Channel Header
128206

Variable Zwangsmaßnahmen

10.09.2009 | 10:13 Uhr |

Während sich NAP zum Großteil über den Netzwerkrichtlinien-Server (Network Policy Server = NPS) konfigurieren lässt, sind die Erzwingungsmethoden mit dem Frontend des jeweiligen Netzdienstes einzurichten. So wird etwa die DHCP-Erzwingungsmethode auf dem DHCP-Server verwaltet. Dort kann der Administrator eine Subnetzmaske und DHCP-Optionen speziell für nicht kompatible Clients angeben. Der DHCP-Server muss dafür allerdings auf einem Server mit Windows 2008 laufen.

Für jede Erzwingungsmethode sind die Zugriffsbeschränkungen also in Abhängigkeit von den Möglichkeiten des gewählten Netzdienstes zu formulieren. Es ist auch möglich, mehrere Verfahren parallel einzusetzen. In der Praxis wird man aber vermutlich meist nur mit einer oder zwei Erzwingungsmethoden arbeiten.

Die DHCP-Erzwingungsmethode leitet unsichere Clients in ein eigenes Subnetz um. Dieses Verfahren ist relativ einfach, aber nicht besonders sicher.
Vergrößern Die DHCP-Erzwingungsmethode leitet unsichere Clients in ein eigenes Subnetz um. Dieses Verfahren ist relativ einfach, aber nicht besonders sicher.
© 2014

Der Administrationsaufwand für die einzelnen Verfahren ist dabei höchst unterschiedlich. Am aufwändigsten dürfte die IPsec-Methode sein. Bei diesem Verfahren erhalten Clients ein digitales Zertifikat, das sie als kompatibel ausweist. Rechner, die nicht über dieses Zertifikat verfügen, haben keinen Zugriff auf andere Systeme im Intranet.
Dies lässt sich auch mit der 802.1x-Methode erreichen. Hierzu müssen aber alle Netzwerk-Switches die Authentifizierung über 802.1x beherrschen und außerdem die automatische Zuweisung von Clients zu virtuellen LANs (VLANs) anhand von Radius-Attributen erlauben. Nicht kompatible Clients landen bei diesem Verfahren in einem speziellen VLAN. Ähnlich funktioniert dies auch bei der VPN-Methode. Statt einem VLAN wird nicht kompatiblen Clients hier ein bestimmtes IP-Subnetz zugewiesen.

TS Gateway ist ein neues Features der Terminal-Services von Windows Server 2008. Es erlaubt den Aufbau einer verschlüsselten RDP-Verbindung über HTTPS. NAP sorgt bei dieser Erzwingungsmethode dafür, dass nicht kompatible Clients via RDP keinen Zugriff auf einen Windows-Server erhalten. Im Gegensatz zu den anderen vier Erzwingungsmethoden unterstützt NAP hier die "automatische Wartung" nicht. Wie bereits angesprochen, verfügt der NAP-Agent über die Fähigkeit, die jeweils notwendigen Prozeduren anzustoßen, die nicht kompatiblen Clients zu einem richtlinienkonformen Zustand verhelfen. (ws)

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
128206