Aufbau und Umsetzung von NAP

Bei der Network Access Protection spielen viele Systeme zusammen. Network Policy Server, Remediation Server, DHCP- und DNS-Server sowie die Clients selbst sind die wichtigsten Komponenten. Im abschließenden Teil der Serie liegt der Schwerpunkt auf der Client-Seite.

Mit der Network Access Protection (NAP) wird eine wichtige Funktionalität beim Windows Server „Longhorn“ bereitgestellt, die es bei Windows-Servern in dieser Form bisher nicht gab. NAP schützt das Netzwerk, indem Clients vor einem Zugriff überprüft werden. Damit lässt sich beispielsweise sicherstellen, dass Virenscanner auf dem aktuellen Stand und alle Patches installiert sind.

NAP arbeitet dabei mit verschiedenen Konzepten für den Zugang ins Netzwerk zusammen. Da sind zum einen Remote Access-Verfahren wie die RAS- und VPN-Funktionen. Da gibt es aber auch die direkte Unterstützung von DHCP. Diese ist insbesondere für Notebooks beim Zugang ins Netzwerk von Bedeutung. Auf der Konfiguration für DHCP liegt der Schwerpunkt dieser Serie.

Einfach: Die Unterstützung für die Network Access Protection ist Teil des DHCP-Servers. Sie kann aktiviert und deaktiviert werden. Die weitere Steuerung erfolgt weitgehend über die Netzwerkrichtlinien.
Einfach: Die Unterstützung für die Network Access Protection ist Teil des DHCP-Servers. Sie kann aktiviert und deaktiviert werden. Die weitere Steuerung erfolgt weitgehend über die Netzwerkrichtlinien.

Damit NPS genutzt werden kann, müssen die Netzwerkdienste angepasst werden. Der DHCP-Server muss beispielsweise dafür sorgen, dass zunächst ein Verweis auf den Network Policy Server (NPS) sowie bei Bedarf die Remediation Server erfolgt. Die meisten Einstellungen werden in den Netzwerkrichtlinien beim NPS konfiguriert. Es finden sich aber auch zwei wichtige Einstellungen beim DHCP-Server:

  • Bei den Eigenschaften eines DHCP-Servers kann die Unterstützung der Network Access Protection für alle Bereiche aktiviert oder deaktiviert werden.

  • Bei den Optionen für einen DHCP-Bereich gibt es neben der Default User Class unter anderem die Default Network Access Protection Class. Mit den Einstellungen für diese Klasse lassen sich spezielle Optionen beispielsweise für DNS-Server setzen, die während der Überprüfung der Systeme verwendet werden sollen.