.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Interop Berlin 2007

Interop Berlin 2007

  • Comments 2
  • Likes

interop_congress_2_460

Die Interop Berlin 2007 beleuchtet als Kombination aus Ausstellung, Test- und Demo-Netzwerk sowie Kongress die wichtigsten IT-Trends »Application-Interoperabilität«, »IT-Security«, »Voice-over-IP«, »Infrastructure & Services«, »Wireless & Mobility« und »Data-Center & Serversysteme«. Microsoft ist mit Partnern auf einem eigenen Stand vertreten, auf dem vor allem das neue deutsche Interop und Open Source Software Blog port25blog.de hervorsticht. Es fliegt ein ferngesteuertes Minizeppelin durch die Ausstellungshalle.

Ich habe gerade meinen Vortrag Wirkungsvoller Netzwerkschutz mit Windows Server 2008 auf der Interop Berlin 2007 hinter mich gebracht und nutze die Zeit in der (leider nicht rauchfreien) Speakers Lounge, weitere Informationen zu meinem Vortrag und die Slides als PDF hier zur Verfügung zu stellen.

Immer mehr Unternehmen stehen heute vor der Herausforderung, den Zugriff auf das Unternehmensnetzwerk besser steuern und regeln zu können. In meiner Session zeigte ich live, wie moderne Zuganskontrolle in einem Unternehmensnetzwerk mit Hilfe von Windows Server 2008 aussehen kann. Sind die neuesten Updates überall installiert? Verfügen die Virenscanner über aktuelle Signaturen? Spätestens Blaster, Sasser, SQL Slammer & Co. zeigten deutlich: Gefahr für das Unternehmensnetzwerk geht nicht nur von Datenträgern oder E-Mail-Anhängen allein aus.

Microsoft bietet mit Network Access Protection (NAP) in Windows Server 2008 einen umfangreichen, hochwirksamen und zudem kostengünstigen Netzwerkzugriffsschutz zur besseren Kontrolle aller Clients im Unternehmensnetzwerk. NAP erlaubt Administratoren auf einfache Weise, die Richtlinienkonformität auf allen Clients des Netzwerks durchzusetzen. Dazu kommen standardisierte Techniken wie Internet Protocol Security (IPsec), Authentical Network Connections, Virtual Private Network (VPN) und Dynamic Host Configuration Protocol (DHCP) zum Einsatz.

Zum Einstieg in die Materie empfehle ich die Lektüre der FAQ und der existierenden Whitepapers rund um NAP. Der Program Manager von Network Access Protection, Jeff Sigman, stellt selbst auf seinem eigenen Blog viele interessante Informationen auch zu unserem internen Rollout von NAP zur Verfügung. Microsoft selbst zum Beispiel nutzt NAP schon produktiv für 120.000 Clients weltweit. Der Rollout verlief sehr unkompliziert - wir haben weniger als 30 Help Desk Calls in sechs Monaten bezogen auf NAP-Probleme registriert. Wir benutzen aus Redundanzgründen je zwei Network Policy Server in Nordamerika, Europa und Asien.

NAP erlaubte uns, im ersten Schritt viel genauer festzustellen, wie der Gesundheitstzustand unserer Clients im Unternehmensnetzwerk überhaupt aussieht. Eine Erfahrung war, dass nur 92% der Clients in Nordamerika von ihrer Sicherheitskonfiguration mit den Firmenrichtlinien übereinstimmten. Als wir NAP aktiv schalteten und die Clients im ersten Schritt lediglich darüber informierten, dass der Gesundheitszustand nicht mit den Firmenrichtlinien übereinstimmt und möglicherweise der Client zukünftig von der Netzwerkkommunikation ausgeschlossen werden würde, führte dass dazu, dass ohne weiteres administratives Zutun der 8 Prozentanteil rapide schwand. Viele Benutzer wußten entweder gar nicht, dass ihr Rechner nicht den Firmenrichtlinien entsprach und korrigierten das Problem selbst oder wurden daran erinnert, dass ihre Konfiguration zukünftig Konsequenzen haben kann. Was ein schlechtes Gewissen so alles vorantreiben kann ;-)

Wer selbst NAP testen und implementieren möchte, findet online step-by-step Anleitungen für die Enforcementtechniken DHCP, IPsec, VPN und 802.1x. Es gibt auch ein virtuelles Lab, in dem man über das Internet kostenfrei ohne lokal ein Testnetz einrichten zu müssen NAP in einem Demoszenario ausprobieren kann.

Unterstützung und Support gibt es durch die NAP-Entwickler in einem eigenen TechNet Forum. Zusätzlich zu diesen öffentlichen Resourcen gibt es für Kunden, die NAP schon jetzt implementieren möchten, die Möglichkeit, in ein kostenfreies "IT Pro Momentum"-Programm von Microsoft aufgenommen zu werden, welches abhängig vom Projektstand eine Reihe von Vorteile wie zentralisierten Zugriff auf technische Dokumente, für ein Jahr ein TechNet Direct Abonnement sowie Support durch Microsoft PSS beinhaltet. Wer Interesse am Testen und Implementieren von NAP im Rahmen von IT Pro Momentum hat, kann sich über die Email-Funktion meines Blogs einfach an mich wenden.

Comments
  • Nehmen wir mal an, dass nicht eine ehrhafte Firma ihre Rechner schützt, sondern z.B. eine Uni irgendwas in ihren Wohnheimnetzen o.ä. durchsetzen will, wie z.B. 90% der Rechenzeit auf Virenscanner zu verwenden...

    Gibt es schon einen OpenSource NAP-Client? Damit man auf seinem Laptop seine eigenen Sicherheitsrichtlinien durchsetzen kann und dem Netzwerkzugriffspunkt vorgaukeln kann, dass alles okay ist?

    Prinzipiell KANN NAP ohne Hardwareunterstützung (TPM und mehr) ja nicht funktionieren! Wenn der Test-Client lokal läuft und über WMI nach Virenscannern sucht,  kann man ihn entweder komplett nachbauen oder einen Fake-Virenscanner einführen!

  • Hallo Christian,

    ein OpenSource NAP-Client ist mir bisher nicht bekannt. Prinzipiell kann aber jeder Interessent mit genügend technischem Verständnis so etwas bauen. NAP’s Statement of Health (SoH) Protokoll ist mittlerweile ein Standard TCG Protokoll (IF-TNCCS-SOH).

    NAP selbst hat nichts mit "TPM und mehr" zu tun. Man braucht keinen TPM, um NAP ausführen zu können.

    VG, Daniel

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment