Der Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Technologie zur Erstellung, Erzwingung und Wartung von Integritätsrichtlinien für Clients und ist in Windows Vista®, Windows Server® 2008, Windows® 7 und Windows Server® 2008 R2 integriert. Mit dem Netzwerkzugriffsschutz können Sie Integritätsrichtlinien einrichten, mit denen beispielsweise Softwareanforderungen, Sicherheitsupdateanforderungen und erforderliche Konfigurationseinstellungen für Computer definiert werden, die eine Verbindung mit dem Netzwerk herstellen.
NAP erzwingt Integritätsrichtlinien durch Untersuchen und Beurteilen der Integrität von Clientcomputern, Beschränken des Netzwerkzugriffs für Clientcomputer, die als nicht kompatibel mit der Integritätsrichtlinie eingeschätzt werden, sowie durch Korrigieren fehlerhafter Clientcomputer, um sie richtlinienkonform zu machen, bevor ihnen der Vollzugriff auf das Netzwerk erteilt wird. Durch den Netzwerkzugriffsschutz werden auf Clientcomputern, die eine Verbindung mit dem Netzwerk herzustellen versuchen, Integritätsrichtlinien erzwungen. Die Integritätsrichtlinienerzwingung wird durch den Netzwerkzugriffsschutz auch bereitgestellt, während ein Clientcomputer mit einem Netzwerk verbunden ist.
Beim Netzwerkzugriffsschutz handelt es sich um eine erweiterbare Plattform, auf der eine Infrastruktur und ein Satz Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) bereitgestellt werden. Mithilfe des API-Satzes des Netzwerkzugriffsschutzes können Sie NAP-Clients und Netzwerkrichtlinienservern (Network Policy Server, NPS) Komponenten hinzufügen, durch die die Computerintegrität überprüft, Netzwerkintegritätsrichtlinien erzwungen und nicht kompatible Computer gewartet werden, damit sie mit den Integritätsrichtlinien kompatibel werden.
Durch den Netzwerkzugriffsschutz selbst werden keine Komponenten zum Überprüfen oder Warten der Computerintegrität bereitgestellt. Mit anderen Komponenten, so genannten Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs), können Sie den Integritätsstatus eines Computers überprüfen und Berichte erstellen, den Integritätsstatus eines Clientcomputers im Vergleich zu Integritätsrichtlinien überprüfen sowie Konfigurationseinstellungen verwenden, damit der Clientcomputer mit den Integritätsrichtlinien kompatibel wird.
Der Windows-Sicherheitsintegritäts-Agent (Windows Security Health Agent, WSHA) ist in Windows Vista und Windows 7 Bestandteil des Betriebssystems. Die entsprechende Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV) ist in Windows Server 2008 und Windows Server 2008 R2 Bestandteil des Betriebssystems. Mithilfe des NAP-API-Satzes können andere Produkte ebenfalls SHAs und SHVs für die Integration von NAP implementieren. Beispielsweise kann ein Lieferant von Antivirensoftware mithilfe des API-Satzes einen benutzerdefinierten SHA und eine benutzerdefinierte SHV erstellen. Diese Komponenten können dann in die von den Kunden des Softwareherstellers bereitgestellten NAP-Lösungen integriert werden.
Wenn Sie als Netzwerk- oder Systemadministrator NAP bereitstellen möchten, können Sie NAP mit WSHA und WSHV bereitstellen, die im Betriebssystem enthalten sind. Außerdem können Sie feststellen, ob andere Softwarehersteller SHAs und SHVs für ihre Produkte anbieten.
NAP (Übersicht)
Die meisten Organisationen erstellen Netzwerkrichtlinien, durch die der Hardware- und Softwaretyp vorgegeben wird, der im Organisationsnetzwerk bereitgestellt werden kann. Diese Richtlinien enthalten oft Regeln zur Konfiguration von Clientcomputern, bevor eine Verbindung mit dem Netzwerk hergestellt wird. Beispielsweise verlangen viele Organisationen, dass auf Clientcomputern Antivirensoftware mit installierten aktuellen Antivirenupdates ausgeführt werden und dass auf Clientcomputern eine Softwarefirewall installiert und aktiviert ist, bevor eine Verbindung mit dem Organisationsnetzwerk hergestellt wird. Ein Clientcomputer, der gemäß den Netzwerkrichtlinien der Organisation konfiguriert ist, gilt als richtlinienkonform. Dagegen kann ein Computer, der nicht gemäß den Netzwerkrichtlinien der Organisation konfiguriert ist, als nicht richtlinienkonform gesehen werden.
NAP ermöglicht die Verwendung von NPS zum Erstellen von Richtlinien, mit denen die Integrität von Clientcomputern definiert wird. Außerdem können Sie mit NAP die erstellten Clientintegritätsrichtlinien erzwingen und NAP-fähige Clientcomputer automatisch aktualisieren oder warten, um sie mit den Clientintegritätsrichtlinien kompatibel zu machen. NAP ermöglicht die ständige Erkennung der Clientcomputerintegrität, um Schutz zu bieten, wenn ein Clientcomputer beim Herstellen einer Verbindung mit dem Organisationsnetzwerk richtlinienkonform ist, aber anschließend nicht richtlinienkonform bleibt.
NAP bietet zusätzlichen Schutz für Clientcomputer und für das Organisationsnetzwerk, indem sichergestellt wird, dass Computer, die eine Verbindung mit dem Netzwerk herstellen, mit dem Organisationsnetzwerk und den Clientintegritätsrichtlinien konform sind. Dadurch wird das Netzwerk vor schädlichen Elementen wie z. B. Computerviren geschützt, die von Clientcomputern eingeschleust werden. Außerdem werden Clientcomputer vor schädlichen Elementen geschützt, die vom Netzwerk eingeschleust werden, mit dem eine Verbindung hergestellt wird.
Darüber hinaus verkürzt sich durch die automatische Wartung von NAP der Zeitraum, in dem nicht richtlinienkonforme Clientcomputer am Zugriff auf die Netzwerkressourcen der Organisation gehindert werden. Wenn die automatische Wartung konfiguriert ist und Clients einen nicht kompatiblen Status aufweisen, können NAP-Clientkomponenten den Computer schnell mithilfe von Ressourcen aktualisieren, die in einem Wartungsnetzwerk bereitgestellt werden. Auf diese Weise kann der nun kompatible Client schneller durch den Netzwerkzugriffsschutz für Verbindungen mit dem Netzwerk autorisiert werden.
NPS und NAP
Der Netzwerkrichtlinienserver kann als NAP-Richtlinienserver für alle NAP-Erzwingungsmethoden verwendet werden.
Wenn Sie NPS als NAP-Richtlinienserver konfigurieren, wertet NPS SoHs (Statements of Health) aus, die von NAP-fähigen Clientcomputern gesendet wurden, die eine Verbindung mit dem Netzwerk herstellen möchten. Sie können NAP-Richtlinien auf dem Netzwerkrichtlinienserver konfigurieren, mit denen Clientcomputer ihre Konfiguration entsprechend den Netzwerkrichtlinien der Organisation aktualisieren können.
Clientcomputerintegrität
Integrität ist definiert als Informationen zu einem Clientcomputer, mit deren Hilfe der Netzwerkzugriffsschutz bestimmt, ob der Clientzugriff auf ein Netzwerk zugelassen oder verweigert wird. Die Bewertung des Integritätsstatus eines Clientcomputers stellt den Konfigurationsstatus eines Clientcomputers im Vergleich zum gemäß der Integritätsrichtlinie erforderlichen Status dar.
Beispiele für Integritätsbewertungen:
-
Der Betriebsstatus der Windows-Firewall. Ist die Firewall aktiviert oder deaktiviert?
-
Der Updatestatus von Antivirensignaturen. Sind dies die aktuellen Antivirensignaturen?
-
Der Installationsstatus von Sicherheitsupdates. Sind die aktuellen Sicherheitsupdates auf dem Client installiert?
Der Integritätsstatus des Clientcomputers ist in ein SoH gekapselt, das von NAP-Clientkomponenten ausgestellt wird. NAP-Clientkomponenten senden das SoH zur Auswertung an NAP-Serverkomponenten, um zu bestimmen, ob der Client kompatibel ist und ob ihm der Vollzugriff auf das Netzwerk erteilt werden kann.
In der NAP-Terminologie wird die Überprüfung, ob ein Computer die definierten Integritätsanforderungen erfüllt, als integritätsrichtlinienbezogene Prüfung bezeichnet. NPS führt die Integritätsrichtlinienüberprüfung für NAP aus.
Funktionsweise der NAP-Erzwingung
Der Netzwerkzugriffsschutz erzwingt Integritätsrichtlinien mithilfe von clientseitigen Komponenten, mit denen die Integrität von Clientcomputern geprüft und bewertet wird, mithilfe von serverseitigen Komponenten, mit denen der Netzwerkzugriff eingeschränkt wird, falls Clientcomputer als nicht kompatibel eingestuft werden, und mithilfe von client- und serverseitigen Komponenten, mit denen nicht kompatible Clientcomputer für den Vollzugriff auf das Netzwerk gewartet werden.
Wichtige Prozesse von NAP
Für den Schutz des Netzwerkzugriffs verwendet NAP folgende drei Prozesse: Richtlinienüberprüfung, NAP-Erzwingung und Netzwerkeinschränkungen sowie Wartung und ständige Kompatibilität.
Richtlinienüberprüfung
Mit dem Netzwerkrichtlinienserver können Sie Clientintegritätsrichtlinien mithilfe von SHVs erstellen, damit Clientcomputerkonfigurationen durch den Netzwerkzugriffsschutz erkannt, erzwungen und gewartet werden können.
WSHA und WSHV stellen folgende Funktionalität für NAP-fähige Computer bereit:
-
Auf dem Clientcomputer wird Firewallsoftware installiert und aktiviert.
-
Auf dem Clientcomputer wird Antivirensoftware installiert und ausgeführt.
-
Auf dem Clientcomputer werden aktuelle Antivirenupdates installiert.
-
Auf dem Clientcomputer wird Antispywaresoftware installiert und ausgeführt.
-
Auf dem Clientcomputer werden aktuelle Antispywareupdates installiert.
-
Microsoft Update Services ist auf dem Clientcomputer aktiviert.
Wenn darüber hinaus auf NAP-fähigen Clientcomputern der Windows Update-Agent ausgeführt wird und sie für einen WSUS-Server (Windows Server Update Service) registriert sind, kann NAP überprüfen, ob die aktuellen Softwaresicherheitsupdates installiert sind. Und zwar basierend auf einem von vier möglichen Werten, die der Sicherheitsschweregradbewertung im Microsoft Security Response Center (MSRC) entsprechen.
Wenn Sie Richtlinien erstellen, die den Integritätsstatus des Clientcomputers definieren, werden die Richtlinien durch NPS überprüft. Die clientseitigen NAP-Komponenten senden ein SoH an den Netzwerkrichtlinienserver, während die Verbindung mit dem Netzwerk hergestellt wird. NPS prüft das SoH und vergleicht es mit Integritätsrichtlinien.
NAP-Erzwingung und Netzwerkeinschränkungen
Der Netzwerkzugriffsschutz verweigert nicht kompatiblen Clientcomputern den Zugriff auf das Netzwerk oder lässt nur den Zugriff auf ein spezielles eingeschränktes Netzwerk, ein so genanntes Wartungsnetzwerk, zu. Ein Wartungsnetzwerk ermöglicht Clientcomputern den Zugriff auf Wartungsserver, die Softwareupdates bereitstellen, und auf andere wichtige NAP-Dienste, wie beispielsweise Integritätsregistrierungsstellen-Server (Health Registration Authority, HRA), die erforderlich sind, damit nicht kompatible NAP-Clients die Anforderungen der Integritätsrichtlinie einhalten.
Mit der Einstellung für die NAP-Erzwingung in den NPS-Netzwerkrichtlinien können Sie mithilfe von NAP den Netzwerkzugriff einschränken oder den Status von NAP-fähigen Clientcomputern analysieren, die die Integritätsrichtlinien des Netzwerks nicht einhalten.
Mit Netzwerkrichtlinieneinstellungen können Sie den Zugriff einschränken, die Einschränkung des Zugriffs verzögern oder den Zugriff gestatten.
Wartung
Nicht richtlinienkonforme Clientcomputer, die einem eingeschränkten Netzwerk hinzugefügt werden, werden möglicherweise gewartet. Bei der Wartung wird ein Clientcomputer automatisch aktualisiert, sodass die Anforderungen der aktuellen Integritätsrichtlinien erfüllt werden. Beispielsweise könnte ein eingeschränktes Netzwerk einen FTP-Server (File Transfer-Protokoll) enthalten, der die Virussignaturen nicht richtlinienkonformer Clientcomputer, die veraltete Signaturen aufweisen, automatisch aktualisiert.
Ständige Kompatibilität
NAP kann die Integritätskompatibilität auf Clientcomputern erzwingen, die bereits mit dem Netzwerk verbunden sind. Diese Funktionalität ist sinnvoll, um den ständigen Schutz eines Netzwerks sicherzustellen, wenn sich Integritätsrichtlinien und die Integrität von Clientcomputern ändern. Beispielsweise bestimmt NAP, dass der Clientcomputer einen nicht kompatiblen Status aufweist, falls gemäß einer Integritätsrichtlinie die Windows-Firewall aktiviert sein muss und ein Administrator die Firewall auf einem Clientcomputer versehentlich deaktiviert. NAP trennt in diesem Fall den Clientcomputer vom Netzwerk der Organisation und verbindet den Clientcomputer mit dem Wartungsnetzwerk, bis die Windows-Firewall wieder aktiviert wird.
Mithilfe von NAP-Einstellungen in NPS-Netzwerkrichtlinien können Sie die automatische Wartung so konfigurieren, dass NAP-Clientkomponenten automatisch versuchen, den Clientcomputer zu aktualisieren, falls er nicht richtlinienkonform ist. Die automatische Wartung wird wie die Einstellungen für die NAP-Erzwingung ebenfalls in den Netzwerkrichtlinieneinstellungen konfiguriert.