Windows Server 2008: Mehr Sicherheit mit RDOC und NAP

NAP: Stärken und Schwächen

Plus

• NAP kann einen wesentlichen Beitrag zur Sicherheit im Netz leisten, weil Schwachstellen, die für Schadsoftware oder Hacker anfällig sind, automatisch ausgeschaltet werden.

• Da mit dem Service Pack 3 auch ein NAP-Client für Windows XP ausgeliefert wird und Mac OS X beziehungsweise Linux ebenfalls NAP unterstützt werden, ermöglicht Windows 2008 den Aufbau einer weitgehend herstellerunabhängigen NAC-Lösung. Windows Vista bringt einen NAP-Client bereits mit.

• Drittanbieter können ihre Sicherheitssoftware über Schnittstellen in NAP einklinken, so dass in Zukunft noch weitere Erzwingungsmethoden beziehungsweise Richtlinien zur Verfügung stehen werden. NAP könnte so über kurz oder lang zur Schaltzentrale für die Netzwerksicherheit werden.

Minus

• NAP ist bereits in seiner ersten Version eine äußerst komplexe NAC-Lösung. Administratoren müssen daher eine entsprechend lange Einarbeitungszeit einplanen.

• Eine Fehlkonfiguration von NAP kann den Netzbetrieb empfindlich stören. Hier ist abzuwägen, ob der Gewinn an Sicherheit die erhöhte Fehleranfälligkeit wettmacht. Entscheidend für die Beantwortung dieser Frage ist, ob die Systemverwaltung über genügend personelle Ressourcen verfügt, um diese neue Herausforderung zu meistern.

• Die Richtlinie für die Windows-Firewall bietet zu wenige Einstellungsmöglichkeiten. Die Tatsache, dass die Firewall aktiviert ist, gibt noch keine Auskunft darüber, ob die definierten Regeln den Sicherheitsrichtlinien des Unternehmens entsprechen.

• Die DHCP-Erzwingungsmethode bringt nur in begrenztem Umfang zusätzliche Sicherheit, weil die Vergabe von IP-Adressen auch manuell erfolgen kann. Administratoren, die sich auf diese relativ einfach zu konfigurierende Methode verlassen, wiegen sich unter Umständen in trügerischer Sicherheit.

• Die anderen Erzwingungsmethoden bieten zwar deutlich mehr Sicherheit, dafür ist der Konfigurationsaufwand entsprechend höher. Insbesondere die IPsec-Methode erfordert eine umfangreiche Planung. Denn hier ist nicht nur NAP aufzusetzen, sondern zudem eine komplette IPsec-Infrastruktur.

(CoWo/mha)

Dieser Beitrag stammt von computerwoche.de, der führenden deutschsprachigen Website für den gesamten Bereich der Informationstechnik - aktuell, kompetent und anwendungsorientiert.