Windows Server 2008: Mehr Sicherheit mit RDOC und NAP

Variable Zwangsmaßnahmen

Während sich NAP zum Großteil über den Netzwerkrichtlinien-Server (Network Policy Server = NPS) konfigurieren lässt, sind die Erzwingungsmethoden mit dem Frontend des jeweiligen Netzdienstes einzurichten. So wird etwa die DHCP-Erzwingungsmethode auf dem DHCP-Server verwaltet. Dort kann der Administrator eine Subnetzmaske und DHCP-Optionen speziell für nicht kompatible Clients angeben. Der DHCP-Server muss dafür allerdings auf einem Server mit Windows 2008 laufen.

Für jede Erzwingungsmethode sind die Zugriffsbeschränkungen also in Abhängigkeit von den Möglichkeiten des gewählten Netzdienstes zu formulieren. Es ist auch möglich, mehrere Verfahren parallel einzusetzen. In der Praxis wird man aber vermutlich meist nur mit einer oder zwei Erzwingungsmethoden arbeiten.

Der Administrationsaufwand für die einzelnen Verfahren ist dabei höchst unterschiedlich. Am aufwändigsten dürfte die IPsec-Methode sein. Bei diesem Verfahren erhalten Clients ein digitales Zertifikat, das sie als kompatibel ausweist. Rechner, die nicht über dieses Zertifikat verfügen, haben keinen Zugriff auf andere Systeme im Intranet.