Remediation kann mit „Sanierung“ übersetzt werden. Die Aufgabe von Remediation-Server ist also, den Status von Clients so zu verändern, dass sie definierten Richtlinien für den Zugang ins Netzwerk entsprechen. Im Konzept der Network Access Protection haben diese Systeme zwei Aufgaben:
-
Sie stellen Dienste bereit, mit denen fehlerhafte Konfigurationseinstellungen auf NAP-Clients korrigiert werden können. Dazu zählen beispielsweise Patches, die automatisch installiert werden, um das vorgegebene Patch-Level zu erreichen.
-
Sie stellen eine Basisinfrastruktur bereit, die von Clients genutzt werden kann, deren Konfiguration nicht so angepasst werden kann, dass sie den Richtlinien entspricht. Das könnten beispielsweise Systeme von externen Mitarbeitern sein, die nicht angepasst werden dürfen oder Systeme, die zunächst manuell vom Helpdesk aktualisiert werden können.
Entsprechend bilden die Remediation Server ein separates logisches oder physisches Netzwerk ab, über das eine mehr oder minder umfassende Infrastruktur bereitgestellt wird. Diese kann sich im Wesentlichen auf DNS-Server und Server für die erforderlichen Updates beschränken. Es könnten aber auch File-Server und andere Systeme für einen limitierten Zugriff auf weniger kritische Daten und Anwendungen in dieser Zone vorhanden sein.
Typische Remediation Server
In der Basiskonfiguration des Windows Server „Longhorn“ gibt es nur einen System Health Validator (SHA), den Windows Security Health Validator. Dieser stellt, wie schon im vorangegangenen Teil der Serie ausgeführt, eine eher begrenzte Funktionalität bereit. Er kann überprüfen, ob die Windows Firewall aktiviert ist, ob die Antiviren-Funktionen aktiviert und die Signaturen aktuell sind, ob es einen ausreichenden Schutz gegen Spyware gibt und ob die automatischen Updates aktiviert und verfügbare Patches mit einem definierten Sicherheitslevel installiert sind.
Entsprechend sind auch die Möglichkeiten bei den Remediation-Servern eher begrenzt. Man benötigt in jedem Fall einen DNS-Server für die Lokalisierung der Systeme. Ansonsten wird man typischerweise einen Verteilungsserver für die Signaturen der Antiviren- und Antispyware-Anwendungen sowie einen Software Update Server haben. Diese Funktionen lassen sich komplett auf einer physischen Maschine einrichten, so dass man im einfachsten Fall mit nur einem Server auskommen kann. In größeren Netzwerken wird man allerdings mehr als einen Server benötigen.
Sobald man zusätzliche SHAs einsetzt, wie sie mit einiger Wahrscheinlichkeit nach der Fertigstellung des Windows Server „Longhorn“ auf den Markt kommen werden, können die Anforderungen an Remediation Server auch deutlich steigen. Denn wie ausgeführt: Die aktuell realisierten Funktionen der SHAs stellen nur eine erste Basis dar. Flexible Prüfungen auf zulässige oder nicht zulässige Dateien fehlen beispielsweise noch völlig.
Remediation Server konfigurieren
Die Konfiguration von Remediation Servern lässt sich in drei Teile gliedern:
-
Die Einrichtung der Remediation Server selbst. Dazu gehört die Konfiguration eines DNS-Servers und die Einrichtung beispielsweise des Windows Software Update Services (WSUS). Wie dieser Konfigurationsschritt abläuft, hängt primär davon ab, ob und welche Dienste genutzt werden. Darauf wird an dieser Stelle nicht näher eingegangen.
-
Die Konfiguration so genannter Remediation Server Groups, also von Gruppen von Servern, die Remediation-Funktionen anbieten. Diese werden in der Anwendung Network Policy Server im Bereich Network Access Policies – Remediation Server Groups definiert.
-
Die Festlegung der Remediation Server-Gruppen, die bei bestimmten Authorization Policies verwendet werden sollen.
Bei der Zuordnung einer Remediation Server-Gruppe zu einer Autorisierungsrichtlinie muss im ersten Schritt im Register Settings bei Network Access Protection – NAP Enforcement die Option Enforce gewählt werden. Die Gruppen können nur für aktive Autorisierungsrichtlinien konfiguriert werden.
Anschließend kann bei Network Access Protection – Remediation Servers die Gruppe ausgewählt werden. Die Zuordnung von Autorisierungsrichtlinien und den Gruppen von Remediation Servern macht Sinn. Zum einen werden je nach Richtlinie gegebenenfalls unterschiedliche „Reparaturfunktionen“ benötigt. Zum anderen kann darüber auch gesteuert werden, auf welchen Teil der Ressourcen im Netzwerk welche Systeme – je nach Autorisierung – Zugriff erhalten sollen. So könnte eine Richtlinie auf Remediation Server verweisen, die tatsächlich nur Aktualisierungen zulassen, während andere Richtlinie auf Remediation Server verweisen, die den Zugang zumindest zu einigen Anwendungen und Daten bieten.
Im abschließenden Teil der Serie wird auf weitere Konfigurationsschritte eingegangen. Dazu zählen Einstellungen für den DHCP-Server und das Zusammenspiel zwischen Clients und Servern sowie eine zusammenfassende Darstellung des Ablaufs bei Network Access Protection, wenn Clients sich mit dem Netzwerk verbinden. Da die Network Access Protection auch vom System Center Configuration Manager 2007, dem Nachfolgeprodukt des Systems Management Server 2003, unterstützt werden wird, wird auf die dort geplante Funktionalität und deren Verhältnis zu den in „Longhorn“ implementierten NAP-Diensten ebenfalls ein Blick geworfen.