Dabei kann man überprüfen, ob aktuelle Patches installiert, die Firewall aktiviert und weitere Sicherheitskonfigurationen gesetzt sind. Entspricht ein Client nicht den Bedingungen für das Netzwerk, wird diesem nur ein eingeschränkter Zugriff zum Netzwerk oder überhaupt kein Zugriff gewährt.
Durch diese Funktion können Unternehmen vor allem Gefahren vermeiden, die von Heim-PCs und Notebooks ausgehen. Fremdsysteme, Internet-Cafés und unsichere Heimarbeitsplätze lassen sich so effizient vom Netzwerk ausschließen und bei der VPN-Einwahl blockieren, auch wenn der Anwender über entsprechende Einwahlrechte verfügt.
NAP stellt sicher, dass die Endpunkte in einem Netzwerk, also die PCs, einem fest definierten Sicherheitsstandard entsprechen. Damit der Zugriff eines PCs überprüft werden kann, findet folgender Vorgang statt:
1. Ein Client will sich mit dem Netzwerk verbinden.
2. Als Nächstes generiert der Client ein Statement of Health. Der NAP-Client weiß, wie er das System untersuchen muss, und kann einen Bericht erstellen, den er an den Netzwerkrichtlinienserver übergibt.
3. Dieser entscheidet auf Basis der zentralen Richtlinie, ob das Statement of Health gültig ist oder nicht.
4. Auf Basis dieses Ergebnisses wendet der Server eine Richtlinie an, die den Zugriff gestattet oder nicht.
In Windows 7 ist der Netzwerkzugriffschutz direkt in das Wartungscenter integriert, was für Administratoren und Endanwender den Überblick deutlich erhöht.
Erste Schritte mit NAP
Die Client-seitige Konfiguration von NAP führen Sie am besten über Gruppenrichtlinien durch. Die Einstellungen hierfür finden Sie in der Gruppenrichtlinienverwaltung unter Computerkonfiguration//(Richtlinien)/Windows-Einstellungen/Sicherheitseinstellungen/Netzwerkzugriffschutz.
Über diese Einstellungen können Sie das Verhalten der Client-Computer konfigurieren. Hier können Sie zum Beispiel die einzelnen Clients für NAP für die einzelnen Funktionen aktivieren oder deaktivieren.
Die Servereinstellungen von NAP führen Sie über den Servermanager durch. Sie finden die Konfiguration des Netzwerkrichtlinienservers über Rollen/Netzwerkrichtlinien- und Zugriffsdienste. Die Verwaltung baut zunächst auf die Sicherheitsintegritätsprüfung auf. Diese ruft von den Clients das Statement of Health (SoH) ab. Diese Einstellungen finden Sie in der Verwaltungskonsole über NPS/Netzwerkzugriffsschutz/Systemintegritätsprüfungen/Windows-Sicherheitsintegritätsverifizierung.
Rufen Sie in der Mitte diese Eigenschaften der Verifizierungsmethode auf, zum Beispiel von der standardmäßigen vorhandenen Windows-Sicherheitsintegritätsverifizierung. Hier können Sie über die Schaltfläche Konfigurieren die Einstellungen festlegen, die die Clients erfüllen müssen, um mit NAP in Ihrem Netzwerk konform zu sein. Diese Systemintegritätsprüfungen bezeichnet Microsoft auch als Security Health Agents (SHA).
Über den Konsoleneintrag NPS/Richtlinien/Integritätsrichtlinien legen Sie Richtlinien fest, auf deren Basis bestimmt wird, was mit Clients passieren soll, die die Sicherheitsverifizierung bestehen oder nicht.
Nachdem Sie die Einstellungen in der jeweiligen Systemintegritätsprüfung definiert haben, die ein Computer erfolgreich übermitteln muss, legen Sie eine Integritätsrichtlinie fest, die entscheidet, auf welcher Systemintegritätsüberprüfung festgemacht wird, ob ein Client konform oder nicht konform ist. Clients werden also einer dieser Richtlinien zugewiesen.
Als Nächstes erstellen Sie eine Netzwerkrichtlinie, die auf der Integritätsrichtlinie basiert. In ihr steuern Sie schließlich, was mit den konformen, beziehungsweise nicht konformen, Clients passieren soll.
Netzwerkzugriffsschutz (NAP) mit DHCP einsetzen
Microsoft empfiehlt, den grundlegenden NAP-Schutz in einem Unternehmen über den DHCP-Server einzuführen. Über diese Möglichkeit erlangen Unternehmen den Vorteil der NAP ohne umfangreiche Änderungen in der Infrastruktur. Der NAP-Schutz in DHCP ist zwar die unsicherste Variante des NAP-Schutzes (Clients könnten sich auch manuell eine IP-Adresse zuteilen), dafür aber auch die am schnellsten einführbare.
1. Klicken Sie dazu in der NAP-Konsole auf Netzwerkzugriffsschutz/Systemintegritätsprüfungen/ Windows-Sicherheitsintegritätsverifizierung.
2. Klicken Sie in der Mitte der Konsole auf Einstellungen
3. Rufen Sie die Eigenschaften der Standardkonfiguration auf.
4. Hier legen Sie fest, welche Bedingungen eine Arbeitsstation erfüllen muss, damit diese mit dem Netzwerk kommunizieren darf.
Wartungsserver (Remediation Server) sind Server, auf die Clients zugreifen können, wenn sie nicht NAP-konform sind. Hier tragen Sie die DNS-Namen oder IP-Adressen von Servern ein, mit denen nicht-konforme Clients kommunizieren dürfen. Das kann entweder ein WSUS-Server oder ein FTP-Server sein, auf dem Sie Virensignaturen bereitstellen.
Integritätsrichtlinie erstellen
Der nächste Schritt besteht darin, dass Sie eine Integritätsrichtlinie (Health Policy) erstellen, die als Grundlage die konfigurierte Systemintegritätsprüfung (SHV) verwendet.
Integritätsrichtlinien haben die Aufgabe, Clients in konforme und nicht-konforme NAP-Clients zu unterscheiden. Clients, die die Systemintegritätsprüfung bestehen, sind konform, Clients, die diese Prüfung nicht bestehen, sind nicht-konform:
1. Klicken Sie zum Erstellen einer Integritätsrichtlinie mit der rechten Maustaste auf Richtlinien/Integritätsrichtlinien und wählen Sie im Kontextmenü den Befehl Neu.
2. Geben Sie der Richtlinie die Bezeichnung NAP-Konform.
3. Stellen Sie sicher, dass im Listenfeld Client-Systemintegritätsprüfen der Eintrag Client besteht alle Systemintegritätsprüfungen ausgewählt ist.
4. Aktivieren Sie das Kontrollkästchen Windows-Sicherheitsintegritätsverifizierung.
5. Erstellen Sie eine weitere Integritätsrichtlinie.
6. Geben Sie dieser die Bezeichnung Nicht-NAP-Konform.
7. Wählen Sie im Listenfeld den Eintrag Client besteht mindestens eine Systemintegritätsprüfung nicht aus.
8. Aktivieren Sie das Kontrollkästchen Windows-Sicherheitsintegritätsverifizierung.
Im Anschluss legen Sie fest, welchen Netzwerkzugriff die Clients bekommen, die der jeweiligen Integritätsrichtlinie zugewiesen sind. Diese Aufgabe erledigen Sie mit Netzwerkrichtlinien. Einfach ausgedrückt bauen Netzwerkrichtlinien auf Integritätsrichtlinien auf, die wiederum auf Systemintegritätsprüfungen beruhen.
Netzwerkrichtlinien erstellen
Nachdem Sie die Systemintegritätsprüfung festgelegt haben, in denen konfiguriert ist, welche Bedingungen ein NAP-konformer-Client erfüllen muss, wird mit den Integritätsrichtlinien festgelegt, ob ein Client NAP-konform oder nicht-NAP-konform ist.
Die Netzwerkrichtlinien steuern wiederum, was mit NAP-konformen beziehungsweise nicht-NAP-konformen Clients im Netzwerk passieren soll und welchen Zugriff diese erhalten dürfen. Die NAP-Infrastruktur basiert daher auf folgenden drei Pfeilern:
• Systemintegritätsprüfungen (System Health Validators) und System Health Agents (SHA)
• Integritätsrichtlinien (Health Policies)
• Netzwerkrichtlinien (Network Policies)
Bevor Sie neue Richtlinien erstellen, sollten Sie zunächst die standardmäßig angelegten Richtlinien deaktivieren. Klicken Sie diese dazu mit der rechten Maustaste an und wählen im Kontextmenü den Eintrag Deaktivieren aus, wenn diese noch nicht deaktiviert sind.
Im ersten Schritt erstellen Sie die Netzwerkrichtlinie für konforme Clients:
1. Klicken Sie dazu mit der rechten Maustaste auf den Konsoleneintrag Richtlinien/Netzwerkrichtlinien und wählen im Kontextmenü den Befehl Neu aus.
2. Geben Sie der Richtlinie eine Bezeichnung wie etwa Vollzugriff für NAP-Konforme Clients und klicken auf Weiter.
3. Klicken Sie auf der nächsten Seite Bedingungen angeben auf Hinzufügen.
4. Wählen Sie als Option Integritätsrichtlinien aus. Hier sehen Sie, dass Ihnen, abgesehen den Integritätsrichtlinien, noch zahlreiche weitere Methoden zur Verfügung stehen, um Richtlinien für den Netzwerkzugriff der Clients festzulegen. Es besteht dabei auch die Möglichkeit, dass Sie mehrere Bedingungen festlegen, die für verschiedene Netzwerkzugriffe notwendig sind.
5. Klicken Sie auf Hinzufügen.
6. Wählen Sie die Richtlinie NAP-Konform aus.
7. Auf der nächsten Seite des Fensters legen Sie den Netzwerkzugriff der Richtlinie fest. Wählen Sie hier Zugriff gewährt aus.
8. Klicken Sie auf Weiter, um zum Fenster Authentifizierungsmethoden konfigurieren zu gelangen.
9. Deaktivieren Sie die Standardeinstellungen und aktivieren noch die Option Nur Integritätsprüfung für Computer durchführen.
10. Klicken Sie auf Weiter und belassen im nächsten Fenster alle Einstellungen, wie sie sind. Auf diesem Fenster legen Sie die Einschränkungen fest.
11. Klicken Sie im Fenster Einschränkungen konfigurieren ebenfalls auf Weiter. Sie gelangen zum Fenster Einstellungen konfigurieren.
12. Klicken Sie hier auf NAP-Erzwingung und stellen Sie sicher, dass die Option Vollständigen Netzwerkzugriff gewähren aktiviert ist.
13. Klicken Sie nach der Einstellung auf Weiter und schließen das Erstellen der Richtlinie ab.
Netzwerkrichtlinie für nicht-konforme NAP-Clients erstellen
Nachdem Sie die Richtlinie für konforme NAP-Clients erstellt haben, müssen Sie als Nächstes eine Netzwerkrichtlinie erstellen, die den Netzwerkzugriff für nicht-konforme Clients steuert:
1. Gehen Sie analog zum vorhergehenden Abschnitt vor und weisen der Richtlinie eine passende Bezeichnung zu.
2. Wählen Sie diesmal als Integritätsrichtlinie die Richtlinie Nicht-NAP-Konform aus.
3. Auf der Seite Zugriffsberechtigungen angeben wählen Sie auch hier Zugriff gewähren. Der Zugriff wird später noch eingeschränkt. Natürlich könnten Sie für sich auch die Option Zugriff verweigert auswählen, um den Clients die komplette Kommunikation zu untersagen. Allerdings würden Sie in diesem Fall die Clients völlig aus dem Netzwerk aussperren.
4. Klicken Sie auf Weiter, um zum Fenster Authentifizierungsmethoden konfigurieren zu gelangen.
5. Deaktivieren Sie die Standardeinstellungen und aktivieren noch das Kontrollkästchen Nur Integritätsprüfung für Computer durchführen.
6. Klicken Sie auf Weiter, um zur Seite Einschränkungen konfigurieren zu gelangen. Klicken Sie auch hier auf Weiter, um zur Seite Einstellungen konfigurieren zu gelangen.
7. Klicken Sie auf NAP-Erzwingung.
8. Aktivieren Sie die Option Eingeschränkten Zugriff gewähren.
9. Aktivieren Sie das Kontrollkästchen Automatische Wartung von Clientcomputern aktivieren.
Schließen Sie das Erstellen der Netzwerkrichtlinien ab. Diese werden anschließend in der NPS-Konsole angezeigt. Alle anderen Richtlinien sollten als deaktiviert angezeigt werden.
DHCP-Server für NAP konfigurieren
Im nächsten Schritt müssen Sie den DHCP-Server unter Windows Server 2008 R2 konfigurieren, damit dieser NAP nutzen kann. Rufen Sie die Verwaltungskonsole des DHCP-Servers auf. Sie finden die Konsole über Start/Verwaltung/DHCP oder im Servermanager. Auch über Start/Ausführen/dhcpmgmt.msc können Sie die Konsole aufrufen.
Um DHCP für NAP zu konfigurieren, gehen Sie folgendermaßen vor:
1. Rufen Sie die Eigenschaften des Bereiches auf.
2. Wechseln Sie auf die Registerkarte Netzwerkzugriffsschutz.
3. Aktivieren Sie die Option Für diesen Bereich aktivieren.
4. Aktivieren Sie die Option Netzwerkzugriffsschutz-Standardprofil verwenden.
Im nächsten Schritt konfigurieren Sie den DHCP-Server so, dass NAP-konforme Clients eine IP-Adresse vom Server erhalten. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie mit der rechten Maustaste auf den Konsoleneintrag Bereichsoptionen unterhalb des von Ihnen erstellten Bereiches und wählen Sie Optionen konfigurieren aus.
2. Wechseln Sie auf die Registerkarte Erweitert.
3. Wählen Sie im Dropdownlistenfeld Benutzerklasse die Option Standardbenutzerklasse aus.
4. Jetzt können Sie die Optionen auswählen, die Ihren standardmäßigen NAP-konformen Clients zugewiesen werden sollen, zum Beispiel DNS-Server, WINS und DNS-Domäne.
DHCP-Konfiguration für nicht-konforme Clients
Im nächsten Schritt müssen Sie den DHCP-Server so konfigurieren, dass nicht-konforme NAP-Clients entsprechende IP-Adressen erhalten, und zwar so, dass die Clients sich mit den Wartungsservern verbinden beziehungsweise nur teilweise mit dem Netzwerk kommunizieren können. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie mit der rechten Maustaste auf den Konsoleneintrag Bereichsoptionen unterhalb des von Ihnen erstellten Bereiches und wählen Optionen konfigurieren aus.
2. Wechseln Sie auf die Registerkarte Erweitert.
3. Wählen Sie im Dropdownlistenfeld Benutzerklasse die Option Standardmäßige Netzwerkzugriffsschutz-Klasse aus.
4. Wählen Sie die Option 006 DNS-Server aus und hinterlegen die IP-Adresse Ihres DNS-Servers.
5. Wählen Sie die Option 015 DNS-Domänenname aus und hinterlegen als Namen einen DNS-Namen, zum Beispiel restricted.contoso.com.
6. Durch diese Konfiguration haben Sie sichergestellt, dass die konformen NAP-Clients vollständig an das Netzwerk angebunden werden und die nicht-konformen eingeschränkten Zugriff erhalten.
NAP-Clients konfigurieren
Damit die Windows-Sicherheitsintegritätsverifizierung unter Windows Server 2008 R2 Daten empfangen kann, muss in Windows das Wartungscenter aktiviert sein. Das Sicherheitscenter oder das Wartungscenter fragt die entsprechenden Daten auf dem PC ab und sendet diese zum NPS-Server.
Auf Windows-Vista-Computern, die Mitglied einer Domäne sind, ist das Sicherheitscenter deaktiviert, bei Windows 7 ist das Wartungscenter auch bei einer Domänenmitgliedschaft aktiv. Der beste Weg dazu ist die Aktivierung über Gruppenrichtlinien. Gehen Sie dazu folgendermaßen vor:
1. Geben Sie über Start/Ausführen/gpedit.msc ein.
2. Navigieren Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Sicherheitscenter.
3. Aktivieren Sie die Richtlinie Sicherheitscenter aktivieren (nur Domänencomputer)
Die nächste Aufgabe, die Sie durchführen müssen, ist die Aktivierung der DHCP-NAP-Unterstützung:
1. Starten Sie dazu auf dem Windows-Vista- und Windows-7-PC über Start/Ausführen/napclcfg.msc die Verwaltungskonsole des NAP-Clients.
2. Klicken Sie in der Konsolenstruktur auf den Eintrag Erzwingungsclients.
3. Aktivieren Sie den DHCP-Quarantäneerzwingungsclient.
Alternativ können Sie Erzwingungsclients für den Netzwerkzugriffsschutz auch über Gruppenrichtlinien aktivieren. Diese Einstellung finden Sie unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Netzwerkzugriffschutz/NAP-Clientkonfiguration/Erzwingungsclients.
Clients anbinden
Der nächste Schritt zur Anbindung von Windows Vista und Windows 7 an eine NAP-Infrastruktur besteht darin, den Systemdienst NAP-Agent (Network Access Protection) zu aktivieren. Setzen Sie nach Aufruf der Dienste-Konsole über Services.msc den Starttyp dieses Dienstes auf Automatisch und starten diesen.
Durch die Einstellung in der Netzwerkrichtlinie, derzufolge sich die angebundenen Windows-Vista- und Windows 7-PCs automatisch warten sollen, wenn diese nicht NAP-konform sind, wird die Windows-Firewall immer wieder in Echtzeit automatisch aktiviert, wenn Sie diese deaktivieren.
Dadurch ist sichergestellt, dass auch auf PCs, an denen Benutzer mit Administratorrechten sitzen, die Firewall immer aktiv ist. In regelmäßigen Abständen, vor allem bei der Anmeldung, erscheint im Info-Bereich der Taskleiste ein Hinweis, ob der Client den Netzwerkrichtlinien entspricht.
Nur wenn Sie die automatische Wartung aktiviert haben, startet Windows die Firewall neu. Ansonsten erhalten Sie lediglich eine Fehlermeldung, und Windows schränkt den Zugriff auf Basis der hinterlegten Regeln ein. Wenn Sie auf die Meldung oder das dazugehörige Symbol doppelklicken, erhalten Sie eine ausführliche Statusangabe anzeigt für den Fall, dass der Zugriffschutz nicht mehr hergestellt werden kann. Außerdem zeigt der Netzwerkzugriffschutz Fehler bei der Verbindung im Wartungscenter von Windows 7 an. Damit erhalten Anwender auch hier Informationen und eine Lösung und werden nicht einfach nur blockiert.
Alle Ereignisse der NAP-Konfiguration finden Sie in der Ereignisanzeige. Die Ereignisse auf dem Client erhalten Sie in der Ereignisanzeige über Anwendungs- und Dienstprotokolle/Microsoft/Windows/Network Access Protection. Auf dem Server sind die Fehler im Systemprotokoll vermerkt. (mje)