von Redaktion IT-A…
Lesezeit
3 Minuten
Netzwerkzugriffschutz in Windows Server 2012 (2)
Mit dem Netzwerkzugriffschutz in Windows Server 2012 lassen sich Rechner und Server im Netzwerk auf vordefinierte Sicherheitseinstellungen überprüfen. Entspricht ein Client nicht den vorgegebenen Richtlinien, zum Beispiel weil ein Virenscanner fehlt oder nicht aktuell ist, können die Server den Zugriff des Clients sperren. Lesen Sie im zweiten Teil des Online-Workshops, wie Sie den Netzwerkzugriffsschutz für VPN-Verbindungen richtig konfigurieren und wie Sie eine erfolgreiche Fehlersuche bei der Einrichtung von NAP betreiben.
Netzwerkzugriffsschutz für VPN-Verbindungen
NAP ist auch für Clients sinnvoll, die sich per VPN in das Netzwerk einwählen. Dabei verbindet sich der Client aus dem Internet mit dem RAS-VPN-Server. Dieser fordert, wie bei DHCP, ein Statement of Health (SoH) vom Client und gibt diesen an den Netzwerkrichtlinienserver weiter. Auf diesem Server werden wieder die entsprechenden Regeln angewendet.
Auf Basis dieser Richtlinien wird ein Client dann entweder zum konformen oder zum nicht-konformen NAP-Client erklärt und entsprechende Regeln angewendet. Die Konfiguration der Systemintegritätsprüfungen und der Integritätsrichtlinien erfolgt identisch zur Einrichtung von NAP über DHCP. Wir zeigen Ihnen nachfolgend, wie Sie einen IP-Filter definieren. Mit diesem können Sie festlegen, auf welche Rechner im Netzwerk nicht konforme Clients zugreifen dürfen. Nachdem Sie die Richtlinie für konforme NAP-Clients erstellt haben, müssen Sie als Nächstes eine Netzwerkrichtlinie erstellen, die den Netzwerkzugriff für nicht-konforme Clients steuert. Diese Konfiguration unterscheidet sich etwas von der Netzwerkrichtlinie für nicht-konforme Clients im Bereich NAP über DHCP, da sie einen IP-Filter verwendet. Die Richtlinie für konforme Clients bleibt identisch.
Paketfilter anstatt IP-Adressverweigerung
Wählen Sie als Integritätsrichtlinie dieses Mal die Integritätsrichtlinie aus, die Sie für nicht-konforme Clients erstellt haben. Bei "Typ des Netzwerkzugriffsservers" setzen Sie "RAS-Server (VPN-DFÜ)". Auf der Seite "Zugriffsberechtigung angeben" wählen Sie nun den Punkt "Zugriff gewährt" – der Zugriff wird später noch eingeschränkt. Natürlich könnten Sie auch die Option "Zugriff verweigert" auswählen, um Clients die komplette Kommunikation zu untersagen. Allerdings sperren Sie in diesem Fall die Rechner komplett aus dem Netzwerk aus. Klicken Sie nun auf "Weiter", um zum Fenster "Authentifizierungsmethoden konfigurieren" zu gelangen. Dort belassen Sie die Standardeinstellungen. Mit einem erneuten Klick auf "Weiter" kommen Sie zur Seite "Einschränkungen konfigurieren".
Der IP-Filter für VPN-Clients sortiert im Zweifelsfall IP-Pakete bestimmter Clients aus.
Klicken Sie auch hier auf "Weiter", um die Seite "Einstellungen konfigurieren" zu öffnen. Auf dieser wählen Sie den Punkt "NAP-Erzwingung" und aktivieren die Option "Eingeschränkten Zugriff gewähren". Aktivieren Sie anschließend das Kontrollkästchen "Automatische Wartung von Clientcomputern aktivieren" und klicken Sie auf "IP-Filter / IPv4 / Eingabefilter / Neu". Aktivieren Sie das Kontrollkästchen "Zielnetzwerk" und geben Sie die IP-Adresse des Domänencontrollers mit der Subnetzmaske 255. 255.255.255 an. Dadurch ist sichergestellt, dass sich nicht-konforme NAP-Clients nur mit dem Domänencontroller verbinden können, um sich zu authentifizieren. Bestätigen Sie Ihre Eingaben abschließend mit "OK".
Aktivieren Sie dann im Fenster "Eingehende Filter" die Option "Nur die unten aufgeführten Netzwerkpakete zulassen". Dadurch wird sichergestellt, dass der Client sich ausschließlich mit der festgelegten IP-Adresse verbinden darf, allerdings mit allen Protokollen. Klicken Sie auf "OK", um das Fenster zu schließen und wählen Sie im Hauptfenster anschließend im Bereich "IPv4" den Punkt "Ausgabefilter". Gehen Sie hier analog zur Konfiguration des Eingabefilters vor und hinterlegen Sie die IP-Adresse des Domänencontrollers mit der Subnetzmaske 255.255.255.255. Dadurch ist sichergestellt, dass der Client nicht nur Datenpakete zum Domänencontroller senden kann, sondern auch nur vom Domänencontroller empfängt.
Schließen Sie damit die Erstellung der Netzwerkrichtlinien ab. Diese werden nach der Erstellung in der NPS-Konsole angezeigt. Alle anderen Richtlinien sollten als deaktiviert angezeigt werden oder in der Reihenfolge unterhalb der Richtlinien für den VPN-Zugriff angeordnet sein.
Richtiger Umgang mit VPN-Anfragen
Für die Einwahl von VPN-Clients benötigen Sie anschließend noch Verbindungsanforderungsrichtlinien (Connection Request Policies, CRPs). Damit regeln Sie, wie Ihr Netzwerk eingehende VPN-Anfragen bearbeitet. Sie konfigurieren die Richtlinie über die NPS-Konsole, indem Sie im Bereich "Richtlinien" auf den Menüpunkt "Verbindungsanforderungsrichtlinien" klicken. Zur Konfiguration einer CRP für die VPN-Einwahl deaktivieren Sie zunächst die Standardrichtlinien und erstellen eine neue Richtlinie, indem Sie mit der rechten Maustaste auf "Verbindungsanforderungsrichtlinien" klicken und "Neu" wählen. Geben Sie der Richtlinie einen passenden Namen, zum Beispiel "VPN-Verbindungen" und wählen Sie im Listenfeld zur Option "Typ des Netzwerkzugriffsservers" den Eintrag "RAS-Server (VPN-DFÜ)" aus. Mit einem Klick auf "Weiter" gelangen Sie zum Fenster "Bedingungen eingeben", in dem Sie den Punkt "Hinzufügen" wählen. Aktivieren Sie die Option "Client-IPv4-Adresse" und klicken Sie auf "Hinzufügen". Geben Sie nun die IP-Adresse des RADIUS-Servers ein, an dem sich die Benutzer über das Internet anmelden sollen. Hierbei handelt es sich üblicherweise um den NPS-Server, nicht um den Domänencontroller. Für die Authentifizierung von Benutzern an einem Einwahlserver sind Protokolle erforderlich, die von Client und Server unterstützt werden.
Seite 1: Netzwerkzugriffsschutz für VPN-Verbindungen
Seite 2: Fehlersuche bei der Einrichtung von NAP
dr/ln/Thomas Joos
NAP ist auch für Clients sinnvoll, die sich per VPN in das Netzwerk einwählen. Dabei verbindet sich der Client aus dem Internet mit dem RAS-VPN-Server. Dieser fordert, wie bei DHCP, ein Statement of Health (SoH) vom Client und gibt diesen an den Netzwerkrichtlinienserver weiter. Auf diesem Server werden wieder die entsprechenden Regeln angewendet.
Auf Basis dieser Richtlinien wird ein Client dann entweder zum konformen oder zum nicht-konformen NAP-Client erklärt und entsprechende Regeln angewendet. Die Konfiguration der Systemintegritätsprüfungen und der Integritätsrichtlinien erfolgt identisch zur Einrichtung von NAP über DHCP. Wir zeigen Ihnen nachfolgend, wie Sie einen IP-Filter definieren. Mit diesem können Sie festlegen, auf welche Rechner im Netzwerk nicht konforme Clients zugreifen dürfen. Nachdem Sie die Richtlinie für konforme NAP-Clients erstellt haben, müssen Sie als Nächstes eine Netzwerkrichtlinie erstellen, die den Netzwerkzugriff für nicht-konforme Clients steuert. Diese Konfiguration unterscheidet sich etwas von der Netzwerkrichtlinie für nicht-konforme Clients im Bereich NAP über DHCP, da sie einen IP-Filter verwendet. Die Richtlinie für konforme Clients bleibt identisch.
Paketfilter anstatt IP-Adressverweigerung
Wählen Sie als Integritätsrichtlinie dieses Mal die Integritätsrichtlinie aus, die Sie für nicht-konforme Clients erstellt haben. Bei "Typ des Netzwerkzugriffsservers" setzen Sie "RAS-Server (VPN-DFÜ)". Auf der Seite "Zugriffsberechtigung angeben" wählen Sie nun den Punkt "Zugriff gewährt" – der Zugriff wird später noch eingeschränkt. Natürlich könnten Sie auch die Option "Zugriff verweigert" auswählen, um Clients die komplette Kommunikation zu untersagen. Allerdings sperren Sie in diesem Fall die Rechner komplett aus dem Netzwerk aus. Klicken Sie nun auf "Weiter", um zum Fenster "Authentifizierungsmethoden konfigurieren" zu gelangen. Dort belassen Sie die Standardeinstellungen. Mit einem erneuten Klick auf "Weiter" kommen Sie zur Seite "Einschränkungen konfigurieren".
Der IP-Filter für VPN-Clients sortiert im Zweifelsfall IP-Pakete bestimmter Clients aus.
Klicken Sie auch hier auf "Weiter", um die Seite "Einstellungen konfigurieren" zu öffnen. Auf dieser wählen Sie den Punkt "NAP-Erzwingung" und aktivieren die Option "Eingeschränkten Zugriff gewähren". Aktivieren Sie anschließend das Kontrollkästchen "Automatische Wartung von Clientcomputern aktivieren" und klicken Sie auf "IP-Filter / IPv4 / Eingabefilter / Neu". Aktivieren Sie das Kontrollkästchen "Zielnetzwerk" und geben Sie die IP-Adresse des Domänencontrollers mit der Subnetzmaske 255. 255.255.255 an. Dadurch ist sichergestellt, dass sich nicht-konforme NAP-Clients nur mit dem Domänencontroller verbinden können, um sich zu authentifizieren. Bestätigen Sie Ihre Eingaben abschließend mit "OK".
Aktivieren Sie dann im Fenster "Eingehende Filter" die Option "Nur die unten aufgeführten Netzwerkpakete zulassen". Dadurch wird sichergestellt, dass der Client sich ausschließlich mit der festgelegten IP-Adresse verbinden darf, allerdings mit allen Protokollen. Klicken Sie auf "OK", um das Fenster zu schließen und wählen Sie im Hauptfenster anschließend im Bereich "IPv4" den Punkt "Ausgabefilter". Gehen Sie hier analog zur Konfiguration des Eingabefilters vor und hinterlegen Sie die IP-Adresse des Domänencontrollers mit der Subnetzmaske 255.255.255.255. Dadurch ist sichergestellt, dass der Client nicht nur Datenpakete zum Domänencontroller senden kann, sondern auch nur vom Domänencontroller empfängt.
Schließen Sie damit die Erstellung der Netzwerkrichtlinien ab. Diese werden nach der Erstellung in der NPS-Konsole angezeigt. Alle anderen Richtlinien sollten als deaktiviert angezeigt werden oder in der Reihenfolge unterhalb der Richtlinien für den VPN-Zugriff angeordnet sein.
Richtiger Umgang mit VPN-Anfragen
Für die Einwahl von VPN-Clients benötigen Sie anschließend noch Verbindungsanforderungsrichtlinien (Connection Request Policies, CRPs). Damit regeln Sie, wie Ihr Netzwerk eingehende VPN-Anfragen bearbeitet. Sie konfigurieren die Richtlinie über die NPS-Konsole, indem Sie im Bereich "Richtlinien" auf den Menüpunkt "Verbindungsanforderungsrichtlinien" klicken. Zur Konfiguration einer CRP für die VPN-Einwahl deaktivieren Sie zunächst die Standardrichtlinien und erstellen eine neue Richtlinie, indem Sie mit der rechten Maustaste auf "Verbindungsanforderungsrichtlinien" klicken und "Neu" wählen. Geben Sie der Richtlinie einen passenden Namen, zum Beispiel "VPN-Verbindungen" und wählen Sie im Listenfeld zur Option "Typ des Netzwerkzugriffsservers" den Eintrag "RAS-Server (VPN-DFÜ)" aus. Mit einem Klick auf "Weiter" gelangen Sie zum Fenster "Bedingungen eingeben", in dem Sie den Punkt "Hinzufügen" wählen. Aktivieren Sie die Option "Client-IPv4-Adresse" und klicken Sie auf "Hinzufügen". Geben Sie nun die IP-Adresse des RADIUS-Servers ein, an dem sich die Benutzer über das Internet anmelden sollen. Hierbei handelt es sich üblicherweise um den NPS-Server, nicht um den Domänencontroller. Für die Authentifizierung von Benutzern an einem Einwahlserver sind Protokolle erforderlich, die von Client und Server unterstützt werden.
Seite 1: Netzwerkzugriffsschutz für VPN-Verbindungen
Seite 2: Fehlersuche bei der Einrichtung von NAP
| Seite 1 von 2 | Nächste Seite >> |
dr/ln/Thomas Joos
