Aufbau und Umsetzung von NAP, Teil 2

Einrichtung des Security Health Validators

Der erste Schritt ist dabei die Einrichtung des Windows Security Health Validators bei Network Access Protection/System Health Validators. Bei den Eigenschaften können mit Configure die detaillierten Eigenschaften angezeigt werden. Hier können nun Grundeinstellungen gesetzt werden, die bei der Validierung geprüft werden sollen. Dazu zählt beispielsweise A firewall is enabled for all network connections. Für den ersten Test reicht das auch aus. Weitere Optionen sollten nicht gewählt werden, um den Test nicht zu kompliziert zu machen. In der Praxis wird man dagegen, wie in Bild 3, typischerweise weitere Einstellungen verlangen.

Bild 3: Die Einstellungen für den Windows Security Health Validator.
Bild 3: Die Einstellungen für den Windows Security Health Validator.

Damit ist zunächst definiert worden, dass ein System, das den Windows Security Health Validator verwendet, bestimmte Anforderungen erfüllen muss. Der nächste Schritt ist die Konfiguration der Richtlinie, die definiert, dass der SHV (Security Health Validator) auch genutzt wird. Dazu wird bei System Health Validator Templates mit New eine neue Vorlage erzeugt. In dieser Vorlage lassen sich neben dem Namen zwei Einstellungen setzen:

Der Template type gibt an, welche Bedingungen abgeprüft werden. Typischerweise wird als Erstes eine Vorlage erstellt, die erfordert, dass ein System alle SHV-Prüfungen erfüllt. Dazu wird die Option Client passes all SHV checks ausgewählt. Mit den anderen Optionen kann man Vorlagen erstellen, die auf Fehlersituationen reagieren.

Bei Select which SHVs muss pass wird ausgewählt, welche der verfügbaren SHVs geprüft werden. Aktuell gibt es nur den bereits erwähnten Windows Security Health Validator. Es ist aber zu erwarten, dass im Laufe der Zeit weitere SHVs verfügbar werden, da der Windows Security Health Validator doch eine recht eingeschränkte Funktionalität hat. Man muss zusätzlich mindestens eine weitere Vorlage erstellen für den Fall, dass der Client bei einer Überprüfung Fehler zurückmeldet.

Bild 4: Die allgemeinen Einstellungen zu einer Autorisierungsrichtlinie.
Bild 4: Die allgemeinen Einstellungen zu einer Autorisierungsrichtlinie.

Es folgt die Einrichtung einer Richtlinie für die Autorisierung von Zugriffen. Dazu wird bei Authorization Policies mit Neweine neue Richtlinie erzeugt. Sie ist vom Typ Custom, kann also flexibel angepasst werden. Über diese Richtlinie wird Zugriff gewährt, sodass im Register Overviewdie Option Grant access ausgewählt werden muss (Bild 4). Die Richtlinie wird aktiviert.

Bei Policy Source kann anschließend ausgewählt werden, von welchen Quellen Anforderungen verarbeitet werden. In diesem Fall ist das der DHCP Server. Es können aber auch andere Quellen angegeben werden. Mit Unspecified kann eine Richtlinie für unterschiedliche Quellen verwendet werden.