Suchen

Neue Sicherheitsfunktionen bei Windows Server 2008

Sicherheit bis zum Kern

Seite: 3/6

Firmen zum Thema

Netzwerkrichtlinien- und Zugriffsdienste

In Bezug auf den Schutz des Netzwerkes ist in Windows Server 2008 aber noch eine weitere Sicherheitsfunktion implementiert, die zu den wesentlichsten Neuerungen des Windows-Serversystems zählt: Die Netzwerkrichtlinien- und Zugriffsdienste, die seit längerer Zeit besser unter dem Namen Network Access Protection (NAP) bekannt sind und bereits im Windows Server 2003 R2 enthalten sein sollten. NAP sorgt dafür, dass der Zugang zum Netzwerk geschützt ist, und verhindert, dass „nicht einwandfreie“ Computer auf das Firmennetzwerk zugreifen und es gefährden können.

Hierfür können Administratoren Zustandsrichtlinien konfigurieren, die beispielsweise Sicherheitsupdate-Anforderungen für Virenscanner und erforderliche Konfigurationseinstellungen für die Rechner definieren, die eine Verbindung zum Netzwerk herstellen möchten. Windows Server 2008 stellt fünf unterschiedliche Richtlinientypen bereit. Sie betreffen die Windows-Firewall, den Virenschutz, den Spyware-Schutz, automatische Updates und den Sicherheitsupdate-Schutz.

Bildergalerie

Bildergalerie mit 6 Bildern

Ist NAP aktiviert, werden Clients, die auf das Netzwerk zugreifen wollen, einer Zustandsbewertung unterzogen. Befindet sich der Clientcomputer in einem unzulässigen Zustand, ist kein oder nur beschränkter Netzwerkzugriff möglich. Es ist zum Beispiel aber auch möglich, den Clientcomputer sofort mit dem erforderlichen Patch zu versehen oder an einen Antivirus-Server zu verweisen, von dem er die aktuellen Viren-Signaturen herunterladen kann, um die Konformität zu erwerben. Konfiguriert werden die Richtlinien in der Konsole zur Verwaltung des Netzwerkrichtlinienservers (Network Policy Server – NPS).

Die Zugangsbeschränkung kann mit unterschiedlichen Methoden durchgesetzt werden. Windows Server 2008 unterstützt folgende Netzwerkzugriffstechnologien: IPSec, 802.1X, VPN, DHCP und Terminal Services Gateway.

Einrichtung in zwei Schritten

Im Prinzip funktionieren alle Durchsetzungsmethoden identisch. Der jeweilige Dienst wird um eine NAP-Komponente erweitert, was ihm die Zuweisung netzwerkspezifischer Einstellungen ermöglicht. Die Einrichtung erfolgt somit in zwei Schritten. Während sich ein Großteil der NAP-Konfiguration auf dem Netzwerkrichtlinienserver durchführen lässt, müssen die Erzwingungsmethoden im Frontend des jeweiligen Netzdienstes konfiguriert werden. Der erforderliche Aufwand ist von der verwendeten Methode abhängig und dürfte bei der IPSec-Methode am größten sein.

(ID:2010215)