Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 3

Network Access Protection unter Windows Server 2008 konfigurieren

24.11.2008 | Autor / Redakteur: Johann Baumeister / Stephan Augsten

Eine eindeutige Rollenverteilung bzw. Gruppenzuordnung ist für den Client-Schutz essentiell.
Eine eindeutige Rollenverteilung bzw. Gruppenzuordnung ist für den Client-Schutz essentiell.

Zur Absicherung seiner Rechnersysteme setzt Microsoft auf den Windows Server 2008 und Network Access Protection (NAP). Dabei wird ein Quarantänesystem für unsichere Clients geschaffen. Während die ersten beiden Teile dieser Serie konzeptionelle Aspekte des NAP-Einsatzes beleuchtet haben, widmen wir uns nun der Konfiguration einer NAP-Umgebung in der Praxis.

NAP benötigt zur Umsetzung Softwarekomponenten auf der Server- und Clientseite. Serverseitig arbeitet der System Health Validator, auf der Clientseite kommt der System Health Agent zum Einsatz.

Zur Prüfung des Clientzustands tauschen die beiden Module Nachrichten, wie etwa Health Certificates und Health Statements aus. Um das Policy-Enforcement durchzusetzen, setzt NAP auf einem der folgenden Kommunikationsinterfaces auf:

  • IPsec-Kommunikation (Internet Protocol security protected communications)
  • 802.1x (nach dem Standard des Institute of Electrical and Electronics Engineers
  • VPN-Verbindungen (Virtual Private Network)
  • Verbindungen, die durch das Dynamic Host Configuration Protocol (DHCP) zur IP-Adresszuweisungen aufgebaut werden
  • Terminal Services Gateway Verbindungen (TS Gateway)

Um NAP in der Praxis zu prüfen, stellt die Methode mittels DHCP einen relativ schnellen Weg dar. Allerdings verlangt der Aufbau einer NAP-Infrastruktur einige Vorbereitung und ist in jedem Fall eine komplexe Angelegenheit.

NAP im Praxistest

Für unser Test-Szenario haben wir das folgende Modell gewählt: Ein Windows Server 2008 übernimmt die Funktion des NAP Policy Enforcement Points. Dazu wird der Server 2008 der Rolle des Network Policy Servers (NPS) bestückt. Dies schließt die Funktionen zum Remote Authentication Dial-in User Service (RADIUS) ein.

Als NAP-Clients kommen Geräte mit Windows Vista zum Einsatz. Auf diesen muss der NAP Agent Service aktiviert sein. Die Authentifizierung des Benutzers erfolgt gegen das Active Directory. Dieses befindet sich auf einem weiteren Server. Dieser trägt als Betriebssystem den Windows Server 2003 und natürlich das Active Directory, sowie den DNS-Dienst.

Der Testaufbau mit der Rollenverteilung, den Funktionen und IP-Adressen der beteiligten Systeme ist wie folgt:

Domänencontroller und DNS-Dienst auf Windows Server 2003

IP-Adresse: 192.168.0.1

Network Policy Server und DHCP-Server auf Windows Server 2008

IP-Adresse: 192.168.0.2
DHCP-Leases des DHCP-Servers 172.16.0.134 – 172.16.0.139

NAP-Client auf Windows Vista

IP-Adresse: 172.16.0.134

(durch die Zuweisung durch den DHCP-Server auf dem NPS-Server)

Seite 2: Vorbereitung der Domäne

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2018024 / Endpoint)