Mit der Network Access Protection (NAP) wird eine wichtige Funktionalität beim Windows Server „Longhorn“ bereitgestellt, die es bei Windows-Servern in dieser Form bisher nicht gab. NAP schützt das Netzwerk, indem Clients vor einem Zugriff überprüft werden. Damit lässt sich beispielsweise sicherstellen, dass Virenscanner auf dem aktuellen Stand und alle Patches installiert sind.
NAP arbeitet dabei mit verschiedenen Konzepten für den Zugang ins Netzwerk zusammen. Da sind zum einen Remote Access-Verfahren wie die RAS- und VPN-Funktionen. Da gibt es aber auch die direkte Unterstützung von DHCP. Diese ist insbesondere für Notebooks beim Zugang ins Netzwerk von Bedeutung. Auf der Konfiguration für DHCP liegt der Schwerpunkt dieser Serie.
Damit NPS genutzt werden kann, müssen die Netzwerkdienste angepasst werden. Der DHCP-Server muss beispielsweise dafür sorgen, dass zunächst ein Verweis auf den Network Policy Server (NPS) sowie bei Bedarf die Remediation Server erfolgt. Die meisten Einstellungen werden in den Netzwerkrichtlinien beim NPS konfiguriert. Es finden sich aber auch zwei wichtige Einstellungen beim DHCP-Server:
-
Bei den Eigenschaften eines DHCP-Servers kann die Unterstützung der Network Access Protection für alle Bereiche aktiviert oder deaktiviert werden.
-
Bei den Optionen für einen DHCP-Bereich gibt es neben der Default User Class unter anderem die Default Network Access Protection Class. Mit den Einstellungen für diese Klasse lassen sich spezielle Optionen beispielsweise für DNS-Server setzen, die während der Überprüfung der Systeme verwendet werden sollen.
Clients und Gruppenrichtlinien
Ein weiteres wichtiges Element bei der Konfiguration betrifft die Clients. Hier werden, wie üblich, die Gruppenrichtlinien genutzt. In diesen finden sich die Einstellungen zur Network Access Protection bei Computer Configuration – Windows Settings – Security Settings. Unterhalb des Knotens Network Access Protection gibt es die Festlegungen für die NAP Client Configuration. Wenn diese ausgewählt werden, werden die drei Bereiche angezeigt, die jeweils auch durch einen eigenen, untergeordneten Knoten repräsentiert sind.
Der erste Bereich ist Enforcement Clients. Hier kann für die vier unterstützten Varianten von EAP pro Client festgelegt werden, ob diese Funktionalität unterstützt wird. Standardmäßig ist die Network Access Protection deaktiviert. So kann beispielsweise der DHCP Quarantine Enforcement Client aktiviert werden, um mit NAP bei „normalen“ Zugriffen innerhalb des lokalen Netzwerks zu arbeiten. Weitere Funktionen sind die Unterstützung beim Remote Access einschließlich von VPN-Verbindungen, bei der Nutzung der neuen Terminal Services Gateway-Dienste und bei Verwendung von EAP beispielsweise im Kontext der WLAN-Authentifizierung.
Bei den User Interface Settings gibt es derzeit nur wenige Möglichkeiten. Hier lässt sich nur der Text für das Dialogfeld spezifizieren, das angezeigt wird, wenn ein Client nicht den Anforderungen der NAP-Richtlinien entspricht und daher Änderungen an dem System vorgenommen werden müssen.
Health Registration Settings
Schließlich gibt es noch die Health Registration Settings. Diese bestehen wiederum aus zwei Bereichen. Bei Request Policy kann der Sicherheitsmechanismus konfiguriert werden, der zwischen dem Client und dem Network Policy Server verwendet wird.
Die Verwendung von Verschlüsselungstechnologien ist hier zwingend, um keine Sicherheitsrisiken beispielsweise durch die Modifikation von Netzwerkrichtlinien oder Einstellungen der Security Health Validators (SHVs) entstehen zu lassen.
Einstellungen können für den Algorithmus für asymmetrische Schlüssel (Public-/Private Key-Verfahren), für den Hash-Algorithmus sowie für den zu verwendenden CSP (Cryptographic Service Provider) vorgenommen werden. In den meisten Fällen kann mit den Standardeinstellungen gearbeitet werden.
Die zweite Einstellung betrifft die Trusted Server Groups. In diesen Gruppen können so genannte HRAs (Health Registration Authorities) zusammengefasst werden, also Server, die SHVs bereitstellen. Die Server werden über eine URL angegeben. Damit kann verhindert werden, dass auf einen von einem Angreifer bereitgestellten HRA zugegriffen wird.
Bei diesen Einstellungen wird deutlich, dass die NAP auch Angriffe aus dem internen Netzwerk adressieren, um ein möglichst hohes Maß an Sicherheit gewährleisten zu können.
Der Ablauf der Network Access Protection
Wenn man die Informationen zu NAP aus diesem und den vorangegangenen Teilen der Serie zusammenfasst, dann ergibt sich folgender Ablauf:
-
Ein Client verbindet sich mit dem Netzwerk, beispielsweise (und wie nachfolgend erläutert) über DHCP.
-
Der DHCP-Server unterstützt NAP und verweist den Client zunächst auf einen Network Policy Server. Von diesem stammen die anzuwendenden Richtlinien, die auch festlegen, welche Anforderungen an den Client gestellt werden.
-
Die Kommunikation zwischen dem Client und den Server-Komponenten kann dabei über die Gruppenrichtlinien gesteuert werden.
-
Wenn der Client die Überprüfung besteht, kann er in regulärer Form auf das Netzwerk zugreifen.
-
Falls es zu einem Fehler bei der Prüfung kommt, wird der Client im Regelfall zu einem Remediation-Server oder einer Gruppe solcher Server verwiesen. Dabei wird versucht, den Fehler automatisiert zu beheben, indem beispielsweise die aktuellen Patches eingespielt werden.
-
Wenn der Fehler behoben werden kann, erhält der Client anschließend Zugriff auf das Netzwerk.
-
Lässt sich der Fehler nicht beheben oder werden aus anderen Gründen die Richtlinien für die Autorisierung des Netzwerkzugangs nicht erfüllt, darf der Client nicht auf das Netzwerk zugreifen. Er kann durch Konfiguration der Einstellungen für die Remediation-Umgebung unter Umständen auf Teilfunktionen zugreifen, die von speziellen Servern bereitgestellt werden.
Die Network Access Protection kann schon von ihrem Grundkonzept her nicht völlig transparent für den Benutzer sein. Es wird zwangsläufig immer wieder Situationen geben, in denen ein Benutzer nicht gleich oder überhaupt nicht zugreifen darf. Daher benötigt dieses Konzept auch umfassende Tests und eine Schulung der Benutzer, um wirksam eingesetzt werden zu können.
NAP beim System Center Configuration Manager 2007
Die beim Windows Server “Longhorn” enthaltene Funktionalität für die Network Access Protection ist nur eine Basis. Man kann mit ihr zwar einen gewissen Schutz für das Netzwerk erreichen. Gerade im Bereich der Remediation stößt man aber doch schnell an Grenzen, wenn es beispielsweise um die automatisierte Verteilung aktualisierter Anwendungskomponenten im Netzwerk geht.
Microsoft stellt beim System Center Configuration Manager 2007 daher neue Dienste bereit, die die Basisfunktionalität der Network Access Protection des Windows Server „Longhorn“ ergänzen.
Die wichtigste Erweiterung liegt darin, dass Software-Aktualisierungen bei den Anforderungen an die Clients mit einbezogen werden können. Es gibt entsprechend erweiterte Richtlinien, in denen zwingende Updates angegeben werden können. Wenn man nur mit der Longhorn-Basisfunktionalität arbeitet, kann man zwar bei den Remediation-Server Aktualisierungen von Patches oder Viren-Datenbanken durchführen lassen. Weitergehende Aktualisierungen von Anwendungen werden aber nicht unterstützt.
Auch im Zusammenspiel mit dem System Center Configuration Manager 2007 stößt man allerdings noch an Grenzen bezüglich der Network Access Protection. Eine flexible Festlegung beispielsweise von zu prüfenden Registry-Parametern fehlt. Außerdem ist das Ergebnis der gesamten Konfiguration doch etwas unübersichtlich, da Festlegungen an vielen verschiedenen Stellen vorgenommen werden müssen.
Dennoch sollte man sich mit dem neuen Konzept intensiv beschäftigen, da die „Infektion“ von Rechnern im Netzwerk durch Systeme, die Malware von außen hereintragen, inzwischen eines der größten Probleme der IT ist.