• Artikel

Sicherheit auf dem PrüfstandNetzwerkzugriffschutz

John Morello

Die Informationen in dieser Rubrik über Vorabversionen von Windows Server „Longhorn“ können sich jederzeit ändern.

Eine der größten Sicherheitsbedrohungen, denen sich Organisationen aller Größenordnungen in der heutigen Zeit gegenüber sehen, sind schädliche Geräte innerhalb des Netzwerkumkreises. Unabhängig davon, wie gut sich eine Organisation gegen externe Bedrohungen aus dem Internet geschützt hat, kann die Sicherheit der Organisation durch arglose Angestellte gefährdet werden, die unwissentlich als Angriffsmöglichkeit für die

Verbreitung schädlicher Software durch einen Wurm oder Trojaner missbraucht werden. Dies gilt besonders für IT-Umgebungen kleiner und mittlerer Organisationen, in denen Mitarbeiter ihre Laptops sowohl für geschäftliche als auch für private Zwecke nutzen und für die eine Implementierung von Technologien für die Netzwerkzugriffsteuerung oftmals zu teuer und zu komplex ist. Genau diese Organisationen bezahlen jedoch regelmäßig einen hohen Preis für Ausfallzeiten, sodass ein Schutz gegen diese Bedrohungen überaus wichtig ist.

Die NAP-Technologie (Netzwerkzugriffschutz, Network Access Protection) von Microsoft ermöglicht Organisationen aller Größenordnungen, den Zustand der Computer beim Einbinden in das Netzwerk proaktiv zu überprüfen und ständig dafür zu sorgen, dass diese Computer für die Dauer der Verbindung in einwandfreiem Zustand sind. NAP stellt Organisationen eine flexible, auf Richtlinien basierende Architektur zur Verfügung, um sich vor Computern zu schützen, die gegen Richtlinien verstoßen und die von Angestellten, Vertragspartnern oder Besuchern vorsätzlich oder versehentlich in das Netzwerk eingebracht werden. NAP baut auf vier Grundsäulen auf: Richtlinienüberprüfung, Isolierung, Wiederherstellung und kontinuierliche Einhaltung von Richtlinien.

Überblick über NAP

Der erste von NAP bereitgestellte Kerndienst ist die Richtlinienüberprüfung. Die Richtlinienüberprüfung ist der Prozess, in dem NAP ein System anhand einer Gruppe von durch den Administrator definierten Regeln bewertet und den Zustand des Systems klassifiziert.

IT-Administratoren geben eine Gruppe von Richtlinienelementen vor, anhand derer NAP Computer beim Verbindungsversuch mit dem Netzwerk bewertet werden. Computer, die den Richtlinienelementen entsprechen, werden als einwandfrei eingestuft, Computer hingegen, die einen oder mehrere dieser Tests nicht bestehen (wie vom Administrator vorgegeben), werden als nicht einwandfrei angesehen. Mithilfe dieser Richtlinien können verschiedenste Faktoren geprüft werden, z. B. das Vorhandensein von Antivirus- und Antispywaresoftware, ob eine Hostfirewall aktiv ist und ob der Computer über alle Sicherheitsupdates verfügt. Da NAP auf Erweiterbarkeit ausgelegt ist, können unabhängige Softwarehersteller zusätzlich ihre eigenen Plug-Ins für NAP erstellen, mit denen anwendungsspezifische Tests durchgeführt werden können.

Ein anderer wichtiger von NAP bereitgestellter Dienst ist die Einschränkung der Netzwerkkonnektivität. Abhängig von den durch einen Administrator festgelegten Richtlinien kann NAP Computer in verschiedene Zustände der Netzwerkkonnektivität versetzen. Wenn ein Computer z. B. als nicht einwandfrei angesehen wird, weil kritische Sicherheitsupdates fehlen, kann NAP diesen Computer in ein Quarantänenetzwerk platzieren, in dem der Computer so lange von der übrigen Umgebung isoliert wird, bis er wieder in einem einwandfreien Zustand ist. Ohne NAP hätte der nicht einwandfreie Client ungehinderten Zugriff auf das Netzwerk der Organisation. Wenn schädliche Software durch Sicherheitslücken auf den Computer gelangen könnte, die durch die fehlenden Updates geschlossen würden, könnte der Computer eine solche Infektion aktiv in das übrige Netzwerk verbreiten. Abbildung 1 zeigt einen Überblick der allgemeinen Architektur von NAP.

Abbildung 1 Allgemeine Architektur von NAP

Abbildung 1** Allgemeine Architektur von NAP **(Klicken Sie zum Vergrößern auf das Bild)

Ein einfaches Einschränken der Konnektivität ist jedoch keine effiziente Option für den Umgang mit nicht einwandfreien Computern (schließlich haben die Benutzer immer noch ihre Arbeit zu erledigen). Daher stellt NAP außerdem Wartungsdienste bereit, mit denen nicht einwandfreie und in Quarantäne versetzte Computer ohne Administratoreingriff in einen einwandfreien Zustand versetzt werden können. Im Beispiel oben würde das eingeschränkte Netzwerk dem nicht einwandfreien Computer lediglich ermöglichen, auf bestimmte Netzwerkressourcen zuzugreifen, die für die Installation fehlender Updates erforderlich sind, z. B. auf den Computer mit den Windows Server® Update Services (WSUS) der Organisation. Anders ausgedrückt: Mit installiertem NAP kann der nicht einwandfreie Computer lediglich auf die Netzwerkressourcen zugreifen, die den Computer in einen einwandfreien Zustand versetzen können, und der Computer kann erst dann Daten an das übrige Netzwerk senden, wenn er sich in einem einwandfreien Zustand befindet.

Die letzte Säule von NAP ist die kontinuierliche Einhaltung von Richtlinien, wobei die Zustandsrichtlinien so lange durchgesetzt werden, wie der Computer mit dem Netzwerk verbunden ist, nicht nur beim ersten Verbindungsaufbau. Überlegen wir uns anhand des Beispiels, was geschehen würde, wenn sich der Computer selbstständig aktualisiert hat und sich nun in einem einwandfreien Zustand befindet (und daher uneingeschränkten Netzwerkzugriff erhält). Wenn dieser Computer zu einem späteren Zeitpunkt erneut gegen Richtlinien verstößt, z. B. weil die Windows-Firewall deaktiviert wurde, kann NAP diesen Computer automatisch wieder unter Quarantäne stellen. NAP ermöglicht Administratoren außerdem, eine Auto-Wiederherstellung zu konfigurieren, wodurch der unzulässige Zustand automatisch und ohne zusätzlichen Benutzereingriff korrigiert wird, und dies auch noch lange nach dem ersten Verbindungsaufbau zum Netzwerk.

NAP nutzt mehrere verschiedene Verfahren für die Steuerung des Netzwerkzugriffs. Für Organisationen mit verwalteten Netzwerkswitches kann mithilfe von 802.1X eine auf Ports basierende Zugriffssteuerung auf der Hardwareschicht des Netzwerks realisiert werden. NAP bietet außerdem die Fähigkeit, eine auf IPSec-basierende Durchsetzung von Richtlinien zu realisieren, wobei mittels IPSec-Zuordnungen abgesicherte Netzwerke erstellt und über die physischen Netzwerke geschichtet werden. Mit der auf IPSec basierenden Durchsetzung von Richtlinien steuert NAP den Zugriff auf die sichere Zone, indem vom IPSec-Modul genutzte Zertifikate ausgegeben und entfernt werden. NAP kann weiterhin auch eine auf DHCP basierende Durchsetzung von Richtlinien gewährleisten. In diesem Fall weist der DHCP-Server nicht einwandfreien Clients IP-Leases von eingeschränkten Pools zu. Bei diesen Leases wird mithilfe von separaten DNS-Suffixen und IP-Routen gesteuert, auf welche Ressourcen ein mit Einschränkungen belegter Client zugreifen kann.

Die NAP-Serverkomponente baut auf der Folgeversion von Windows Server mit dem Codenamen „Longhorn“ auf, speziell auf dem neuen Netzwerkrichtlinienserver (Network Policy Server, NPS), dem erheblich erweiterten Nachfolger der Internetauthentifizierungsdienste. Für Organisationen, die mit einer auf 802.1X-basierenden Durchsetzung von Richtlinien arbeiten, muss die Netzwerkhardware 802.1X-Authentifizierung und dynamische VLAN-Funktionen unterstützen (detaillierte Informationen über konkrete Hardwarehersteller finden Sie auf der Website für NAP-Partner in der Randleiste zu NAP-Ressourcen). Für die auf DHCP basierende Durchsetzung von Richtlinien ist ein NAP-fähiger DHCP-Dienst erforderlich, z. B. der in Windows Server „Longhorn“ verfügbare Dienst. Auf dem Client ist die Unterstützung von NAP bereits in Windows Vista™ integriert. NAP-Unterstützung steht außerdem zukünftig als Add-On für Windows® XP gemeinsam mit einem neuen 802.1X-Supplicant zur Verfügung, der die 802.1X-Durchsetzung unter Windows XP ermöglicht.

Außerdem kann NAP in das Windows-Sicherheitscenter sowie in Systemintegritätsagents von Drittanbietern integriert werden und Informationen über den Zustand von Computern liefern. Aus diesem Grund ist NAP in der Lage, anhand der durch das Sicherheitscenter bereitgestellten Daten bei der Überprüfung der Einhaltung von Richtlinien Entscheidungen zu treffen.

NAP ist eine außerordentlich leistungsstarke Unternehmenslösung für die Verwaltung von Richtlinien. Daher ist es unmöglich, sämtliche Features und Bereitstellungsstrategien in einem einzigen Artikel abzuhandeln. Aus diesem Grund konzentriert sich dieser Artikel auf Bereitstellungen in kleinen und mittleren Organisationen, in denen die verfügbare Zeit des IT-Personals knapp genug bemessen ist und die NAP-Bereitstellung so optimiert werden kann, dass sich die für die Bereitstellung erforderlichen Investitionen schnell amortisieren. Viele der Hinweise und allgemeinen Anleitungen können jedoch auch auf einen NAP-Entwurf für Organisationen beliebiger Größe übernommen werden. Diese exemplarische Vorgehensweise ist allerdings nicht als Handbuch für ein schrittweises Setup gedacht, sondern eher als allgemeiner Überblick über die wichtigsten Schwerpunkte einer erfolgreichen Bereitstellung von auf DHCP basierendem NAP. Einen Link zu einem ausführlichen Setuphandbuch finden Sie in der Randleiste mit NAP-Ressourcen.

Problembeschreibung anhand von Contoso

Im Folgenden wird Contoso Inc. als Beispiel dafür herangezogen, wie NAP die speziellen Anforderungen kleiner und mittlerer Organisationen abdeckt. Contoso ist eine fiktive Organisation mittlerer Größe mit 250 Computern in insgesamt drei Hauptniederlassungen. Das Personal von Contoso arbeitet auf hochgradig mobile Weise, und viele Benutzer sind als Fernmitarbeiter tätig oder bauen von entfernten Kundenstandorten eine Verbindung zurück zur Hauptniederlassung auf. Aus diesem Grund besteht mehr als die Hälfte des gesamten Computerbestands aus Laptops und Tablet-PCs. Wie viele andere Organisationen auch sieht sich Contoso immer stärker wachsenden Sicherheitsherausforderungen gegenüber, da sich die Mobilität des Personals ständig erhöht. Einige Benutzer mit mobilen Computern haben sich schädliche Software von Kundensites oder Heimbüros eingehandelt und infizierte Computer an das interne Netzwerk von Contoso angeschlossen.

Contoso hat außerdem Schwierigkeiten, die Remotecomputer auf dem aktuellen Stand zu halten. Oftmals arbeiten Benutzer über längere Zeit von Kundenstandorten aus, bevor sie wieder in ein Büro von Contoso zurückkehren. In diesen Fällen liegen die von diesen Angestellten genutzten Computer oftmals Monate hinter den neuesten Sicherheitsupdates zurück, wodurch sich das allgemeine Risiko für die übrigen Computer im Netzwerk von Contoso erhöht. Contoso benötigt eine Lösung, mit der sichergestellt werden kann, dass alle Computer mit Verbindung zum Firmennetzwerk, ob von einem Remotestandort aus oder lokal, sicher und in einem einwandfreien Zustand sind.

Wie kann Contoso diese Ziele mithilfe von NAP erreichen? Rufen Sie sich die Hauptsäulen von NAP ins Gedächtnis zurück. Durch die Richtlinienüberprüfung kann NAP den Zustand aller Computer testen, die eine Verbindung zum Netzwerk von Contoso herstellen. Durch die Richtlinienüberprüfung kann ermittelt werden, ob ein Computer über aktuelle Antivirensignaturen verfügt und mit allen Sicherheitsupdates ausgestattet ist. Wenn die NAP-Routinen zur Richtlinienüberprüfung erkennen, dass sich ein Computer in einem nicht einwandfreien Zustand befindet, kann NAP die Konnektivität zum Netzwerk für nicht einwandfreie Hosts einschränken. Dadurch wird sichergestellt, dass ein Computer, der außerhalb des Unternehmens genutzt wurde und auf dem sich schädliche Software befindet, das Problem nicht in andere Bereiche des Netzwerks einbringen kann. NAP schränkt in diesem Fall die Konnektivität des verdächtigen Computers ein, damit dieser Computer ausschließlich auf die vom IT-Administrator von Contoso festgelegten Wiederherstellungsressourcen zugreifen kann. So würde der verdächtige Computer z. B. Zugriff auf den Contoso WSUS-Server und die auf Servern gehosteten Antivirensignaturen erhalten. Letztendlich kann NAP sicherstellen, dass nach der Wiederherstellung eines einwandfreien Zustands des Computers dieser Zustand auch kontinuierlich aufrechterhalten wird. Wenn der verdächtige Host von einem Fernpendler über VPN genutzt würde und der Benutzer die Firewall deaktiviert hätte, würde NAP im hier aufgeführten Beispiel das Problem automatisch beheben. Sobald die Firewall deaktiviert wurde, würde die NAP-Infrastruktur den Computer unter Quarantäne stellen, die Firewall wieder aktivieren, den Zustand des Computers erneut bewerten und, nach der Feststellung eines ordnungsgemäßen Zustands des Computers, dem Computer wieder uneingeschränkten Netzwerkzugriff ermöglichen. Durch die vier Säulen von NAP können die grundlegenden Sicherheitsanforderungen für die dynamische und mobile Computerumgebung von Contoso also direkt behandelt werden.

Der NAP-Entwurf

Für viele kleine und mittlere Organisationen ist eine auf DHCP basierende Durchsetzung von NAP die am schnellsten und am einfachsten umzusetzende Implementierungsmöglichkeit. Dies liegt daran, dass eine Durchsetzung mittels DHCP keine zusätzlichen Änderungen am Netzwerk und keine zusätzlichen Dienste über DHCP und NPS hinaus erfordert. Obwohl die Optionen für die Durchsetzung mittels IPSec und 802.1X flexibler sind, erfordern diese Optionen zusätzliche Änderungen am Netzwerk und die Bereitstellung neuer Dienste. Für Umgebungen geringerer Komplexität bietet die Verwendung von DHCP den größten Nutzeffekt von NAP, bei bedeutend geringeren Implementierungskosten und bei geringerem finanziellem Aufwand für den Betrieb.

In der Umgebung von Contoso wird als Herzstück für die Bereitstellung von NAP ein Computer genutzt, auf dem der Windows Server „Longhorn“ ausgeführt wird. Da NAP einen Windows Server „Longhorn“ NPS erfordert, kann NAP nicht unter früheren Versionen von Windows Server bereitgestellt werden. Auf DHCP basierende Durchsetzung von NAP erfordert weiterhin einen Windows Server „Longhorn“ DHCP-Server. Um Dienste zu konsolidieren, kann Contoso sowohl NPS als auch DHCP auf dem gleichen Server bereitstellen, da die beiden Programme ohne Probleme nebeneinander existieren können. Die grundlegende NAP-Server-Infrastruktur für Contoso ist also recht einfach: Ein einziger Computer mit Windows Server „Longhorn“ führt sowohl die Richtlinienkomponente als auch die Durchsetzungskomponente aus.

Clientseitig verfügen die Computer von Contoso, auf denen Windows Vista ausgeführt wird, bereits über die notwendigen Funktionen für die Unterstützung von NAP. Die einzige clientseitig erforderliche Änderung bei Computern mit Windows Vista besteht im Aktivieren der NAP-Funktionalität. Dies kann durch Gruppenrichtlinien erfolgen. Auf den Computern von Contoso, auf denen Windows XP ausgeführt wird, ist ein gesondertes NAP-Clientpaket zu installieren. Bei Computern, auf denen Windows XP ausgeführt wird und die zu Domänen zusammengeschlossen sind, ist das Windows-Sicherheitscenter standardmäßig deaktiviert. Wenn die NAP-Richtlinie den Zustand von Computern mithilfe von Statusinformationen des Sicherheitscenters bewertet, muss das Sicherheitscenter ausgeführt werden, damit NAP ordnungsgemäß funktioniert. Daher haben die Administratoren für alle Computer von Contoso, auf denen Windows XP ausgeführt wird, das Sicherheitscenter mithilfe einer Gruppenrichtlinie aktiviert. Über diese Änderungen hinaus sind clientseitig keine weiteren Schritte für die Unterstützung von NAP erforderlich.

NAP-Bereitstellung bei Contoso

Wenn Contoso die weiter oben erläuterten erforderlichen Änderungen an der Gruppenrichtlinie vorgenommen hat, muss als nächster Schritt der Bereitstellung von NAP der Windows Server „Longhorn“ installiert werden. Alle Versionen von Windows Server „Longhorn“ verfügen über die erforderlichen NAP-Komponenten. Contoso kann also die für das Unternehmen am besten geeignete Version verwenden. Nach Abschluss der Installation fügt der Administrator mithilfe des Server-Manager-Tools den Computern neue Rollen hinzu. Für die auf DHCP basierende Durchsetzung, die bei Contoso zur Anwendung kommt, sind die erforderlichen Rollen „Network Access Services“ und „DHCP Server“. Der Administrator wird bei der Verwaltung von Abhängigkeiten und beim Einfügen zusätzlicher gewünschter Features vom Assistenten für das Hinzufügen von Rollen unterstützt. Wenn alle Rollen hinzugefügt sind, kann Contoso mit dem Konfigurieren von NAP beginnen.

Der Administrator von Contoso greift mithilfe des Server-Manager-Tools auf das DHCP- Snap-In für die Microsoft Management Console (MMC) zu und fügt einen neuen Bereich hinzu. Durch das Konfigurieren des DHCP-Servers von Windows Server „Longhorn“ wird bewirkt, dass alle vorhandenen DHCP-Dienste in den bedienten IP-Segmenten ersetzt werden. Nachdem der Bereich erstellt und auf der Basis des Contoso-Netzwerks mit den richtigen Optionen aufgefüllt wurde, muss NAP im Netzwerk aktiviert werden. Dies erfolgt auf der Registerkarte „Network Access Protection“ der Bereichseigenschaften (siehe Abbildung 2).

Abbildung 2 Aktivieren von NAP

Abbildung 2** Aktivieren von NAP **(Klicken Sie zum Vergrößern auf das Bild)

NAP setzt Computer innerhalb des gleichen Bereichs mithilfe einer neuen NAP-Benutzerklassenbereichsoption auf eingeschränkten oder uneingeschränkten Netzwerkzugriff. Dieser besondere Satz von Bereichsoptionen (einschließlich DNS-Server, Standard-DNS-Suffix usw.) wird verwendet, wenn Leases für Clients in nicht einwandfreiem Zustand bereitgestellt werden. So erhalten z. B. Clients in ordnungsgemäßem Zustand das Standard-DNS-Suffix „contoso.com“, Clients in einem nicht einwandfreien Zustand hingegen das Suffix „restricted.contoso.com“ (siehe Abbildung 3). Nach Konfiguration der DHCP-Bereichsoptionen können der Netzwerkrichtlinienserver eingerichtet und Regeln angelegt werden.

Abbildung 3 Eingeschränkter Zugriff

Abbildung 3** Eingeschränkter Zugriff **(Klicken Sie zum Vergrößern auf das Bild)

Die NPS-Richtlinie besteht aus vier Hauptkomponenten. Durch Systemintegritätsprüfungen (System Health Validators, SHV) wird festgelegt, welche Überprüfungen zur Bewertung des Zustands eines Computers durchgeführt werden. Wartungsservergruppen enthalten die Liste der Systeme, auf die Computer in einem nicht einwandfreien Zustand zugreifen dürfen, um wieder einen einwandfreien Zustand herzustellen (z. B. WSUS). Mithilfe der Vorlage für Systemintegritätsprüfungen werden die eigentlichen Zustände definiert. Zum Beispiel könnte Contoso festlegen, dass ein Computer als „konform“ bewertet wird, wenn er die Systemintegritätsprüfung von Windows Security besteht, jedoch eine andere SHV-Überprüfung des Herstellers der Antivirussoftware nicht besteht. Zum Schluss werden diese Komponenten in einem Satz von Netzwerkrichtlinien kombiniert. Dieser enthält eine Logik, über die bestimmt wird, was mit den Computern abhängig von ihrem Zustand geschehen soll.

Systemintegritätsprüfungen sind Listen von Elementen, die der NAP-Agent überprüft. Anschließend wird der entsprechende Status an den NPS berichtet. Eine Standard-NAP-Bereitstellung umfasst den Windows-SHV, der in das Windows-Sicherheitscenter integriert werden kann und NAP ermöglicht, den Status aller vom Sicherheitscenter berichteten Sicherheitskomponenten zu prüfen. Dazu gehören Komponenten wie Firewall, Antivirus, automatisches Update und Antispyware.

Erinnern Sie sich, dass NAP im Hinblick auf Erweiterbarkeit entworfen wurde und dass Drittanbieter ihre eigenen SHVs erstellen können, um detailliertere Überprüfungen einzelner Komponenten zu ermöglichen. (Weitere Informationen finden Sie unter microsoft.com/windowsserver2003/partners/nap­part­ners.mspx.) So ermöglicht z. B. der Windows-Sicherheits-SHV, dass NAP prüfen kann, ob eine Antivirussoftware aktiv und auf dem aktuellen Stand ist. Der Windows-Sicherheits-SHV kann jedoch keine detaillierteren Prüfungen der Antivirussoftware ausführen, z. B. wie oft der Computer gescannt wurde oder andere anwendungsspezifische Optionen. Der Hersteller der Antivirussoftware könnte jedoch einen eigenen SHV erstellen, der tiefer in die Anwendung eindringt und umfangreichere anwendungsspezifische Überprüfungen ausführt als der Standard-Windows-SHV. Dieser SHV arbeitet dann mit dem Windows-SHV und anderen möglicherweise vorhandenen SHVs zusammen, da eine NAP-Bereitstellung eine Vielzahl an SHVs gleichzeitig verwenden kann (siehe Abbildung 4).

Abbildung 4 Windows -Sicherheits-SHV

Abbildung 4** Windows -Sicherheits-SHV **

Mithilfe von Wartungsservergruppen wird vorgegeben, auf welche Ressourcen ein Computer in einem nicht einwandfreien Zustand zugreifen kann. Diese Gruppen umfassen oftmals Ressourcen wie WSUS oder Systems Management Server (SMS)-Server sowie Server mit Antivirusupdates. Besonders wichtig ist, dass nicht nur die Server selbst in diesen Gruppen erfasst werden, sondern auch die Namensauflösungsserver, mit deren Hilfe die Clients nach eben diesen Servern suchen. Da die Clients von Contoso über Gruppenrichtlinien konfiguriert wurden, um den Server mit dem Namen „wsus.contoso.com“ für automatische Updates zu verwenden, muss die Gruppe der Wartungsserver nicht nur die IP-Adresse des WSUS-Servers enthalten, sondern auch die IP-Adresse des DNS-Servers, über den Clients den vollqualifizierter Domänennamen (fully qualified domain name, FQDN) in eine numerische IP-Adresse konvertieren. Ohne Zugriff auf diese Namensauflösungsressourcen (wobei es sich je nach Konfiguration der Clients sowohl um einen DNS als auch um einen WINS handeln kann) sind Clients nicht in der Lage, die IP-Adressen von Wiederherstellungsressourcen aufzulösen, und könnten folglich nicht auf diese Ressourcen zugreifen. Abbildung 5 zeigt die DNS- und IP-Einstellungen für das Beispiel.

Abbildung 5 DNS-Namen und IP-Adressen

Abbildung 5** DNS-Namen und IP-Adressen **(Klicken Sie zum Vergrößern auf das Bild)

Mithilfe von Vorlagen für Systemintegritätsprüfungen wird festgelegt, was den ordnungsgemäßen Zustand eines Computers ausmacht. Prüfungsvorlagen legen anhand der Ergebnisse von SHV-Überprüfungen abhängig von den bestandenen bzw. fehlgeschlagenen Überprüfungen fest, ob sich ein Computer in einem ordnungsgemäßen Zustand oder in einem nicht einwandfreien Zustand befindet (siehe Abbildung 6).

Abbildung 6 Konformitätsprüfungen

Abbildung 6** Konformitätsprüfungen **(Klicken Sie zum Vergrößern auf das Bild)

In der Umgebung von Contoso sind (wie bei den meisten kleinen und mittleren Bereitstellungen) nur zwei Zustände definiert. Ein Computer befindet sich in einem ordnungsgemäßen Zustand, wenn er alle SHV-Überprüfungen besteht. Ein Computer befindet sich in einem unzulässigen Zustand, wenn er eine oder mehrere dieser Überprüfungen nicht besteht. Organisationen können sich bei Bedarf dafür entscheiden, eine kompliziertere Logik zu implementieren (z. B. unterschiedliche Konformitätsstandards für Benutzer auf der Basis von Rolle, Abteilung, geografischer Region usw. zu erstellen). Es sollte allerdings berücksichtigt werden, dass dadurch das Erkennen und Beheben von Problemen möglicherweise schwieriger und zeitaufwändiger wird.

All diese Komponenten werden durch Netzwerkrichtlinien zu einem Ganzen verbunden. Netzwerkrichtlinien werden von Administratoren festgelegt und weisen NPS an, wie Computer aufgrund ihres Zustands zu behandeln sind. Diese Richtlinien werden von oben nach unten eingeschätzt (wie in der NPS-Benutzeroberfläche dargestellt), und die Verarbeitung wird beendet, sobald eine Richtlinienregel erfüllt wird.

Es muss nochmals betont werden, dass das Netzwerk von Contoso möglichst einfach behandelt werden soll, daher sind nur einige wenige Richtlinien erforderlich. An erster Stelle steht die Richtlinie für den vollständigen Zugriff für Computer in ordnungsgemäßem Zustand. Diese Richtlinie besagt, dass Computern, die alle SHV-Überprüfungen bestanden haben, uneingeschränkter Netzwerkzugriff gewährt wird. Genauer gesagt: Wenn der Zustand eines Computers bewertet wird und dabei alle Überprüfungen bestanden werden, weist der NPS den DHCP-Server an, dem Computer eine IP-Lease mit „normalen“ Bereichsoptionen anzubieten. Diese Richtlinie für den vollständigen Zugriff für Computer in ordnungsgemäßem Zustand sollte in der Regel an erster Stelle in der Verarbeitungsreihenfolge aufgelistet werden, da sich die meisten Computer bei der Überprüfung in einem ordnungsgemäßen Zustand befinden sollten. Durch Aufführen dieser Richtlinie an erster Stelle verringern sich Verarbeitungsmenge und -zeit für den NPS.

Die nächste Richtlinie, die zur Anwendung kommt, ist die für eingeschränkten Zugriff für Computer in unzulässigem Zustand. In der Umgebung von Contoso entspricht jeder Computer dieser Richtlinie, der eine oder mehrere SHV-Überprüfungen nicht besteht (und somit der Vorlage für die Bestätigung einer nicht ausreichenden Systemintegrität entspricht). Wenn diese Richtlinie erfüllt ist, weist der NPS den DHCP-Server an, dem Client eine IP-Lease mit den speziellen NAP-Bereichsoptionen „Eingeschränkt“ anzubieten. Dadurch erhalten Computer in einem unzulässigen Zustand nur auf die Ressourcen Zugriff, die in der Gruppe der Wartungsserver von Contoso definiert wurden.

Die dritte verwendete Richtlinie dient der Abwärtskompatibilität. Erinnern Sie sich, dass NAP-Unterstützung standardmäßig für Windows XP und neuere Betriebssysteme verfügbar ist (obwohl unabhängige Softwarehersteller NAP-Clients für ältere Versionen von Windows und Nicht-Windows-Betriebssystemen entwickeln können). Wenn bei Contoso noch Windows 2000 verwendet wird, kann Contoso eine Regel (laut Beispiel die Regel für vollständigen Zugriff zwecks Abwärtskompatibilität) aufstellen, die Computern ohne NAP-Funktionalität einen normalen Zugriff auf das Netzwerk gewährt (also Standardbereichsoptionen durch den DHCP-Server zuteilt). Diese Richtlinie sollte an letzter Stelle bewertet werden und muss nur erstellt und aktiviert werden, wenn Computer mit früheren Betriebssystemen Netzwerkzugriff benötigen (siehe Abbildung 7).

Abbildung 7 Zugriffseinstellungen für Computer mit früheren Betriebssystemen

Abbildung 7** Zugriffseinstellungen für Computer mit früheren Betriebssystemen **(Klicken Sie zum Vergrößern auf das Bild)

Was geschieht, wenn Contoso über Ressourcen im Netzwerk verfügt, die nicht NAP-fähig sind und auch nie sein werden, z. B. Drucker oder andere Hardware? Was geschieht außerdem, wenn Contoso über Computer verfügt, die zwar NAP-fähig sind, jedoch vorläufig oder dauerhaft von der Richtlinienüberprüfung ausgeschlossen werden sollen? Eine einfache Möglichkeit, diese Computer auszuschließen, bietet die MAC-Adresse. Um die NAP-Überprüfungen für diese Computer zu umgehen, können die Administratoren von Contoso eine neue Richtlinie erstellen (Ausschluss durch MAC), die vollen Netzwerkzugriff gewährt. Diese Richtlinie verwendet eine Bedingungsanweisung, in der die RADIUS-Clienteigenschaft der Anrufstationskennung mit der MAC-Adresse derjenigen Geräte abgeglichen wird, die eine Umgehung der NAP-Überprüfung benötigen. Wenn ein Computer dieser Richtlinienanweisung entspricht, weist NPS den DHCP an, eine IP-Lease mit „normalen“ Bereichsoptionen anzubieten. Diese Richtlinie sollte an erster Stelle in der Bewertungsreihenfolge aufgeführt werden, um die Gesamtmenge und die benötigte Verarbeitungszeit für den NPS zu verringern. Computer, die dieser Richtlinie entsprechen, benötigen keinerlei SHV-Überprüfung, und es macht daher keinen Sinn, NPS-Zyklen für die Überprüfung dieser Computer einzusetzen (siehe Abbildung 8).

Abbildung 8 Ignorieren bestimmter Computer

Abbildung 8** Ignorieren bestimmter Computer **(Klicken Sie zum Vergrößern auf das Bild)

Eine Kombination dieser Richtlinien trägt dazu bei, dass der NPS von Contoso Computer, die eine Verbindung zum Netzwerk herstellen, schnell und genau bewertet. Darüber hinaus bieten die Richtlinien Ausnahmen für ältere Computer und Geräte oder für Fälle, in denen eine vorläufige Umgehung für NAP-fähige Geräte erforderlich ist.

Schlussbemerkung

NAP umfasst eine breite Technologiepalette und erfordert besonders bei komplizierteren Szenarios eingehende Planung und Prüfung. In diesem Artikel ging es um ein weniger kompliziertes Szenario, auf der NAP-Website finden Sie jedoch ausführlichere Anleitungen für Bereitstellungen aller Größenordnungen. Die Website beinhaltet außerdem Planungshilfen für Durchsetzungstechnologien auf der Basis von 802.1X und IPSec. Diese Technologien sind für Unternehmen oftmals besser geeignet als eine Durchsetzung auf DHCP-Basis.

NAP stellt eine leistungsstarke und erweiterbare Plattform zum Bewerten des Zustands von Computern bereit, die eine Verbindung zu einem Netzwerk herstellen. Für kleine und mittlere Organisationen bietet eine auf DHCP basierende Durchsetzung viele Vorteile bei gleichzeitig niedrigen Kosten für Implementierung und Verwaltung. NAP ist einer der wichtigsten Vorteile von Windows Server „Longhorn“, durch den Ihre Organisation bei der Verbesserung der Sicherheit und der Einhaltung von Richtlinien unterstützt wird.

NAP-Ressourcen

John Morello ist seit sechs Jahren in verschiedenen Positionen bei Microsoft tätig. Als leitender Berater hat er Sicherheitslösungen für Fortune 100-Firmen sowie für US-amerikanische Kunden aus dem zivilen Bereich und dem Verteidigungswesen entworfen. Derzeit arbeitet er als leitender Programmmanager in der Windows Server Group an Technologien für ortsunabhängigen Zugriff.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.