computerwoche.de

Software-Infrastruktur

Windows Server 2008: Mehr Sicherheit mit RODC und NAP

11.03.2008
Von Michael Pietroforte

Network Access Protection (NAP)

Zu den wesentlichen Neuerungen von Windows Server 2008 im Bereich Sicherheit gehören die Netzwerkrichtlinien- und Zugriffsdienste (Network Access Protection = NAP). Bei NAP handelt es sich um Microsofts Network-Access-Control-Lösung (NAC), die Computern nur dann Zugriff auf andere Rechner im Firmennetz gewährt, wenn sie vordefinierte sicherheitsrelevante Bedingungen erfüllen. Microsoft bezeichnet sie als "Richtlinien für die Windows-Sicherheitsintegrationsprüfung".

NAP unter Windows Server 2008 kennt fünf Arten von Richtlinien, die PCs erfüllen müssen, wenn sie Zugriff auf das Firmennetz erhalten wollen.
NAP unter Windows Server 2008 kennt fünf Arten von Richtlinien, die PCs erfüllen müssen, wenn sie Zugriff auf das Firmennetz erhalten wollen.

Windows Server 2008 kennt fünf Typen solcher Richtlinien. Sie betreffen die Windows-Firewall, den Virenschutz, den Spyware-Schutz, automatische Updates und den Sicherheits-Update-Schutz.

Ein Client-Computer erfüllt die Richtlinie für automatische Updates, wenn unter Windows die automatische Aktualisierung aktiviert ist. Das garantiert aber nicht, dass alle sicherheitsrelevanten Updates auf diesem Computer bereits installiert wurden. War ein PC beispielsweise für längere Zeit ausgeschaltet, stellt er ein potenzielles Sicherheitsrisiko dar.

Daher kann der Administrator mit Hilfe der Richtlinie für den Sicherheits-Update-Schutz festlegen, welche Updates vorhanden sein müssen. So kann er beispielsweise konfigurieren, dass alle kritischen Updates erforderlich sind und wann die letzte Prüfung auf neue Sicherheits-Updates stattgefunden haben muss.

Diesen Unterschied gibt es im Prinzip auch bei den Richtlinien für den Antiviren- und den Spyware-Schutz. Hier legt der Systemverwalter ebenfalls fest, ob die bloße Aktivierung entsprechender Software ausreicht oder ob er zusätzlich aktuelle Signaturen verlangt. Die Richtlinie für die Firewall prüft dagegen lediglich den Status, nicht aber, welche Regeln aktiv sind.

Quarantäne für unsichere PCs

Erfüllt ein Client alle Richtlinien, gilt er als "kompatibel" (compliant). NAP gibt in diesem Fall den Zugriff auf das Netz frei. Ist ein Rechner nicht vertrauenswürdig, erhält er lediglich einen eingeschränkten Zugang zum Quarantänenetzwerk, in dem sich auch die so genannten Wartungs-Server befinden. Dabei kann es sich zum Beispiel um einen Antivirus-Server handeln, der die neuesten Virensignaturen für nicht kompatible PCs bereitstellt. Sobald der NAP-Agent meldet, dass der Client alle Richtlinien erfüllt, wird der Zugriff auf das gesamte Netz freigegeben.

NAP ist außerdem in der Lage, das Verfehlen von Richtlinien nur zu protokollieren. Nicht kompatible Clients werden dabei zunächst nicht ausgesperrt. Dieses Verfahren ist insbesondere in der Anfangsphase nach der Einrichtung von NAP äußerst empfehlenswert. So kann man sich erst einmal einen Überblick verschaffen, welchen und wie vielen Computern der Netzwerkzugriff aufgrund der definierten Richtlinien verweigert würde.

Die Beschränkung des Netzzugangs kann mit verschiedenen Verfahren erzwungen werden. NAP unterstützt fünf solche Erzwingungsmethoden. Jedes Verfahren setzt auf einen bestimmten Netzdienst auf: DHCP, VPN, 802.1X, IPsec und die Terminaldienste über das Internet (TS Gateway).