Tipp 7: Erweiterter Netzwerkschutz im Windows-Server 2008
Mit Windows Server 2008 wurde erstmalig ein Netzwerkzugriffsschutz direkt in den Basisumfang eines Windows-Betriebssystems integriert. Dieser Netzwerkzugriffsschutz, im Original als "Network Access Protection" (NAP) bezeichnet, bietet Administratoren eine Möglichkeit, die Sicherheit im Unternehmensnetzwerk erheblich zu verbessern.
Es handelt sich hierbei nicht um einen Schutzmechanismus wie etwa eine "Firewall", bei der Zugriffe von oder auf Netzwerkadapter überwacht werden. NAP geht über die üblichen Sicherheitsfunktionen hinaus: Ein Computer, der sich mit dem Unternehmensnetzwerk verbinden möchte, wird zunächst dahingehend überprüft, ob alle benötigten Einstellungen vorhanden sind, ehe der Netzwerkkontakt überhaupt erlaubt wird. Fehlt beispielsweise ein entscheidender Sicherheits-Patch auf einem Computer, so wäre diese Maschine eine potentielle Gefahr für andere Computer im Netzwerk - sie erhält dann keinen Zugang zum derart geschützten Firmennetzwerk!
Andere Sicherheitsfunktionen der Betriebssysteme waren im Vergleich zu NAP eher passiver Natur. WSUS verteilt zwar Patches im lokalen Netzwerk, doch gab es bisher keine Möglichkeit für Administratoren, die Existenz eines Patches als Voraussetzung für einen Netzwerkzugriff zu definieren. Dieser Missstand ist mit NAP für alle aktuellen Windowsversionen behoben worden.
Vor der Einführung von NAP durch Microsoft war eine vergleichbare Funktionalität in Windows-Netzwerken nur durch Zuhilfenahme von Programmen von Drittherstellern, wie beispielsweise Cisco, möglich. Die verbreitete Bezeichnung für diese Technologie nennt sich, abweichend von der Produktbezeichnung von Microsoft, "Network Admission Control" (NAC).
Sinn und Zweck von NAP ist es, die Sicherheitsrichtlinien im Netzwerk zu erzwingen und nicht Computer plump vom Netz auszuschließen. Fehlt beispielsweise ein Patch auf einem Rechner, so soll diesem die Möglichkeit gegeben werden diesen nachträglich zu installieren. Während dies geschieht, kann dann je nach Konfiguration ein eingeschränkter Netzwerkzugriff zulässig sein.