von Redaktion IT-A…
Lesezeit
2 Minuten
Netzwerkzugriffschutz in Windows Server 2012 (1)
Mit dem Netzwerkzugriffschutz in Windows Server 2012 lassen sich Rechner und Server im Netzwerk auf vordefinierte Sicherheitseinstellungen überprüfen. Entspricht ein Client nicht den vorgegebenen Richtlinien, zum Beispiel weil ein Virenscanner fehlt oder nicht aktuell ist, können die Server den Zugriff des Clients sperren. Auch besteht die Möglichkeit, den Client zu Wartungsservern umzuleiten, von denen er Aktualisierungen des Virenscanners erhält. Lesen Sie in diesem Workshop, wie Sie das Feature auf Servern und Clients einrichten.
In Windows 7 und 8 ist der Netzwerkzugriffschutz in das Wartungscenter integriert. Die zentrale Konfiguration führen Sie über Gruppenrichtlinien durch unter "Computerkonfiguration / (Richtlinien) / Windows-Einstellungen / Sicherheitseinstellungen / Netzwerkzugriffschutz". Die Steuerung übernimmt dann ein Netzwerkschutz-Richtlinienserver (NPS), den Sie allerdings zuvor installieren müssen. Dies erfolgt im Server-Manager über "Verwalten / Rollen und Features hinzufügen / Netzwerkrichtlinien- und Zugriffsdienste".
Die Einstellungen finden Sie nach der Installation in der Konsole "Netzwerkrichtlinienserver" über den Punkt "NPS / Netzwerkzugriffsschutz / Systemintegritätsprüfungen / Windows-Sicherheitsintegritätsverifizierung". In der Mitte rufen Sie zunächst die Eigenschaften der Prüfung auf, die Sie durchführen möchten, zum Beispiel eine Windows-Sicherheitsintegritätsverifizierung. Hier legen Sie dann fest, was Clients erfüllen müssen, um Teil des Netzwerks werden zu dürfen. Diese Systemintegritätsprüfungen bezeichnet Microsoft als "Security Health Agents" (SHA).
Über den Punkt "NPS / Richtlinien / Integritätsrichtlinien" legen Sie die Richtlinien fest. Die Integritätsrichtlinie entscheidet abhängig von der Systemintegritätsprüfung, ob ein Client konform ist. Die Netzwerkrichtlinien basieren dann wiederum auf den Integritätsrichtlinien. Über die Netzwerkrichtlinien steuern Sie, wie sich Server gegenüber Clients verhalten sollen, die die Prüfung bestehen oder nicht bestehen. Die NAP-Infrastruktur basiert also auf Systemintegritätsprüfungen (System Health Validators), Integritätsrichtlinien (Health Policies) und Netzwerkrichtlinien (Network Policies).
IP-Adresse verweigern
Eine relativ einfache Verwendung von NAP ist die Integration in DHCP. Unsichere Clients erhalten dabei entweder keine IP-Adresse oder eine Adresse in einem separaten Bereich des Netzwerks. In diesem können dann Wartungsserver stehen, zum Beispiel WSUS oder ein Rechner, der Updates für den Virenscanner bereitstellt. Hierfür müssen Sie zunächst die Systemintegritätsprüfungen konfigurieren, etwa die Windows-Sicherheitsintegritätsverifizierung. Anschließend erstellen Sie eine Integritätsrichtlinie, welche die konfigurierte Systemintegritätsprüfung verwendet. Dazu klicken Sie mit der rechten Maustaste auf "Richtlinien / Integritätsrichtlinien". Hier lässt sich festlegen, wann ein Client zu welcher Integritätsrichtlinie gehören soll.
Am einfachsten ist eine Struktur mit zwei Integritätsrichtlinien: Eine Richtlinie für Clients, die alle Tests der Integritätsprüfung bestehen und eine Richtlinie für Clients, die bei den Tests durchfallen. Für Systemintegritätsprüfungen können Sie mehrere Tests einrichten. Eine Konfiguration kann so zum Beispiel für bestimmte Rechner Virenschutz und Patches überprüfen, während eine andere nur die Firewall kontrolliert. Dadurch arbeiten Sie wesentlich flexibler mit dem Netzwerkzugriffschutz und ordnen Clients verschiedenen Richtlinien zu.
Was die Sicherheitsintegritätsüberprüfungen für Windows 8 kontrollieren soll, ist mit wenigen Mausklicks eingestellt.
Netzwerkrichtlinien legen Sie schließlich über "Richtlinien / Netzwerkrichtlinien" an. Auch hier besteht der beste Weg darin, zwei Richtlinien zu erstellen: Eine für die Integritätsrichtlinie der sicheren Clients und eine für die unsicheren Clients. Auf der Seite "Bedingungen angeben" steht über "Hinzufügen" die Option "Integritätsrichtlinien" bereit. Dort stehen die er-stellten Integritätsrichtlinien zur Verfügung, die wiederum auf den Integritätsprüfungen aufbauen. Nachdem Sie die Richtlinie für konforme NAP-Clients erstellt haben, müssen Sie eine Netzwerkrichtlinie anlegen, die den Netzwerkzugriff für nicht-konforme Clients steuert. Der Vorgang dabei ist ähnlich: Sie erstellen eine Integritätsprüfung und auf deren Basis zwei Integritätsrichtlinien. Eine Richtlinie für Clients, die die Tests bestehen und eine Richtlinie für Clients, die dies nicht schaffen. Anschließend legen Sie über "Netzwerkrichtlinien" fest, in welchem Bereich des Netzwerks sich die verschiedenen Clients bewegen dürfen.
Seite 1: Mehr Schutz durch IP-Adresskontrolle
Seite 2: Wartung nicht-konformer Clients
dr/ln/Thomas Joos
Die Einstellungen finden Sie nach der Installation in der Konsole "Netzwerkrichtlinienserver" über den Punkt "NPS / Netzwerkzugriffsschutz / Systemintegritätsprüfungen / Windows-Sicherheitsintegritätsverifizierung". In der Mitte rufen Sie zunächst die Eigenschaften der Prüfung auf, die Sie durchführen möchten, zum Beispiel eine Windows-Sicherheitsintegritätsverifizierung. Hier legen Sie dann fest, was Clients erfüllen müssen, um Teil des Netzwerks werden zu dürfen. Diese Systemintegritätsprüfungen bezeichnet Microsoft als "Security Health Agents" (SHA).
Über den Punkt "NPS / Richtlinien / Integritätsrichtlinien" legen Sie die Richtlinien fest. Die Integritätsrichtlinie entscheidet abhängig von der Systemintegritätsprüfung, ob ein Client konform ist. Die Netzwerkrichtlinien basieren dann wiederum auf den Integritätsrichtlinien. Über die Netzwerkrichtlinien steuern Sie, wie sich Server gegenüber Clients verhalten sollen, die die Prüfung bestehen oder nicht bestehen. Die NAP-Infrastruktur basiert also auf Systemintegritätsprüfungen (System Health Validators), Integritätsrichtlinien (Health Policies) und Netzwerkrichtlinien (Network Policies).
IP-Adresse verweigern
Eine relativ einfache Verwendung von NAP ist die Integration in DHCP. Unsichere Clients erhalten dabei entweder keine IP-Adresse oder eine Adresse in einem separaten Bereich des Netzwerks. In diesem können dann Wartungsserver stehen, zum Beispiel WSUS oder ein Rechner, der Updates für den Virenscanner bereitstellt. Hierfür müssen Sie zunächst die Systemintegritätsprüfungen konfigurieren, etwa die Windows-Sicherheitsintegritätsverifizierung. Anschließend erstellen Sie eine Integritätsrichtlinie, welche die konfigurierte Systemintegritätsprüfung verwendet. Dazu klicken Sie mit der rechten Maustaste auf "Richtlinien / Integritätsrichtlinien". Hier lässt sich festlegen, wann ein Client zu welcher Integritätsrichtlinie gehören soll.
Am einfachsten ist eine Struktur mit zwei Integritätsrichtlinien: Eine Richtlinie für Clients, die alle Tests der Integritätsprüfung bestehen und eine Richtlinie für Clients, die bei den Tests durchfallen. Für Systemintegritätsprüfungen können Sie mehrere Tests einrichten. Eine Konfiguration kann so zum Beispiel für bestimmte Rechner Virenschutz und Patches überprüfen, während eine andere nur die Firewall kontrolliert. Dadurch arbeiten Sie wesentlich flexibler mit dem Netzwerkzugriffschutz und ordnen Clients verschiedenen Richtlinien zu.
Was die Sicherheitsintegritätsüberprüfungen für Windows 8 kontrollieren soll, ist mit wenigen Mausklicks eingestellt.
Netzwerkrichtlinien legen Sie schließlich über "Richtlinien / Netzwerkrichtlinien" an. Auch hier besteht der beste Weg darin, zwei Richtlinien zu erstellen: Eine für die Integritätsrichtlinie der sicheren Clients und eine für die unsicheren Clients. Auf der Seite "Bedingungen angeben" steht über "Hinzufügen" die Option "Integritätsrichtlinien" bereit. Dort stehen die er-stellten Integritätsrichtlinien zur Verfügung, die wiederum auf den Integritätsprüfungen aufbauen. Nachdem Sie die Richtlinie für konforme NAP-Clients erstellt haben, müssen Sie eine Netzwerkrichtlinie anlegen, die den Netzwerkzugriff für nicht-konforme Clients steuert. Der Vorgang dabei ist ähnlich: Sie erstellen eine Integritätsprüfung und auf deren Basis zwei Integritätsrichtlinien. Eine Richtlinie für Clients, die die Tests bestehen und eine Richtlinie für Clients, die dies nicht schaffen. Anschließend legen Sie über "Netzwerkrichtlinien" fest, in welchem Bereich des Netzwerks sich die verschiedenen Clients bewegen dürfen.
Seite 1: Mehr Schutz durch IP-Adresskontrolle
Seite 2: Wartung nicht-konformer Clients
| Seite 1 von 2 | Nächste Seite >> |
dr/ln/Thomas Joos
