Aufbau und Umsetzung von NAP

Der Ablauf der Network Access Protection

Wenn man die Informationen zu NAP aus diesem und den vorangegangenen Teilen der Serie zusammenfasst, dann ergibt sich folgender Ablauf:

  1. Ein Client verbindet sich mit dem Netzwerk, beispielsweise (und wie nachfolgend erläutert) über DHCP.

  2. Der DHCP-Server unterstützt NAP und verweist den Client zunächst auf einen Network Policy Server. Von diesem stammen die anzuwendenden Richtlinien, die auch festlegen, welche Anforderungen an den Client gestellt werden.

  3. Die Kommunikation zwischen dem Client und den Server-Komponenten kann dabei über die Gruppenrichtlinien gesteuert werden.

  4. Wenn der Client die Überprüfung besteht, kann er in regulärer Form auf das Netzwerk zugreifen.

  5. Falls es zu einem Fehler bei der Prüfung kommt, wird der Client im Regelfall zu einem Remediation-Server oder einer Gruppe solcher Server verwiesen. Dabei wird versucht, den Fehler automatisiert zu beheben, indem beispielsweise die aktuellen Patches eingespielt werden.

  6. Wenn der Fehler behoben werden kann, erhält der Client anschließend Zugriff auf das Netzwerk.

  7. Lässt sich der Fehler nicht beheben oder werden aus anderen Gründen die Richtlinien für die Autorisierung des Netzwerkzugangs nicht erfüllt, darf der Client nicht auf das Netzwerk zugreifen. Er kann durch Konfiguration der Einstellungen für die Remediation-Umgebung unter Umständen auf Teilfunktionen zugreifen, die von speziellen Servern bereitgestellt werden.

Die Network Access Protection kann schon von ihrem Grundkonzept her nicht völlig transparent für den Benutzer sein. Es wird zwangsläufig immer wieder Situationen geben, in denen ein Benutzer nicht gleich oder überhaupt nicht zugreifen darf. Daher benötigt dieses Konzept auch umfassende Tests und eine Schulung der Benutzer, um wirksam eingesetzt werden zu können.