Windows Server 2008: Mehr Sicherheit mit RDOC und NAP

Quarantäne für unsichere PCs

Erfüllt ein Client alle Richtlinien, gilt er als "kompatibel" (compliant). NAP gibt in diesem Fall den Zugriff auf das Netz frei. Ist ein Rechner nicht vertrauenswürdig, erhält er lediglich einen eingeschränkten Zugang zum Quarantänenetzwerk, in dem sich auch die so genannten Wartungs-Server befinden. Dabei kann es sich zum Beispiel um einen Antivirus-Server handeln, der die neuesten Virensignaturen für nicht kompatible PCs bereitstellt. Sobald der NAP-Agent meldet, dass der Client alle Richtlinien erfüllt, wird der Zugriff auf das gesamte Netz freigegeben.

NAP ist außerdem in der Lage, das Verfehlen von Richtlinien nur zu protokollieren. Nicht kompatible Clients werden dabei zunächst nicht ausgesperrt. Dieses Verfahren ist insbesondere in der Anfangsphase nach der Einrichtung von NAP äußerst empfehlenswert. So kann man sich erst einmal einen Überblick verschaffen, welchen und wie vielen Computern der Netzwerkzugriff aufgrund der definierten Richtlinien verweigert würde.

Die Beschränkung des Netzzugangs kann mit verschiedenen Verfahren erzwungen werden. NAP unterstützt fünf solche Erzwingungsmethoden. Jedes Verfahren setzt auf einen bestimmten Netzdienst auf: DHCP, VPN, 802.1X, IPsec und die Terminaldienste über das Internet (TS Gateway).