Suchen

Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 3 Network Access Protection unter Windows Server 2008 konfigurieren

| Autor / Redakteur: Johann Baumeister / Stephan Augsten

Zur Absicherung seiner Rechnersysteme setzt Microsoft auf den Windows Server 2008 und Network Access Protection (NAP). Dabei wird ein Quarantänesystem für unsichere Clients geschaffen. Während die ersten beiden Teile dieser Serie konzeptionelle Aspekte des NAP-Einsatzes beleuchtet haben, widmen wir uns nun der Konfiguration einer NAP-Umgebung in der Praxis.

Firma zum Thema

Eine eindeutige Rollenverteilung bzw. Gruppenzuordnung ist für den Client-Schutz essentiell.
Eine eindeutige Rollenverteilung bzw. Gruppenzuordnung ist für den Client-Schutz essentiell.
( Archiv: Vogel Business Media )

NAP benötigt zur Umsetzung Softwarekomponenten auf der Server- und Clientseite. Serverseitig arbeitet der System Health Validator, auf der Clientseite kommt der System Health Agent zum Einsatz.

Zur Prüfung des Clientzustands tauschen die beiden Module Nachrichten, wie etwa Health Certificates und Health Statements aus. Um das Policy-Enforcement durchzusetzen, setzt NAP auf einem der folgenden Kommunikationsinterfaces auf:

Bildergalerie
  • IPsec-Kommunikation (Internet Protocol security protected communications)
  • 802.1x (nach dem Standard des Institute of Electrical and Electronics Engineers
  • VPN-Verbindungen (Virtual Private Network)
  • Verbindungen, die durch das Dynamic Host Configuration Protocol (DHCP) zur IP-Adresszuweisungen aufgebaut werden
  • Terminal Services Gateway Verbindungen (TS Gateway)

Um NAP in der Praxis zu prüfen, stellt die Methode mittels DHCP einen relativ schnellen Weg dar. Allerdings verlangt der Aufbau einer NAP-Infrastruktur einige Vorbereitung und ist in jedem Fall eine komplexe Angelegenheit.

NAP im Praxistest

Für unser Test-Szenario haben wir das folgende Modell gewählt: Ein Windows Server 2008 übernimmt die Funktion des NAP Policy Enforcement Points. Dazu wird der Server 2008 der Rolle des Network Policy Servers (NPS) bestückt. Dies schließt die Funktionen zum Remote Authentication Dial-in User Service (RADIUS) ein.

Als NAP-Clients kommen Geräte mit Windows Vista zum Einsatz. Auf diesen muss der NAP Agent Service aktiviert sein. Die Authentifizierung des Benutzers erfolgt gegen das Active Directory. Dieses befindet sich auf einem weiteren Server. Dieser trägt als Betriebssystem den Windows Server 2003 und natürlich das Active Directory, sowie den DNS-Dienst.

Der Testaufbau mit der Rollenverteilung, den Funktionen und IP-Adressen der beteiligten Systeme ist wie folgt:

Domänencontroller und DNS-Dienst auf Windows Server 2003

IP-Adresse: 192.168.0.1

Network Policy Server und DHCP-Server auf Windows Server 2008

IP-Adresse: 192.168.0.2DHCP-Leases des DHCP-Servers 172.16.0.134 – 172.16.0.139

NAP-Client auf Windows Vista

IP-Adresse: 172.16.0.134

(durch die Zuweisung durch den DHCP-Server auf dem NPS-Server)

Seite 2: Vorbereitung der Domäne

(ID:2018024)