Netzwerkzugriffsschutz (NAP)

 

Der Netzwerkzugriffschutz ist Bestandteil der Rolle Netzwerkrichtlinien- und Zugriffsdienste

 

NAP wird verwendet um sicherzustellen, dass der Zugriff auf bestimmte Ressourcen im Netzwerk nur Rechnern erlaubt wird die bestimmte Bedingungen erfüllen. Dabei kann überprüft werden ob die Rechner einen bestimmten Updatestand haben, ob Antivirensoftware installiert und aktuell ist oder ob zB. die Windows Firewall aktiviert ist. Werden diese Bedingungen nicht erfüllt kann, dem Rechner nur der Zugriff auf Wartungsserver gestattet werden auf denen die geforderte Software bereitgestellt wird.

 

Die Erzwingung wird mit Hilfe von Systemintegritäts-Agents (System-Health Agents, SHA) und Systemintegritätsprüfungen (System Health Validator, SHV) durchgeführt. SHV geben an welche Bedingungen der Client erfüllen muss. SHA sind die Komponenten die überprüft werden.

 

NAP Erzwingungsmethoden 

 

Zur Erzwingung ist der Einsatz von Betriebssystemen nötig die den Erzwingungsclient (EC) enthalten. Das sind Windows Vista, Windows 2008 und Windows XP SP3.

 

Übersicht Betriebssystem und einsetzbare Erzwingungsmethode

 

 

IPSec

IEEE 802.1X

RAS-VPN

DHCP

Terminaldienste-Gateway

Windows XP SP3

x

x

x

x

 

Windows Vista

x

x

x

x

x

Windows Server 2008

x

x

x

x

x

 

Die Methoden können einzeln oder in Kombination eingesetzt werden. So wäre durch Einsatz der VPN und IPSec Methoden der Zugriff aus den Intranet und Internet auf ein geschütztes Netz nur möglich, wenn die Integritätsbedingungen erfüllt werden.

 

IPSec

 

Die Erzwingung erfolgt über IPSec-Regeln. Sie können auf IP-Adressen, TCP- oder UDP-Ports angewendet werden.

Sie greift nach der IP-Adress Vergabe durch DHCP oder feste Vergabe der IP-Adresse.

Sie ist die beste Methode des Zugriffsschutzes, da das IPSec-Zertifikat erst vergeben wird wenn der Rechner die Integritätsprüfung bestanden hat.

Sie setzt eine Netzwerkumgebung voraus in der ein Server 2008-Integritätsregistrierungsstellen und Server 2008-Zertifizierungsstelle vorhanden sind. Wenn Sie die Rolle Integritätsregistrierungsstelle installieren wird die Rolle Zertifizierungsstelle mit installiert sofern noch keine vorhanden ist. Außerdem wird eine Webanwendung mit Namen DomainHRA unter der Standardwebseite des IIS installiert.

Arbeitet mit dem IPSec Erzwingungsclient.

 

802.1X

 

Setzt authentifizierende Ethernet-switches oder IEEE 802.11 Zugriffspunkte voraus. Diese gestatten nur Rechnern die die Kompatibilitätsbedingungen erfüllen uneingeschränkten Zugriff auf das Netzwerk. Andere Computer werden durch ein Zugangsbeschränkungsprofil in ihrem Zugriff auf das Netzwerk eingeschränkt.

Vorteil der 802.1x Methode ist die laufende Überprüfung der Kompatibilität. Sollte ein Client seine Kompatibilität verlieren, zB. gibt es Aktualisierungen der Antivirensoftware, wird der Zugriff solange nur auf einen Wartungsserver beschränkt bis die Kompatibilität wieder hergestellt ist.

Es wird ein Server 2008 mit der Rolle Netzwerkrichtlinienserver benötigt. Die Switches und WLan Accesspoint müssen 802.1x kompatibel sein. Die Clients müssen über den EAPHost verfügen.

 

VPN

 

Kann angewendet werden, um den Zugriff auf das interne Netz nur Clients zu gestatten, die den Integritätsanforderungen entsprechen. Sie arbeitet mit Paketfiltern.

Der Integritätsstatus wird laufend überwacht. Verliert ein Client die Kompatibilität werden Paketfilter die den Zugriff einschränken angewandt.

Es wird eine Netzwerkstruktur benötigt die den Remotezugriff und einen Netzwerkrichtlinienserver besitzt. Es wird der VPN-EC benutzt.

 

DHCP

 

Der Zugriffschutz erfolgt über die Vergabe von IP4 Adressen. Kommt nur bei der Vergabe oder Erneuerung der Lease zum Einsatz. Daher sollte bei Einsatz dieser Methode die Leasedauer möglichst gering gehalten werden.

Es wird Windows Server 2008 als DHCP Server benötigt, der verfügt über den DHCP-Erzwingungsdienst. Es wird der DHCP-EC benutzt.

Ist unsicher, da sie durch Vergabe fester IP-Adressen umgangen werden kann.

 

Terminaldienste-Gateway

 

Stellt sicher, das nur Computer die die Kompatibilitätsanforderungen erfüllen Verbindung zu einem Terminalserver herstellen können.

 

Dazu gehen grundsätzlich wie beschrieben vor:

 

1.      auf dem TS-Gateway die NAP-Integritätsrichtlinienprüfung aktivieren (Integritätsbestätigung vom Client anfordern)

2.      alle TS-Verbindungsautorisierungsrichtlinien entfernen

3.      eine Windows-SHV auf dem TS-Gatewayserver einrichten

4.      mit dem Assistenten zur NAP-Konfiguration eine NAP-Richtlinie auf dem TS-Gateway erstellen.

Es müssen die folgenden Richtlinien erstellt werden:

·        zwei Integritätsprüfungsrichtlinien (kompatible/inkompatible Computer)

·        eine Verbindungsanforderungsrichtlinie

·        drei Netzwerkrichtlinien (kompatibel/inkompatibel/nicht NAP-fähig)

 

Wartungsserver

 

Auf Wartungsservern liegen üblicherweise Softwareaktualisierungen und die aktuellen Definitionen für Antiviren-  und Antispyware Software. Sie dienen dazu, Computer die nicht die Integritätsbedingungen erfüllen zu aktualisieren. Sie sind von den beschränkten Netzwerken erreichbar in die Computer verwiesen werden, wenn sie die Integritätsprüfung nicht bestehen. Sie können in der Konsole Netzwerkrichtlinienserver hinzugefügt werden.

 

Konfiguration der Clientcomputer für NAP

 

Neben den Servern müssen auch die Clientcomputer für NAP konfiguriert werden. Am effektivsten geschieht das mit Hilfe von GPO’s.

 

Öffnen Sie dazu die Gruppenrichtlinienobjekteinstellungen im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\NetworkAccessProtection\NAP-Clientkonfiguration

Hier können Sie den Erzwingungsclient, Einstellungen für die Benutzeroberfläche und die Integritätsregistrierungseinstellungen konfigurieren.

 

Weiterhin muss der Dienst NAP-Agent auf allen Clientcomputern gestartet werden.

Das kann wieder über GPO oder von Hand getan werden.

Öffnen Sie dazu die Gruppenrichtlinienobjekteinstellungen im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste. Definieren Sie die Richtlinie und setzen sie den Startmodus auf Automatisch.

 

Abschließend müssen Sie sicherstellen, dass die verwalteten Clients die Windows-Standard-SHV benutzen, indem Sie das Sicherheitscenter starten. Dazu öffnen Sie die Gruppenrichtlinienobjekteinstellungen im Knoten Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Sicherheitscenter\Sicherheitscenter aktivieren und aktivieren Sie es.

 

Aber auch die Konfiguration über die Befehlszeile mit Skripten ist möglich.

So aktiviert der folgende Befehl den DHCP Erzwingungsclient:

netsh nap client set enforcement 79617 enable