Aufbau und Umsetzung von NAP

Für die Network Access Protection (NAP) werden mindestens zwei Server benötigt. Einer arbeitet als Network Policy Server, auf dem die Richtlinien definiert sind und der für die Statusprüfung bei Clients sorgt. Der andere fungiert als Remediation Server und hat die Aufgabe, Clients in einen Zustand zu versetzen, der mit den Richtlinien übereinstimmt.

Remediation kann mit „Sanierung“ übersetzt werden. Die Aufgabe von Remediation-Server ist also, den Status von Clients so zu verändern, dass sie definierten Richtlinien für den Zugang ins Netzwerk entsprechen. Im Konzept der Network Access Protection haben diese Systeme zwei Aufgaben:

  • Sie stellen Dienste bereit, mit denen fehlerhafte Konfigurationseinstellungen auf NAP-Clients korrigiert werden können. Dazu zählen beispielsweise Patches, die automatisch installiert werden, um das vorgegebene Patch-Level zu erreichen.

  • Sie stellen eine Basisinfrastruktur bereit, die von Clients genutzt werden kann, deren Konfiguration nicht so angepasst werden kann, dass sie den Richtlinien entspricht. Das könnten beispielsweise Systeme von externen Mitarbeitern sein, die nicht angepasst werden dürfen oder Systeme, die zunächst manuell vom Helpdesk aktualisiert werden können.

Entsprechend bilden die Remediation Server ein separates logisches oder physisches Netzwerk ab, über das eine mehr oder minder umfassende Infrastruktur bereitgestellt wird. Diese kann sich im Wesentlichen auf DNS-Server und Server für die erforderlichen Updates beschränken. Es könnten aber auch File-Server und andere Systeme für einen limitierten Zugriff auf weniger kritische Daten und Anwendungen in dieser Zone vorhanden sein.