Windows NAP

Eine der wesentlichen Neuerungen im neuen Windows Server 2008 ist Network Access Protection (NAP).
Mit diesem neuen Feature kann man Richtlinien definieren, die ein PC erfüllen muss, bevor er sich im lokalen Netz anmelden darf. Das kann sein,
w In Windows Vista und Windows 7 ist diese Funktion bereits integriert und bei Windows XP wird die Integration zusammen mit dem SP3 erfolgen.

Funktionen von NAP:

So funktioniert NAP:

Der Client besteht aus 3 Komponenten:
  1. System Health Agents (SHA). Es gibt so viele SHAs wie es Systemanforderungen gibt. D.h., wenn der Administrator eingestellt hat, dass die Virensignaturen und die Betriebssystem-Updates aktuell sein müssen, damit das System auf das Netzwerk zugreifen darf, gibt es 2 System Health Agents auf dem Client. Die SHAs bestimmen den aktuellen Status der entsprechenden Richtlinien auf dem Client und generieren daraus die so genannten SoHs (Statement of Health). Die SoHs werden dem Quarantäneagenten übergeben welcher diese annimmt und verwaltet.
  2. NAP Enforcement Client (NAP EC). Jeder dieser NAP EC ist für eine Netzwerk-Zugriffsart zuständig. Der DHCP EC beispielsweise regelt die eventuelle Isolation über DHCP. Der DHCP EC kann einem DHCP-Server zugeordnet werden.
  3. NAP-Agent: Der NAP-Agent ist für die Kommunikation zwischen der SHA-Schicht und der NAP-EC-Schicht zuständig. Außerdem speichert er den aktuellen Status der SHAs.


Der Server besteht aus 2 Komponenten:
  1. Der NAP-Server besteht aus einer Schicht NAP ES-Komponenten (NAP Enforcement Server). Jeder dieser Enforcement Server ist für eine bestimmte Netzwerk-Zugriffsart zuständig. Der DHCP ES etwa erhält von seinem passenden Gegenstück auf dem Client, in diesem Fall dem DHCP EC, die SoHs und gibt diese über RADIUS an den NPS-Server weiter.
  2. Der Network-Protection-Server besteht wiederum aus drei Komponenten:
    1. NPS-Service: Bekommt und bearbeitet die RADIUS-Pakete. Er entpackt die SoHs und gibt diese an den NAP Administration Server weiter.
    2. NAP Administration Server: Ist für die Kommunikation zwischen SHV und NPS-Server zuständig.
    3. SHV-Schicht (System Health Validator): Jede SHV ist einer bestimmten Richtlinie zugeordnet.


Die Kommunikation der Serverkomponenten läuft folgendermaßen ab:

Nachdem die SoHs vom NAP-Server zur SHV-Schicht weitergereicht wurden analysieren die SHV die SoHs und erstellen Responses. Aufgrund dieser Responses entscheidet der lokale Quarantäneagent welche Maßnahmen getroffen wird.
Diese Maßnahmen können, wie am Anfang des Artikels erwähnt, vom Administrator definiert und eingestellt werden. Nach diesen Richtlinien entscheidet der lokale NAP EC welche Art vn Quarantäne angewandt wird.

über eine API können Drittfirmen ihre eigenen Richtlinien für NAP hinzufügen. Beispielsweise hat Kaspersky für die neue Version des Administration Kits die Unterstützung von NAP angekündigt.