Suchen

Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 2 Interaktion der Network-Access-Protection-Module in Windows-Netzwerken

| Autor / Redakteur: Johann Baumeister / Stephan Augsten

Zu den neueren Konzepten zur Absicherung von Rechnersystemen zählen Quarantänesysteme wie Network Access Protection (NAP). Diese hat sich Security-Insider.de für diesen mehrteiligen Praxistest genauer angesehen. In diesem Beitrag widmen wir uns der Architektur und konzeptionellen Umsetzung des NAP-Ansatzes von Microsoft, insbesondere in Windows-Umgebungen.

Firma zum Thema

Windows Vista, Server 2008 und XP SP3 bringen die für NAP notwendigen Software-Komponenten gleich mit.
Windows Vista, Server 2008 und XP SP3 bringen die für NAP notwendigen Software-Komponenten gleich mit.
( Archiv: Vogel Business Media )

Network Access Protection (NAP) baut auf dem Zusammenspiel mehrerer Softwarenbausteine auf: Einer zentralen Instanz, die die Sicherheitsregeln vorgibt und den zugangssuchenden Clientmodulen, die diese Regeln beachten müssen. Die dazu notwendigen Software-Komponenten sind im Windows Server 2008 und in Windows Vista, sowie Windows XP Service Pack 3 integriert.

Durch den Server werden die Sicherheitsvorgaben, die Health Requirement Policies, festgelegt. Diese werden dann zu den Clientagenten übertragen. Der Clientagent überprüft, ob die Geräte die geforderten Sicherheitseinrichtungen aufweisen. Diese Überprüfung findet bei jedem Verbindungsaufbau des Clients mit dem zentralen Netzwerk statt.

Aber auch für bestehende Benutzer-Sessions erfolgt eine laufende Überprüfung des Clientzustands. Damit überwacht NAP die Änderungen, die im laufenden Betrieb am Gerät bzw. dessen Konfiguration vorgenommen werden.

Die Funktionsmodule von NAP

Bricht man die involvierten Softwaremodule von NAP etwas weiter herunter, so lassen sich folgende Funktionsblöcke separieren: Die Überprüfung der Policies erfolgt in der „Policy Validation“. Der „NAP Enforcement Point“ achtet darauf, dass die Policies auch korrekt angewandt werden.

Durch die „Network Restrictions“ wird die Berechtigung von Clients im Falle eines Regelverstoßes eingeschränkt. Die Wiederherstellung des regelkonformen Zustands schließlich erfolgt durch die „Remediation“.

Seite 2: Die Architektur von NAP im Überblick

(ID:2017919)