuell ist.

  • Automatische Updates Wenn dies ausgewählt wird, muss der Clientcomputer so konfiguriert sein, dass Windows Update auf neue Aktualisierungen überprüft wird. Sie können auswählen, ob diese heruntergeladen und installiert werden.

  • Sicherheitsupdateschutz. Wenn dies ausgewählt wird, müssen auf dem Clientcomputer Sicherheitsupdates entsprechend einer der vier Schweregradbewertungen der Sicherheit im Microsoft Security Response Center (MSRC) installiert werden. Der Client muss diese Updates in angegebenen Abständen suchen. Sie können auswählen, ob Sicherheitsupdates über Windows Server Update Services (WSUS), Windows Update oder beide Dienste abgerufen werden sollen.

Damit sichergestellt ist, dass NAP-Clientcomputer diese Anforderungen erfüllen, müssen Sie WSHV-Einstellungen konfigurieren, WSHV in einer Integritätsrichtlinie aktivieren und die Bedingung für die Integritätsrichtlinie dann einer Netzwerkrichtlinie hinzufügen.

Wenn eine SHV das Feature für SHVs mit mehreren Konfigurationen unterstützt, können unterschiedliche Einstellungen in mehreren SHV-Konfigurationsprofilen gespeichert werden. Beim Konfigurieren einer Integritätsrichtlinie können Sie auswählen, welche SHV verwendet wird, und benutzerdefinierte Einstellungen für die SHV festlegen, wenn diese konfiguriert wurden. Mit diesem Feature können Sie z. B. die folgenden zwei Integritätsrichtlinienkonfigurationen erstellen:

  • Standardkonfiguration. Auf dem Clientcomputer müssen eine Firewall und Windows Update aktiviert sein, es müssen Antiviren- und Antispywareanwendungen aktiviert und aktuell sein, und alle wichtigen Sicherheitsupdates müssen installiert sein.

  • Vertrauenswürdige Konfiguration. Auf dem Clientcomputer muss eine Antivirenanwendung aktiviert und aktuell sein.

Mithilfe dieser Einstellungen können dann Integritätsrichtlinien erstellt werden, in denen die Einstellungen für die Standardkonfiguration oder die vertrauenswürdige Konfiguration erfordert werden. Sie können so viele unterschiedliche Konfigurationseinstellungen erstellen, wie Sie benötigen.

Welche Relevanz hat diese Änderung?

Zuvor musste ein anderer NAP-Integritätsrichtlinienserver verwendet werden, um andere Konfigurationen für die gleiche SHV anzugeben. Mit SHVs für mehrere Konfigurationen können mit einem NAP-Integritätsrichtlinienserver mehrere Konfigurationen für die gleiche SHV bereitgestellt werden.

Worin liegen die Unterschiede?

SHVs für mehrere Konfigurationen haben Auswirkungen auf die Verfahren zum Konfigurieren von SHVs und Integritätsrichtlinien. Die SHV-Konfiguration wird in die Einstellungskonfiguration und die Fehlercodekonfiguration unterteilt. Wenn eine SHV die SHV für mehrere Konfigurationen unterstützt, können zusätzliche Einstellungen erstellt werden, indem Sie mit der rechten Maustaste auf Einstellungen klicken, auf Neu klicken und dann einen Anzeigenamen für die neue Konfiguration eingeben. Wenn eine SHV keine SHV für mehrere Konfigurationen unterstützt, können Sie Anforderungen mithilfe der Einstellungen für Standardkonfiguration konfigurieren.

Gibt es Abhängigkeiten?

Die SHV für mehrere Konfigurationen ist nur verfügbar, wenn der SHV-Hersteller die Unterstützung dieses Features in der SHV vorgesehen hat.

Welche Vorbereitungen sollten für diese Änderung getroffen werden?

Überprüfen Sie die NAP-Richtlinienkonfiguration und die Einstellungen auf allen NAP-Integritätsrichtlinienservern im Netzwerk, um zu ermitteln, welche Auswirkungen dieses Feature auf diese hat. Wenn Sie diese Server von Windows Server® 2008 auf Windows Server 2008 R2 upgraden, stellen Sie sicher, dass alle SHV-Einstellungen richtig in die Einstellungen für Standardkonfiguration für alle installierten SHVs migriert werden.

Verbesserungen der NAP-Clientbenutzeroberfläche

Die Benutzerfreundlichkeit für Endbenutzer wurde erhöht, indem die für die Endbenutzer angezeigten Meldungen zu NAP verbessert wurden und die NAP-Clientbenutzeroberfläche auf Computern mit Windows 7 im Wartungscenter integriert wurde. Im Wartungscenter können Sie zentral Warnungen anzeigen und Aktionen ausführen, die zur reibungslosen Ausführung von Windows beitragen.

Welche Relevanz hat diese Änderung?

Durch die Integration von NAP-Clientbenachrichtigungen im Wartungscenter erhält der Endbenutzer einen Überblick über alle wichtigen Sicherheits- und Wartungseinstellungen auf dem Computer, die seine Aufmerksamkeit erfordern könnten.

Worin liegen die Unterschiede?

Wenn Einstellungen oder Dienste auf dem Computer eines Endbenutzers die Netzwerkanforderungen nicht erfüllen, erhält der Endbenutzer möglicherweise eine NAP-Benachrichtigung. Diese Nachrichten wurden optimiert und auf Computern unter Windows 7 im Wartungscenter integriert.

Gibt es Abhängigkeiten?

NAP-Clientbenachrichtigungen werden nur auf Computern bereitgestellt, auf denen der NAP-Agent-Dienst ausgeführt wird. Das Wartungscenter ist nur auf Computern verfügbar, auf denen Windows 7 ausgeführt wird.

Welche Vorbereitungen sollten für diese Änderung getroffen werden?

Überprüfen Sie die Nachrichtentypen, die auf Computern unter Windows 7 im Wartungscenter bereitgestellt werden. Ein rotes Element im Wartungscenter gibt z. B. an, dass es sich um ein wichtiges Problem handelt, das kurzfristig behoben werden muss. Bei gelben Elementen handelt es sich um Vorschläge für Aufgaben, z. B. Wartungsaufgaben.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft