Definition

NAP (Microsoft Network Access Protection)

Microsoft NAP (Network Access Protection) ist eine auf Richtlinien basierende Management-Funktion ab Windows Server 2008. Es wird offiziell bis Windows Server 2012 R2 von Microsoft unterstützt. Damit kann der Administrator den Zugriff auf die Netzwerk-Ressourcen kontrollieren.

Ein Endgerät ohne Schutz vor Malware, die aktuellsten Patches für das Betriebssystem, eine angemessen konfigurierte Firewall und andere gut bekannte Sicherheitsmaßnahmen kann für das Netzwerk des Unternehmens ein großes Risiko darstellen. NAP-Richtlinien stellen sicher, dass diese und andere Funktionen oder Komponenten vorhanden und aktuell sind. Erst dann bekommt das Endgerät Zugriff auf das Netzwerk. Entspricht ein Gerät nicht den Vorgaben, dann wird der Zugriff eingeschränkt oder sogar komplett blockiert.

NAP basiert auf NPS (Network Policy Server), der den älteren IAS (Interne Authentication Service) von Windows Server 2003 ersetzt. NPS ist ein RADIUS-kompatibler Server. Er wurde entwickelt, um Authentifizierung und Autorisierung für externe Clients bereitzustellen. Weiterhin dient er als Gesundheitsbewertungs-Server für Network Access Protection. Der NPS speichert die NAP-Richtlinien des Administrators, die auch als Health Policies bezeichnet werden.

Die eigentliche Evaluierung der Regeln in einer Policy (Richtlinie) wird durch einen sogenannten Enforcement Point durchgeführt. Das ist ein zu RADIUS-kompatibler Client, der mit NPS kommunizieren kann.

NPS unterstützt drei Arten an Richtlinien:

  • Verbindungsanfragen: Das Festlegen von allgemeinen Richtlinien für Anfragen von RADIUS-Clients. Es geht hier zum Beispiel darum, ob spezielle Anfragen von NPS verarbeitet werden sollen oder ein anderer RADIUS-Server als Proxy dient.
  • Netzwerk-Policies: Die Definition, wie Verbindungsversuche entweder autorisiert oder abgewiesen werden.
  • Health Policies: Das Definieren von Gesundheitsregeln, die erfüllt sein müssen, damit eine Verbindung erlaubt ist.

So funktioniert NAP

Während einer Anmeldung erstattet ein NAP-Client Bericht über den Systemstatus an einen NAP-Erzwingungspunkt (Enforcement Device). Das kann zum Beispiel ein Switch, ein VPN-Server, ein DHCP-Server oder ein anderer Service sein. Der NAP-Erzwingungspunkt leitet den Gesundheitszustand des Geräts an einen Network Policy Server weiter, der unter Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 oder Windows Server 2012 R2 läuft. Der NPS vergleicht den Status mit den Vorgaben, die der System-Administrator festgelegt hat.

Wenn der NAP Client die NPS-Anforderungen erfüllt, dann darf er sich ganz normal am Unternehmensnetzwerk anmelden. Versucht der NAP Client eine Anmeldung am Firmennetzwerk und erfüllt die NPS-Anforderungen nicht, dann kann der Client blockiert werden. Alternativ wird er zum Beispiel in einem Netzwerk platziert, bei dem der Zugriff eingeschränkt ist. Das ist solange der Fall, bis der Gesundheitszustand des Clients korrigiert ist. Die notwendigen Patches, Signaturen und anderen Inhalte bekommt er von einem Wartungsserver oder der Anwender legt selbst Hand an. Sobald der Client die Anforderungen erfüllt und konform ist, kann eine neue Anfrage für eine Gesundheitsprüfung gestellt werden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Diese Definition wurde zuletzt im Mai 2016 aktualisiert

Erfahren Sie mehr über Netzwerksoftware