von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Netzwerkzugriffschutz in Windows Server 2012 (1)
IP-Adresskontrolle auf DHCP-Servern
Zur Verwendung von NAP über DHCP müssen Sie nun den DHCP-Server konfigurieren, damit dieser NAP und die erstellten Richtlinien anwenden kann. Die Einstellungen finden in der DHCP-Verwaltungskonsole statt (dhcpmgmt.msc), und zwar in den Eigenschaften des Bereiches auf die Registerkarte "Netzwerkzugriffsschutz" über die Option "Für diesen Bereich aktivieren". Die Option "Netzwerkzugriffsschutz-Standardprofil verwenden" aktiviert NAP.
Im nächsten Schritt konfigurieren Sie den DHCP-Server so, dass er NAP-konformen Clients eine IP-Adresse zuteilt. Über das Kontextmenü von "Bereichsoptionen" klicken Sie dazu auf "Optionen konfigurieren". Auf der Registerkarte "Erweitert" wählen Sie dabei im Dropdownlistenfeld "Benutzerklasse" die Option "Standardbenutzerklasse" aus. Hier können Sie die Optionen selektieren, die NAP-konformen Clients zugewiesen werden sollen – zum Beispiel DNS-Server, WINS, und DNS-Domäne. Als Nächstes richten Sie ein, dass nicht-konforme NAP-Clients entsprechende IP-Adressen erhalten, damit sich diese mit den Wartungsservern verbinden können oder eben keine IP-Adressen, was den Zugriff auf das Netzwerk unterbindet. Dazu steht Ihnen im Dropdownlistenfeld "Benutzerklasse" die Option "Standardmäßige Netzwerkzugriffsschutz-Klasse" zur Verfügung.
Clients für NAP konfigurieren
Die nächste Aufgabe besteht in der Aktivierung der DHCP-NAP-Unterstützung auf den Clients. Über napclcfg.msc starten Sie die Verwaltungskonsole des NAP-Clients in Windows 8. Über "Erzwingungsclients / DHCP-Quarantäneerzwingungsclient" aktivieren Sie die DHCP-Unterstützung. Diese Einstellung finden Sie auch in den Gruppenrichtlinien unter "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Netzwerkzugriffschutz / NAP-Clientkonfiguration / Erzwingungsclients".
Windows 7 und Windows 8 erkennen, wenn sie nicht dem Zugriffschutz im Netzwerk entsprechen und informieren den Anwender. Klicken die Anwender dann doppelt auf die Meldung oder das dazugehörige Symbol, erhalten sie eine ausführliche Statusmeldung. Alle Ereignisse der NAP-Konfiguration finden sich auch in der Ereignisanzeige. Die Ereignisse auf dem Client finden Sie in der Ereignisanzeige über "Anwendungs- und Dienstprotokolle / Microsoft / Windows / Network Access Protection". Auf dem Server sind die Fehler im Systemprotokoll zu finden.
Wartung nicht-konformer Clients
Die automatische Wartung für nichtkonforme Clients aktivieren Sie in der Netzwerkrichtlinie, indem Sie auf der Registerkarte "Einstellungen" auf "NAP-Erzwingung" und im unteren Bereich "Automatische Wartung von Clientcomputer aktivieren" setzen. Hierbei wird übrigens auch die Windows-Firewall automatisch eingeschaltet. Dadurch ist sichergestellt, dass auch auf PCs, an denen Benutzer mit Administratorrechten sitzen, die Firewall immer aktiv ist. In regelmäßigen Abständen, vor allem bei der Anmeldung, erscheint im Infobereich der Taskleiste ein Hinweis, ob der Client den Netzwerkrichtlinien entspricht.
Sie testen die Einstellung, indem Sie die Windows-Firewall auf dem PC deaktivieren. Dazu klicken Sie auf "Systemsteuerung / System und Sicherheit / Windows-Firewall" und dann auf den Punkt "Windows-Firewall ein- oder ausschalten". Deaktivieren Sie an dieser Stelle die Windows-Firewall für das Domänennetzwerk. Der NAP-Client bemerkt das Problem und trennt den PC vom Netzwerk; die Anwender erhalten auch eine entsprechende Meldung. Nur wenn Sie die automatische Wartung aktiviert haben, startet der NAP-Client die Firewall neu. Ansonsten erhalten Sie eine Fehlermeldung und Windows schränkt den Zugriff auf Basis der hinterlegten Regeln ein.
Konfiguration der Wartungsservergruppen
Auf Wartungsserver (Remediation Server) greifen Clients zu, wenn sie nicht NAP-konform sind. Hierfür tragen Sie die entsprechenden DNS-Namen oder IP-Adressen der Server ein, mit denen nicht-konforme Clients kommunizieren dürfen. Das können entweder WSUS-Server oder ein FTP-Server sein, auf dem Sie Virensignaturen bereitstellen. Sie können auch den Domänencontroller als Wartungsserver festlegen, damit nicht-konforme NAP-Clients Zugriff auf DNS haben und sich wenigstens an der Domäne anmelden dürfen.
Sie können zu Testzwecken eine neue Gruppe erstellen und den Domänencontroller hinterlegen, der auch DNS bereitstellt. Klicken Sie dazu mit der rechten Maustaste auf den Konsoleneintrag "Wartungsservergruppen", rufen Sie den Kontextmenübefehl "Neu" auf und hinterlegen Sie die Daten des DNS-Servers. Alle Ereignisse der NAP-Konfiguration finden Sie in der Ereignisanzeige. Die Ereignisse auf dem Client finden Sie in der Ereignisanzeige über "Anwendungs- und Dienstprotokolle / Microsoft / Windows / Network Access Protection". Auf dem Server finden Sie die Fehler im Systemprotokoll.
Seite 1: Mehr Schutz durch IP-Adresskontrolle
Seite 2: Wartung nicht-konformer Clients
In Teil zwei des Online-Workshops lesen Sie, wie Sie den Netzwerkzugriffsschutz für VPN-Verbindungen richtig konfigurieren und wie Sie eine erfolgreiche Fehlersuche bei der Einrichtung von NAP betreiben.
jp/ln/Thomas Joos
Zur Verwendung von NAP über DHCP müssen Sie nun den DHCP-Server konfigurieren, damit dieser NAP und die erstellten Richtlinien anwenden kann. Die Einstellungen finden in der DHCP-Verwaltungskonsole statt (dhcpmgmt.msc), und zwar in den Eigenschaften des Bereiches auf die Registerkarte "Netzwerkzugriffsschutz" über die Option "Für diesen Bereich aktivieren". Die Option "Netzwerkzugriffsschutz-Standardprofil verwenden" aktiviert NAP.
Im nächsten Schritt konfigurieren Sie den DHCP-Server so, dass er NAP-konformen Clients eine IP-Adresse zuteilt. Über das Kontextmenü von "Bereichsoptionen" klicken Sie dazu auf "Optionen konfigurieren". Auf der Registerkarte "Erweitert" wählen Sie dabei im Dropdownlistenfeld "Benutzerklasse" die Option "Standardbenutzerklasse" aus. Hier können Sie die Optionen selektieren, die NAP-konformen Clients zugewiesen werden sollen – zum Beispiel DNS-Server, WINS, und DNS-Domäne. Als Nächstes richten Sie ein, dass nicht-konforme NAP-Clients entsprechende IP-Adressen erhalten, damit sich diese mit den Wartungsservern verbinden können oder eben keine IP-Adressen, was den Zugriff auf das Netzwerk unterbindet. Dazu steht Ihnen im Dropdownlistenfeld "Benutzerklasse" die Option "Standardmäßige Netzwerkzugriffsschutz-Klasse" zur Verfügung.
Clients für NAP konfigurieren
Die nächste Aufgabe besteht in der Aktivierung der DHCP-NAP-Unterstützung auf den Clients. Über napclcfg.msc starten Sie die Verwaltungskonsole des NAP-Clients in Windows 8. Über "Erzwingungsclients / DHCP-Quarantäneerzwingungsclient" aktivieren Sie die DHCP-Unterstützung. Diese Einstellung finden Sie auch in den Gruppenrichtlinien unter "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Netzwerkzugriffschutz / NAP-Clientkonfiguration / Erzwingungsclients".
Windows 7 und Windows 8 erkennen, wenn sie nicht dem Zugriffschutz im Netzwerk entsprechen und informieren den Anwender. Klicken die Anwender dann doppelt auf die Meldung oder das dazugehörige Symbol, erhalten sie eine ausführliche Statusmeldung. Alle Ereignisse der NAP-Konfiguration finden sich auch in der Ereignisanzeige. Die Ereignisse auf dem Client finden Sie in der Ereignisanzeige über "Anwendungs- und Dienstprotokolle / Microsoft / Windows / Network Access Protection". Auf dem Server sind die Fehler im Systemprotokoll zu finden.
Wartung nicht-konformer Clients
Die automatische Wartung für nichtkonforme Clients aktivieren Sie in der Netzwerkrichtlinie, indem Sie auf der Registerkarte "Einstellungen" auf "NAP-Erzwingung" und im unteren Bereich "Automatische Wartung von Clientcomputer aktivieren" setzen. Hierbei wird übrigens auch die Windows-Firewall automatisch eingeschaltet. Dadurch ist sichergestellt, dass auch auf PCs, an denen Benutzer mit Administratorrechten sitzen, die Firewall immer aktiv ist. In regelmäßigen Abständen, vor allem bei der Anmeldung, erscheint im Infobereich der Taskleiste ein Hinweis, ob der Client den Netzwerkrichtlinien entspricht.
Sie testen die Einstellung, indem Sie die Windows-Firewall auf dem PC deaktivieren. Dazu klicken Sie auf "Systemsteuerung / System und Sicherheit / Windows-Firewall" und dann auf den Punkt "Windows-Firewall ein- oder ausschalten". Deaktivieren Sie an dieser Stelle die Windows-Firewall für das Domänennetzwerk. Der NAP-Client bemerkt das Problem und trennt den PC vom Netzwerk; die Anwender erhalten auch eine entsprechende Meldung. Nur wenn Sie die automatische Wartung aktiviert haben, startet der NAP-Client die Firewall neu. Ansonsten erhalten Sie eine Fehlermeldung und Windows schränkt den Zugriff auf Basis der hinterlegten Regeln ein.
Konfiguration der Wartungsservergruppen
Auf Wartungsserver (Remediation Server) greifen Clients zu, wenn sie nicht NAP-konform sind. Hierfür tragen Sie die entsprechenden DNS-Namen oder IP-Adressen der Server ein, mit denen nicht-konforme Clients kommunizieren dürfen. Das können entweder WSUS-Server oder ein FTP-Server sein, auf dem Sie Virensignaturen bereitstellen. Sie können auch den Domänencontroller als Wartungsserver festlegen, damit nicht-konforme NAP-Clients Zugriff auf DNS haben und sich wenigstens an der Domäne anmelden dürfen.
Sie können zu Testzwecken eine neue Gruppe erstellen und den Domänencontroller hinterlegen, der auch DNS bereitstellt. Klicken Sie dazu mit der rechten Maustaste auf den Konsoleneintrag "Wartungsservergruppen", rufen Sie den Kontextmenübefehl "Neu" auf und hinterlegen Sie die Daten des DNS-Servers. Alle Ereignisse der NAP-Konfiguration finden Sie in der Ereignisanzeige. Die Ereignisse auf dem Client finden Sie in der Ereignisanzeige über "Anwendungs- und Dienstprotokolle / Microsoft / Windows / Network Access Protection". Auf dem Server finden Sie die Fehler im Systemprotokoll.
Seite 1: Mehr Schutz durch IP-Adresskontrolle
Seite 2: Wartung nicht-konformer Clients
In Teil zwei des Online-Workshops lesen Sie, wie Sie den Netzwerkzugriffsschutz für VPN-Verbindungen richtig konfigurieren und wie Sie eine erfolgreiche Fehlersuche bei der Einrichtung von NAP betreiben.
| << Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Joos
