computerwoche.de

Windows 7

Ratgeber Windows-Security

Windows 7 richtig absichern

12.10.2012
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Posts des Autors Email:
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Posts des Autors Email:

Tipp 7: Erweiterter Netzwerkschutz im Windows-Server 2008

Mit „Network Access Protection“ (NAP) des Windows Server ist der Administrator in der Lage den Sicherheitsstatus von Windows-Clients beim Netzwerkzugriff zu erzwingen.
Mit „Network Access Protection“ (NAP) des Windows Server ist der Administrator in der Lage den Sicherheitsstatus von Windows-Clients beim Netzwerkzugriff zu erzwingen.

Mit Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Original als "Network Access Protection" (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk erheblich zu verbessern. Es handelt sich hierbei nicht um einen Schutzmechanismus wie etwa eine "Firewall", bei der Zugriffe von oder auf Netzwerkadapter überwacht werden. NAP geht über die üblichen Sicherheitsfunktionen hinaus: Ein Computer, der sich mit dem Unternehmensnetzwerk verbinden möchte, wird zunächst dahingehend überprüft, ob alle benötigten Einstellungen vorhanden sind, ehe der Netzwerkkontakt überhaupt erlaubt wird. Fehlt beispielsweise ein entscheidender Sicherheits-Patch auf einem Computer, so wäre diese Maschine eine potentielle Gefahr für andere Computer im Netzwerk - sie erhält dann keinen Zugang zum derart geschützten Firmennetzwerk!

Andere Sicherheitsfunktionen der Betriebssysteme waren im Vergleich zu NAP eher passiver Natur. WSUS verteilt zwar Patches im lokalen Netzwerk, doch gab es bisher keine Möglichkeit für Administratoren, die Existenz eines Patches als Voraussetzung für einen Netzwerkzugriff zu definieren. Dieser Missstand ist mit NAP für alle aktuellen Windowsversionen behoben worden. Vor der Einführung von NAP durch Microsoft war eine vergleichbare Funktionalität in Windows-Netzwerken nur durch Zuhilfenahme von Programmen von Drittherstellern, wie beispielsweise Cisco, möglich. Die verbreitete Bezeichnung für diese Technologie nennt sich, abweichend von der Produktbezeichnung von Microsoft, "Network Admission Control" (NAC).

Sinn und Zweck von NAP ist es, die Sicherheitsrichtlinien im Netzwerk zu erzwingen und nicht Computer plump vom Netz auszuschließen. Fehlt beispielsweise ein Patch auf einem Rechner, so soll diesem die Möglichkeit gegeben werden diesen nachträglich zu installieren. Während dies geschieht, kann dann je nach Konfiguration ein eingeschränkter Netzwerkzugriff zulässig sein.