Informationstechnologie

Neu im Windows Server 2008: NAP
Eine der wesentlichen Neuerungen im neuen Server 2008 aus dem Hause Microsoft ist NAP („Network Access Protection“).
Mit diesem neuen Feature will Microsoft die Sicherheit in Windows-Netzen erhöhen indem Clients, die nicht den festgelegten Richtlinien entsprechen, der Zugang zum Netzwerk untersagt wird.
In Windows Vista ist diese Funktion bereits integriert und bei XP wird die Integration zusammen mit dem SP3 erfolgen.

Funktionen von NAP:
  • Die Systeme werden vor dem Zugang zum Netzwerk überprüft, ob sie die definierten Richtlinien einhalten..
  • Bei einem Verstoß gegen die Richtlinien, kann der Netzwerkzugriff des Clients blockiert werden, er kann wahlweise jedoch auch nur isoliert oder gewarnt werden.
  • Es werden verschiedene Netzwerk-Zugriffstypen unterstützt und unterschieden. Beispielsweise: RAS/VPN, IPSec, DHCP
  • Drittanbieter können über die NAP-API eigene Richtlinien programmieren. So kann etwa ein Hersteller von Antivirensoftware eine Richtlinie programmieren, die prüft, ob die Virensignaturdateien eines Clients aktuell sind.

So funktioniert NAP:

Der Client besteht aus 3 Komponenten:
  1. System Health Agents (SHA). Es gibt so viele SHAs wie es Systemanforderungen gibt. D.h., wenn der Administrator eingestellt hat, dass die Virensignaturen und die Betriebssystem-Updates aktuell sein müssen, damit das System auf das Netzwerk zugreifen darf, gibt es 2 System Health Agents auf dem Client. Die SHAs bestimmen den aktuellen Status der entsprechenden Richtlinien auf dem Client und generieren daraus die so genannten SoHs (Statement of Health). Die SoHs werden dem Quarantäneagenten übergeben welcher diese annimmt und verwaltet.
  2. NAP Enforcement Client (NAP EC). Jeder dieser NAP EC ist für eine Netzwerk-Zugriffsart zuständig. Der DHCP EC beispielsweise regelt die eventuelle Isolation über DHCP. Der DHCP EC kann einem DHCP-Server zugeordnet werden.
  3. NAP-Agent: Der NAP-Agent ist für die Kommunikation zwischen der SHA-Schicht und der NAP-EC-Schicht zuständig. Außerdem speichert er den aktuellen Status der SHAs.


Der Server besteht aus 2 Komponenten:
  1. Der NAP-Server besteht aus einer Schicht NAP ES-Komponenten (NAP Enforcement Server). Jeder dieser Enforcement Server ist für eine bestimmte Netzwerk-Zugriffsart zuständig. Der DHCP ES etwa erhält von seinem passenden Gegenstück auf dem Client, in diesem Fall dem DHCP EC, die SoHs und gibt diese über RADIUS an den NPS-Server weiter.
  2. Der Network-Protection-Server besteht wiederum aus drei Komponenten:
    1. NPS-Service: Bekommt und bearbeitet die RADIUS-Pakete. Er entpackt die SoHs und gibt diese an den NAP Administration Server weiter.
    2. NAP Administration Server: Ist für die Kommunikation zwischen SHV und NPS-Server zuständig.
    3. SHV-Schicht (System Health Validator): Jede SHV ist einer bestimmten Richtlinie zugeordnet.

Die Kommunikation der Serverkomponenten läuft folgendermaßen ab:

Nachdem die SoHs vom NAP-Server zur SHV-Schicht weitergereicht wurden analysieren die SHV die SoHs und erstellen Responses. Aufgrund dieser Responses entscheidet der lokale Quarantäneagent welche Maßnahmen getroffen wird.
Diese Maßnahmen können, wie am Anfang des Artikels erwähnt, vom Administrator definiert und eingestellt werden. Nach diesen Richtlinien entscheidet der lokale NAP EC welche Art vn Quarantäne angewandt wird.

Über eine API können Drittfirmen ihre eigenen Richtlinien für NAP hinzufügen. Beispielsweise hat Kaspersky für die neue Version des Administration Kits die Unterstützung von NAP angekündigt.