Network Access Protection

Die Idee der Network Access Protection ist sehr einfach: Systeme werden beim Zugriff auf das Netzwerk auf die Übereinstimmung mit definierten Richtlinien (Health Policies) hin überprüft. Solche Richtlinien können beispielsweise

• Konfigurationseinstellungen analysieren,

• den Status von Virenscannern ermitteln oder

• nach erforderlichen oder nicht zugelassenen

Dateien suchen.

Wenn die Richtlinien nicht eingehalten sind, kann der Zugriff der Systeme auf das Netzwerk verweigert oder eingeschränkt werden. Alternativ können die Richtlinien auch durch die Anpassung der Systemkonfiguration durchgesetzt werden. Systeme haben so lange nur eingeschränkten Zugriff auf das interne Netzwerk, wie die Richtlinien überprüft und gegebenenfalls Änderungen durchgeführt werden.

Die Konfiguration der Network Access Protection erfolgt einerseits über die Gruppenrichtlinien und andererseits über den Network Policy Server. Allerdings ist teilweise auch die Entwicklung von zusätzlichen Komponenten erforderlich, um spezielle Prüfungen durchzuführen. Außerdem hat Microsoft Schnittstellen für Drittanbieter definiert, über die erweiterte Lösungen für den Schutz von Systemen im Netzwerk eingebunden werden können.

Die Konfiguration der Gruppenrichtlinien

Die Konfiguration der Network Access Protection (NAP) erfolgt zum Teil über die Gruppenrichtlinien im Bereich Network Access Protection/NAP Client Configuration. Über die Gruppenrichtlinien werden Einstellungen für die Clients vorgegeben. Mit diesen werden beispielsweise bestimmte Clients aktiviert und zuverlässige Server für die Überprüfung der Richtlinien vorgegeben. Die drei Konfigurationsbereiche sind:

• Enforcement Clients wird für die Konfiguration der Schnittstellen verwendet, über die eine Prüfung erfolgen soll.

• User Interface Settings wird genutzt, um die Texte zu definieren, die Benutzern beim Zugriff über durch NAP geschützte Schnittstellen angezeigt werden.

• Trusted Server Groups legen schließlich fest, welche Systeme bei der Verwendung von NAP speziell geschützt werden.

Enforcement Clients

Derzeit werden vier verschiedene Clients unterstützt (Bild 1):

• Der DHCP Quarantine Enforcement Client wird bei der Vergabe von DHCP-Leases aktiviert, spielt also mit dem DHCP-Server von Microsoft zusammen.

• Der Remote Access Quarantine Enforcement Client ist eine Erweiterung des RRAS (Routing and Remote Access Service) und setzt NAP bei Remotezugriffen beispielsweise über VPNs oder durch Einwähl-Clients um.

• Der TS Gateway Quarantine Enforcement Client ist eine Erweiterung des neuen Terminal Services Gateway, über das Remotezugriffe auf die Terminaldienste
  erfolgen können.

• Der EAP Quarantine Enforcement Client kann in Verbindung mit dem EAP (Extensible Authentication Protocol) eingesetzt werden, das beispielsweise für die Authentifizierung von Netzwerkzugriffen durch Clients genutzt werden kann. Alle Clients haben nur eine Eigenschaft, über die sie aktiviert oder deaktiviert werden können.

User Interface Settings

Die Einstellungen für die Benutzerschnittstelle sind relativ einfach. In einem Dialogfeld können ein Titel, ein beschreibender Text und eine Grafik angegeben werden. Wenn der Zugriff auf das Netzwerk verweigert oder eingeschränkt wird oder zunächst Konfigurationsänderungen beim Client erforderlich sind, werden diese Informationen in einem Dialogfeld angezeigt.

Health Registration Settings

Die Health Registration Settings umfassen einerseits die Trusted Server Groups, andererseits die Request Policy, bei der konfiguriert wird, in welcher Form Verbindungen zu Servern aufgebaut werden. Die Trusted Server Groups sind dagegen Listen von Servern, die vom Client als vertrauenswürdige Server akzeptiert werden, die eine Prüfung und gegebenenfalls Konfigurationsänderungen vornehmen dürfen. Damit wird sichergestellt, dass Clients nicht von anderen Servern in fremden Netzwerken modifiziert werden können.

Network Policy Server

Der Network Policy Server ist eine Systemkomponente und Verwaltungsanwendung, über die Regeln für den Zugriff auf Netzwerke festgelegt werden. Dort finden sich auch die server-seitigen Einstellungen für die Network Access Protection, die wiederum aus drei Bereichen bestehen:

• Über die System Health Validators (Bild 2) erfolgt eine Analyse von Clientsystemen. Die vorkonfigurierte Komponente Windows Security Health Validator überprüft eine Reihe von Standardsicherheitseinstellungen von Windows. Sie wird weiter unten noch näher betrachtet.

• Beim System Health Validator Templates wird definiert, welche Überprüfungen in welcher Form durchgeführt werden müssen. Diese Informationen werden für Autorisierungsrichtlinien verwendet, die den Zugriff auf Systeme erlauben oder verweigern.

• Die Remediation Server Groups umfassen Server, die für die Wiederherstellung von Systemen in einen zulässigen Status verwendet werden.

Der einzige in der Beta 2 verfügbare Validator ist der Windows Security Health Validator. Bei diesem kann einerseits konfiguriert werden, was beispielsweise in der Kommunikation mit Network Access Protection-Servern zu Fehlern führen soll, und andererseits, welche Überprüfungen vorgenommen werden sollen (Bild 3). So kann beispielsweise analysiert werden, ob eine Antivirus-Anwendung aktiv ist und ob mit automatischen Windows-Updates im Netzwerk gearbeitet wird.

Diese Funktionen machen deutlich, welche Möglichkeiten NAP grundsätzlich bietet. Es spricht einiges dafür, dass es noch mehr vordefinierte Funktionen geben wird. Darüber hinaus kann bei NAP auch mit Skripts gearbeitet werden, die von den Clientkomponenten ausgeführt werden, um weitere Überprüfungen durchzuführen. Da man mit der Network Access Protection einem der größten Probleme für Administratoren beikommen will, dürfte die neue Funktionalität bei Longhorn und Vista schnell breite Akzeptanz finden – auch wenn im Vergleich zum Status in der Beta 2 noch einiges verbessert werden muss.