Aufbau und Umsetzung von NAP, Teil 1
Network Policy Server
Eine zentrale Rolle in diesem Konzept nimmt der NPS (Network Policy Server) ein, der beim Windows Server Longhorn den IAS (Internet Authentication Service) des Windows Server 2003 ersetzt. Dieser ist der Richtlinien-Server für alle Zugriffsvarianten. Zugriffe laufen also über ihn und werden dort überprüft. Nur die Systeme, die den dort definierten Richtlinien entsprechen, dürfen auch auf das interne Netzwerk zugreifen. Die Überprüfung erfolgt generell gegen eine Richtlinie, die auch als Health Policy bezeichnet wird. In dieser Richtlinie sind Anforderungen an die Sicherheitskonfiguration der Systeme beschrieben.
Wenn ein System mit dieser Richtlinie übereinstimmt, erhält es Zugang zum Netzwerk. Systeme, deren Status nicht mit der Richtlinie übereinstimmt, können entweder gänzlich ausgeschlossen oder zunächst neu konfiguriert werden. In der Phase der Rekonfiguration können sie eingeschränkten Zugriff auf das Netzwerk erhalten.
Für die Möglichkeiten von NAP spielen vor allem zwei Komponenten eine wichtige Rolle:
-
Der System Health Agent ist eine Clientsoftware, die mit dem lokalen NAP-Agent zusammenarbeitet und Informationen über den Systemstatus liefert.
-
Der System Health Validator ist die zugehörige Serverkomponente, die diese Informationen empfängt und mit der Richtlinie vergleicht. Sie entscheidet darüber, ob sich ein System in einem ausreichenden Sicherheitsstatus befindet.
Wichtig ist auch der Remediation Server. Dieser oder diese Server werden für die Aktualisierung von Clients benötigt, die sich in einem nicht sicheren Zustand befinden. Darauf gibt es also beispielsweise Patches, Antivirensoftware und andere erforderliche Komponenten.
Die vielleicht größte Schwäche bei NAP liegt derzeit darin, dass die SHAs und SHVs in ihrer Funktionalität noch relativ begrenzt sind. Hier darf man gespannt sein auf das Angebot von Drittherstellern – und vielleicht auch von Microsoft.