DirectAccess, NAP und der aktuelle Patchstand

Nach wie vor eine meiner Lieblingsfunktionen,… DirectAccess. Damit ist man IMMER im Firmennetzwerk, egal wie man online ist. Sehr praktisch als User! Ein Link, der z.B. auf einen internen Share führt kann anwählt werden, ohne dass man vorab mehr oder minder mühsam eine VPN Verbindung aufmacht. Und das gilt natürlich auch umgekehrt, d.h. wenn ein Rechner im Netzwerk ist, dann kann auch die IT darüber verfügen. Zum Beispiel um Updates einzuspielen.

Dieser vereinfachte Permanentzugang ins Firmennetz birgt natürlich auch ein Risiko –  vor allem bei mobilen Clients. Wer weiß schon, was sich diese eingefangen haben, oder wo der Benutzer es geschafft hat, irgendetwas “böses” zu tun. Vielleicht war ja der Rechner auch nur kurz beim chinesischen Zoll. Oder am Ende ist auch das Policy Update bezüglich “Zugriff auf 16-Bit-Anwendungen verhindern” noch nicht eingespielt.

Deswegen gibt es die Network Access Protection (NAP), die man vor allem mit DirectAccess einführt (muss jetzt nicht sein, NAP geht auch ohne DA, aber ist ein guter Anlassfall). Hier wird überprüft, ob der Rechner der sich nun am Firmennetz anmeldet (sei es mit oder ohne DirectAccess) überhaupt den gewünschten Sicherheitsstandards entspricht. Wenn ja, dann willkommen im Netzwerk, wenn nein, dann darf der Rechner vielleicht zum Update Server (wäre clever) und ins Internet (was der Rechner nach außen mag ja egal sein), aber er darf nicht auf interne Ressourcen zugreifen.

Völlig fiktives Beispiel: Wenn also beispielsweise ein Benutzer sich z.B. des nötigen Reboots nach dem Update verweigert, z.B. weil das Update sekundengenau mit einem Start eines Trainings gekommen ist und der Benutzer – weil Trainer – es deshalb nicht einspielen will:

image_331

Dann ist das ok, man kann ja den Reboot verzögern (mit 2x 4h nicht ärgern kommt man auch über das training) Aber ein solch unsicherer Client kommt dann eben nicht ins Firmennetzwerk:

image_332

image_333

Tja, Pech gehabt, der Netzwerkzugriffsschutz verlangt eben, dass ich aktuell bin – in diesem Fall einfach, ich muss wirklich nur rebooten, da ein Hotfix einzuspielen ist.

image_334

Erst wenn alle Updates eingespielt sind, darf der Rechner wieder ins Netzwerk.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s