Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 3

Network Access Protection unter Windows Server 2008 konfigurieren

24.11.2008 | Autor / Redakteur: Johann Baumeister / Stephan Augsten

PDF | Weiterempfehlen | Merken | Drucken

Bildergalerie: 3 Bilder

Eine eindeutige Rollenverteilung bzw. Gruppenzuordnung ist für den Client-Schutz essentiell.

Zur Absicherung seiner Rechnersysteme setzt Microsoft auf den Windows Server 2008 und Network Access Protection (NAP). Dabei wird ein Quarantänesystem für unsichere Clients geschaffen. Während die ersten beiden Teile dieser Serie konzeptionelle Aspekte des NAP-Einsatzes beleuchtet haben, widmen wir uns nun der Konfiguration einer NAP-Umgebung in der Praxis.

NAP benötigt zur Umsetzung Softwarekomponenten auf der Server- und Clientseite. Serverseitig arbeitet der System Health Validator, auf der Clientseite kommt der System Health Agent zum Einsatz.

Zur Prüfung des Clientzustands tauschen die beiden Module Nachrichten, wie etwa Health Certificates und Health Statements aus. Um das Policy-Enforcement durchzusetzen, setzt NAP auf einem der folgenden Kommunikationsinterfaces auf:

IPsec-Kommunikation (Internet Protocol security protected communications)
802.1x (nach dem Standard des Institute of Electrical and Electronics Engineers
VPN-Verbindungen (Virtual Private Network)
Verbindungen, die durch das Dynamic Host Configuration Protocol (DHCP) zur IP-Adresszuweisungen aufgebaut werden
Terminal Services Gateway Verbindungen (TS Gateway)

Um NAP in der Praxis zu prüfen, stellt die Methode mittels DHCP einen relativ schnellen Weg dar. Allerdings verlangt der Aufbau einer NAP-Infrastruktur einige Vorbereitung und ist in jedem Fall eine komplexe Angelegenheit.

NAP im Praxistest

Für unser Test-Szenario haben wir das folgende Modell gewählt: Ein Windows Server 2008 übernimmt die Funktion des NAP Policy Enforcement Points. Dazu wird der Server 2008 der Rolle des Network Policy Servers (NPS) bestückt. Dies schließt die Funktionen zum Remote Authentication Dial-in User Service (RADIUS) ein.

Als NAP-Clients kommen Geräte mit Windows Vista zum Einsatz. Auf diesen muss der NAP Agent Service aktiviert sein. Die Authentifizierung des Benutzers erfolgt gegen das Active Directory. Dieses befindet sich auf einem weiteren Server. Dieser trägt als Betriebssystem den Windows Server 2003 und natürlich das Active Directory, sowie den DNS-Dienst.

Der Testaufbau mit der Rollenverteilung, den Funktionen und IP-Adressen der beteiligten Systeme ist wie folgt:

Domänencontroller und DNS-Dienst auf Windows Server 2003

IP-Adresse: 192.168.0.1

Network Policy Server und DHCP-Server auf Windows Server 2008

IP-Adresse: 192.168.0.2
DHCP-Leases des DHCP-Servers 172.16.0.134 – 172.16.0.139

NAP-Client auf Windows Vista

IP-Adresse: 172.16.0.134

(durch die Zuweisung durch den DHCP-Server auf dem NPS-Server)

Seite 2: Vorbereitung der Domäne

Inhalt des Artikels:

Seite 1: Network Access Protection unter Windows Server 2008 konfigurieren
Seite 2: Vorbereitung der Domäne
Seite 3: Einrichten des DHCP-Servers

»1 »2 »3 nächste Seite

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2018024)

Für Sie ausgewählt

Risikoanalyse - SecureBrowsing - Bordmitteln - Sicherheitsmechanismen - Firmeneinsatz

#Smartphone-Nutzer aufgepasst: Einige #Mobilfunk-#Provider haben Probleme mit ihrer #Firewall-Sicherheit http://t.co/Eh5rnOcM 21 hours ago
Sicherheitscheck fürs #Smartphone: #Fraunhofer #AISEC entwickelt #Schwachstellen-Analyse für #Android http://t.co/X1ZNdmSN @FraunhoferAISEC 21 hours ago
#PCI Council drängt auf #P2P-Verschlüsselung für mobile #Bezahlsysteme http://t.co/y3IrwXNt @PCISSC 1 day ago
Nachrichten-#Verschlüsselung bei #Twitter und #Facebook - Leitfaden für Scrambls http://t.co/xRVailPe @scramblsUSA @WaveSystems 2 days ago

SEARCHSECURITY AUF FACEBOOK

NEUES AUS DEM FORUM