M 4.410 Einsatz von Netzwerkzugriffsschutz unter Windows

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Unter dem Stichwort Netzwerkzugriffsschutz (englisch: Network Access Protection) werden bei Microsoft Betriebssystemen mehrere Schutztechniken zusammengefasst. Sie steuern den Zugang von einzelnen IT-Systemen zu einem Netz in Abhängigkeit des auf dem jeweiligen IT-System realisierten Sicherheitsniveaus. Auf diese Weise werden die im Netz erreichbaren sensiblen Systeme vor Bedrohungen durch andere Systeme mit mangelnden Sicherheitsvorkehrungen wie veralteten Virensignaturen geschützt.

Microsoft hat unter dem Namen "Network Access Protection" (NAP) einen Mechanismus zum Zugriffsschutz auf Netze in einige Produkte integriert. Die Nutzung von NAP ist optional, sie erfordert mindestens einen Windows Server 2008 sowie Clients mit Windows Vista, Windows 7 oder Windows XP mit Service Pack 3. Dabei steuern Komponenten auf dem Windows-Server den Zugriff durch die Clients. Diese senden beim Anmeldevorgang Informationen über ihr Sicherheitsniveau wie eingespielte Updates oder die Aktualität der Virensignaturen an den Server. Anhand von hinterlegten Sicherheitsregeln ("Policies") entscheidet der Server, ob die Clients auf das Netz zugreifen dürfen, oder ob der Zugriff verweigert oder auf wenige Server begrenzt wird. Diese Server enthalten in der Regel Dienste, die der Client zur Wiederherstellung des gewünschten Zustands benötigt. Das kann ein Update-Mechanismus für Virensignaturen oder Windows-Updates sein.

Der Zugriff zum zu schützenden Netz kann auf verschiedenen Ebenen kontrolliert werden:

Je nach Szenario sind die technischen Abläufe und die eingesetzten Komponenten unterschiedlich. In jedem Fall benötigen die Clients eine lokal laufende Komponente namens Systemintegritätsagent (System Health Agent, SHA), der in sogenannten Systemintegritätsprüfungen (System Health Validators, SHVs) die lokalen Parameter der Sicherheitskonfiguration ermittelt und an die Gegenstelle sendet. In Clients mit Windows XP Service Pack 3, Windows Vista und Windows 7 ist ein entsprechender SHA im Betriebssystem integriert, für Clients mit Mac OS X oder Linux sind ebenfalls Implementierungen verfügbar.

Der in Windows verfügbare Client kann die folgenden Zustände prüfen:

Die bei der Prüfung beteiligten Serverkomponenten umfassen je nach ausgewähltem Schutzmechanismus eine Integritätsregistrierungsstelle (Health Registration Authority, HRA) zur Ausstellung von Zertifikaten für geprüfte Clients, einen Server zur Übermittlung und Verwaltung von Netz-Richtlinien (Network Policy Server, NPS), der die übermittelten Konfigurationen mit dem Regelwerk abgleicht, sowie sogenannte Erzwingungsserver (Enforcement Server, ES) zur Durchsetzung des Ergebnisses der NAP-Prüfung.

Cisco bietet auf Netzebene unter dem Namen "Network Admission Control" eine eigene Umsetzung eines Netzzugriffsschutz-Konzeptes an. Beide Technologien lassen sich auch kombiniert einsetzen. Dazu integrieren die Cisco-Netzkomponenten eine Abfrage bei einem Windows Network Policy Server in die Prüfung der Clients.

NAP ist ein empfehlenswertes Mittel, um sensible Systeme in einem Netz zusätzlich abzusichern. Der Sicherheitsgewinn darf jedoch nicht überbewertet werden: Da die Agenten zur Ermittlung des Sicherheitsniveaus zwangsläufig auf den Clients selbst laufen, kann ein Angreifer den Client mit administrativem Zugang prinzipiell soweit manipulieren, dass er sich mit falschen Angaben Zugriff zum Netz verschaffen kann. NAP schützt nicht vor zielgerichteten Angriffen ("targeted Attacks"), sondern eignet sich insbesondere zur Schadensbegrenzung bei ungerichteten Angriffen wie Virusinfektionen.

Bei der Planung des Einsatzes von NAP müssen die folgenden Aspekte beachtet werden:

Prüffragen: