Network Access Protection

Während der Schutz von Systemen im internen Netzwerk gewährleistet ist, werden beispielsweise durch Notebooks immer wieder Viren ins Netz eingeschleust. Dies gilt als eines der drängendsten Probleme von Administratoren. Die Network Access Protection soll die Lösung sein.

Die Idee der Network Access Protection ist sehr einfach: Systeme werden beim Zugriff auf das Netzwerk auf die Übereinstimmung mit definierten Richtlinien (Health Policies) hin überprüft. Solche Richtlinien können beispielsweise

  • Konfigurationseinstellungen analysieren,

  • den Status von Virenscannern ermitteln oder

  • nach erforderlichen oder nicht zugelassenen

Dateien suchen.

Wenn die Richtlinien nicht eingehalten sind, kann der Zugriff der Systeme auf das Netzwerk verweigert oder eingeschränkt werden. Alternativ können die Richtlinien auch durch die Anpassung der Systemkonfiguration durchgesetzt werden. Systeme haben so lange nur eingeschränkten Zugriff auf das interne Netzwerk, wie die Richtlinien überprüft und gegebenenfalls Änderungen durchgeführt werden.

Die Konfiguration der Network Access Protection erfolgt einerseits über die Gruppenrichtlinien und andererseits über den Network Policy Server. Allerdings ist teilweise auch die Entwicklung von zusätzlichen Komponenten erforderlich, um spezielle Prüfungen durchzuführen. Außerdem hat Microsoft Schnittstellen für Drittanbieter definiert, über die erweiterte Lösungen für den Schutz von Systemen im Netzwerk eingebunden werden können.

Die Konfiguration der Gruppenrichtlinien

Die Konfiguration der Network Access Protection (NAP) erfolgt zum Teil über die Gruppenrichtlinien im Bereich Network Access Protection/NAP Client Configuration. Über die Gruppenrichtlinien werden Einstellungen für die Clients vorgegeben. Mit diesen werden beispielsweise bestimmte Clients aktiviert und zuverlässige Server für die Überprüfung der Richtlinien vorgegeben. Die drei Konfigurationsbereiche sind:

  • Enforcement Clients wird für die Konfiguration der Schnittstellen verwendet, über die eine Prüfung erfolgen soll.

  • User Interface Settings wird genutzt, um die Texte zu definieren, die Benutzern beim Zugriff über durch NAP geschützte Schnittstellen angezeigt werden.

  • Trusted Server Groups legen schließlich fest, welche Systeme bei der Verwendung von NAP speziell geschützt werden.

Enforcement Clients

Derzeit werden vier verschiedene Clients unterstützt (Bild 1):

Bild 1: Die Enforcement Clients bei der Network Access Protection.
Bild 1: Die Enforcement Clients bei der Network Access Protection.

  • Der DHCP Quarantine Enforcement Client wird bei der Vergabe von DHCP-Leases aktiviert, spielt also mit dem DHCP-Server von Microsoft zusammen.

  • Der Remote Access Quarantine Enforcement Client ist eine Erweiterung des RRAS (Routing and Remote Access Service) und setzt NAP bei Remotezugriffen beispielsweise über VPNs oder durch Einwähl-Clients um.

  • Der TS Gateway Quarantine Enforcement Client ist eine Erweiterung des neuen Terminal Services Gateway, über das Remotezugriffe auf die Terminaldienste
    erfolgen können.

  • Der EAP Quarantine Enforcement Client kann in Verbindung mit dem EAP (Extensible Authentication Protocol) eingesetzt werden, das beispielsweise für die Authentifizierung von Netzwerkzugriffen durch Clients genutzt werden kann. Alle Clients haben nur eine Eigenschaft, über die sie aktiviert oder deaktiviert werden können.