Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

DirectAccess, NAP und der aktuelle Patchstand

von Georg Binder 20. January 2010 20:10

Nach wie vor eine meiner Lieblingsfunktionen,… DirectAccess. Damit ist man IMMER im Firmennetzwerk, egal wie man online ist. Sehr praktisch als User! Ein Link, der z.B. auf einen internen Share führt kann anwählt werden, ohne dass man vorab mehr oder minder mühsam eine VPN Verbindung aufmacht. Und das gilt natürlich auch umgekehrt, d.h. wenn ein Rechner im Netzwerk ist, dann kann auch die IT darüber verfügen. Zum Beispiel um Updates einzuspielen.

Dieser vereinfachte Permanentzugang ins Firmennetz birgt natürlich auch ein Risiko -  vor allem bei mobilen Clients. Wer weiß schon, was sich diese eingefangen haben, oder wo der Benutzer es geschafft hat, irgendetwas “böses” zu tun. Vielleicht war ja der Rechner auch nur kurz beim chinesischen Zoll. Oder am Ende ist auch das Policy Update bezüglich "Zugriff auf 16-Bit-Anwendungen verhindern" noch nicht eingespielt.

Deswegen gibt es die Network Access Protection (NAP), die man vor allem mit DirectAccess einführt (muss jetzt nicht sein, NAP geht auch ohne DA, aber ist ein guter Anlassfall). Hier wird überprüft, ob der Rechner der sich nun am Firmennetz anmeldet (sei es mit oder ohne DirectAccess) überhaupt den gewünschten Sicherheitsstandards entspricht. Wenn ja, dann willkommen im Netzwerk, wenn nein, dann darf der Rechner vielleicht zum Update Server (wäre clever) und ins Internet (was der Rechner nach außen mag ja egal sein), aber er darf nicht auf interne Ressourcen zugreifen.

Völlig fiktives Beispiel: Wenn also beispielsweise ein Benutzer sich z.B. des nötigen Reboots nach dem Update verweigert, z.B. weil das Update sekundengenau mit einem Start eines Trainings gekommen ist und der Benutzer - weil Trainer - es deshalb nicht einspielen will:

image

Dann ist das ok, man kann ja den Reboot verzögern (mit 2x 4h nicht ärgern kommt man auch über das training) Aber ein solch unsicherer Client kommt dann eben nicht ins Firmennetzwerk:

image

image

Tja, Pech gehabt, der Netzwerkzugriffsschutz verlangt eben, dass ich aktuell bin - in diesem Fall einfach, ich muss wirklich nur rebooten, da ein Hotfix einzuspielen ist.

image

Erst wenn alle Updates eingespielt sind, darf der Rechner wieder ins Netzwerk.

 

Comments (8) -

>

1/20/2010 9:08:14 PM#

Hi,

kannst du mir vielleicht sagen, wie das Tool heißt, dass unten in der Taskleiste das Batterie-Symbol anzeigt? Ich hatte sowas mal für Windows XP, aber das ist ja nun auch schon ein paar Tage her ...

Dank dir -)
Gruß,
Daniel

DanielGermany | Reply

>
>

1/20/2010 9:19:14 PM#

Typisch. Da schreibt man über so coole Dinge wie DA & NAP, dann kommt die Frage nach dem bunten Icon. Frechheit Smile

Das Ding ist der Lenovo Energie Manager, d.h. ich fürchte nur für Lenovo Laptops,...

Gibt aber einige Tools, die auch so was in der Richtung können, z.B.
www.intowindows.com/.../

Georg BinderÖsterreich | Reply

>
>
>

1/20/2010 10:39:16 PM#

danke für den tipp georg! habs gleich mal runtergeladen - jetzt wird getestet.

die 10dollar hab ich auch gleich für die pro version investiert Laughing

MarijanÖsterreich | Reply

>
>
>
>

1/21/2010 12:05:57 AM#

BatteryBar Pro habe ich mir vor ein paar Tagen auch installiert.
Aber bei so einem banalen Tool habe ich schon vom 1$ pro Jahr Angebot gebrauch gemacht...

Zum eigentlichen Thema, ich glaube NAP wird so einige Admins ziemlich unbeliebt machen, welcher Nutzer wird schon gerne ausgesperrt, vorallem wenn er genau jetzt diese eine wichtige Datei vom internen Share braucht. ;)

BobGermany | Reply

>

1/21/2010 4:38:43 PM#

Hallo,

sofern man mitteln DirectAcces mit der "Firma" verbunden ist, kann man auch ganz nornmal auf die Drucker zugreifen? Sollte wohl gehen oder? Smile

Gruß
Alex

AlexanderGermany | Reply

>

1/21/2010 5:12:56 PM#

Ist DirectAccess nicht eine "vereinfachte" Implementierung eines VPN. Es bassiert doch auf genau den gleichen Grundstrukturen. Warum wird dann VPN immer als Alternative für VPN dargestellt ?

hoschiGermany | Reply

>

1/22/2010 1:29:04 PM#

Die erste Antwort eines "Administrators", pah das kann ja garnicht sicher sein, ich bleibe bei meinem VPN / Router...

Was haltet ihr von der Aussage?

Gruß
Alex

AlexanderGermany | Reply

>

1/24/2010 3:58:42 PM#

Und gibt es für NAP auch einen Client für Macs - wir haben solche auch im Netz Smile

MarkusÖsterreich | Reply

Pingbacks and trackbacks (1)+

>

1/23/2010 12:01:01 PM#

Pingback from marijan-kelava.com

[software] batterybar

marijan-kelava.com | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies