Clients und Server

Ratgeber: Windows-Systeme richtig absichern

Erweiterter Netzwerkschutz ab Windows-Server 2008

Mit Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Original als Network Access Protection (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk erheblich zu verbessern.

Es handelt sich hierbei nicht um einen Schutzmechanismus wie etwa eine Firewall, bei der Zugriffe von Netzwerkadaptern oder auf diese überwacht werden. NAP geht über die üblichen Sicherheitsfunktionen hinaus: Ein Computer, der sich mit dem Unternehmensnetzwerk verbinden möchte, wird zunächst darauf überprüft, ob alle benötigten Einstellungen vorhanden sind, ehe der Netzwerkkontakt überhaupt erlaubt wird. Fehlt beispielsweise ein entscheidender Sicherheits-Patch auf einem Computer, so wäre diese Maschine eine potenzielle Gefahr für andere Computer im Netzwerk - sie erhält dann keinen Zugang zum derart geschützten Firmennetzwerk!

Sicherheitsfunktion: Mit Network Access Protection (NAP) des Windows Server ist der Administrator in der Lage, den Sicherheitsstatus von Windows-Clients beim Netzwerkzugriff zu erzwingen.
Sicherheitsfunktion: Mit Network Access Protection (NAP) des Windows Server ist der Administrator in der Lage, den Sicherheitsstatus von Windows-Clients beim Netzwerkzugriff zu erzwingen.

Andere Sicherheitsfunktionen der Betriebssysteme waren im Vergleich zu NAP eher passiver Natur. WSUS verteilt zwar Patches im lokalen Netzwerk, doch gab es bisher keine Möglichkeit für Administratoren, die Existenz eines Patches als Voraussetzung für einen Netzwerkzugriff zu definieren. Dieser Missstand ist mit NAP für alle aktuellen Windowsversionen behoben worden. Vor der Einführung von NAP durch Microsoft war eine vergleichbare Funktionalität in Windows-Netzwerken nur durch Zuhilfenahme von Programmen von Drittherstellern, wie beispielsweise Cisco, möglich. Die verbreitete Bezeichnung für diese Technologie nennt sich, abweichend von der Produktbezeichnung von Microsoft, Network Admission Control (NAC).

Sinn und Zweck von NAP ist es, die Sicherheitsrichtlinien im Netzwerk zu erzwingen und nicht Computer plump vom Netz auszuschließen. Fehlt beispielsweise ein Patch auf einem Rechner, so soll diesem die Möglichkeit gegeben werden, ihn nachträglich zu installieren. Während dies geschieht, kann dann je nach Konfiguration ein eingeschränkter Netzwerkzugriff zulässig sein.