Zugriffskontrolle für Anwendungsnetzwerk

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über die Zugriffskontrolle für Anwendungsnetzwerk

Die Zugriffskontrolle für Anwendungsnetzwerk (Application Network Access Control, ANAC) ermöglicht die Kontrolle ausgehender Netzwerkverbindungen basierend auf dem Ergebnis der Regelverarbeitung nach IP-Adresse, Hostname, URL, UNC oder Port. Beispiel: Zugriff basierend auf dem Standort des Anforderers – Verbindung erfolgt über VPN oder direkt mit einem Netzwerk.

Die Zugriffskontrolle für Anwendungsnetzwerk ist darauf ausgelegt, den Zugriff innerhalb der Netzwerkinfrastruktur eines Unternehmens zu kontrollieren. Diese Kontrolle wird dadurch erreicht, dass Anwendungsanforderungen, die über die WINSOCK-Schicht erfolgen, abgefangen werden. Beispiel:

Netzwerkverbindungselemente können einzeln oder als Bestandteil einer Gruppe erstellt werden. Gruppen und Elemente können auf jede beliebige Regel innerhalb der zulässigen Elemente angewendet werden, um Zugriff zu gewähren, bzw. auf Regeln innerhalb der verweigerten Elemente, um Zugriff zu verweigern. Application Control fängt Anforderungen ab und blockiert den Netzwerkzugriff, falls Anforderungen zum Verweigern von Netzwerkressourcen eingehen. Die Ausführung von Anwendungen wird nicht kontrolliert.

Der Zugriff auf sämtliche Netzwerkressourcen ist solange erlaubt, bis er aktiv verweigert wird.

Netzwerkverbindungselemente

Netzwerkverbindungselemente können für jede Netzwerkressource erstellt und auf folgende Weise einer Konfiguration hinzugefügt werden:

  • Direkt zu einer Regel – Das Hinzufügen einzelner Netzwerkverbindungselemente zu den Listen der zulässigen bzw. verweigerten Elemente bietet sich dann an, wenn eine detaillierteres Maß an Kontrolle gewünscht wird oder wenn nur einige wenige Elemente erforderlich sind. Diese Methode kann jedoch viel Zeit in Anspruch nehmen.
  • Einer Gruppe zuweisen – Innerhalb einer Gruppe dürfen keine doppelten Netzwerkverbindungselemente vorhanden sein.
  • Kopieren und einfügen – Netzwerkverbindungselemente können regelübergreifend ausgeschnitten, kopiert oder verschoben werden. Es gibt keine standardmäßigen Netzwerkverbindungselemente in einer Konfiguration. Der vollständige Pfad eines Netzwerkverbindungselements darf maximal 400 Zeichen enthalten.

Hinzufügen einer Netzwerkverbindung

Verbindungstyp

Wählen Sie einen der folgenden Typen aus:

  • IP-Adresse – Wählen Sie diese Option aus, um den Zugriff auf eine bestimmte IP-Adresse zu kontrollieren.
  • Netzwerkfreigabe – Wählen Sie diese Option aus, um den Zugriff auf UNC-Pfade zu kontrollieren. Das Präfix "\\" wird zum Feld "Host" hinzugefügt.
  • Hostname – Wählen Sie diese Option aus, um den Zugriff auf einen bestimmten Hostnamen zu kontrollieren.

Verbindungsoptionen

Die Anzahl der Zeichen in den drei Feldern "Host", "Port" und "Pfad" zusammen darf maximal 400 betragen.

Host

Die IP-Adresse oder der Hostname für die Netzwerkverbindung. Dies ist vom ausgewählten Verbindungstyp abhängig. Die Platzhalter "?" und "*" dürfen verwendet werden. Der Bindestrich "-" darf zum Angeben eines Bereichs verwendet werden, jedoch nur, wenn IP-Adresse ausgewählt ist.

Die IP-Adresse muss im IP4-Oktalformat angegeben werden. Beispiel: n.n.n.n

Falls als Verbindungstyp Netzwerkfreigabe ausgewählt wurde, ist das Präfix "\\" erforderlich.

Der vollständige Pfad für die Zielressource kann bei "Host" eingegeben werden.

Beispiel:

Geben Sie "http://server1.company.local:80/resource1/" in das Feld "Host" ein.

Wenn Sie den Fokus aus "Host" herausnehmen, wird der Pfad automatisch in die einzelnen Verbindungsoptionen unterteilt:

  • "http://" wird aus dem Feld "Host" entfernt und "server1.company.local" bleibt vorhanden.
  • : wird entfernt und "80" wird in das Feld "Port" verschoben.
  • "/resource1/" wird in das Feld "Pfad" verschoben.

Auf diese Weise lässt sich der vollständige Pfad mühelos kopieren und einfügen.

Port

Die Portnummer der Netzwerkverbindung. In Verbindung mit der IP-Adresse oder dem Hostnamen lässt sich der Zugriff auf einen bestimmten Port kontrollieren. Bereiche und kommagetrennte Werte sind als Bestandteil der Portnummer zulässig.

Klicken Sie auf Ports, um eine Liste der gängigen Ports anzuzeigen. Wählen Sie die erforderliche Anzahl der Ports aus.

Path

Der Pfad der Netzwerkverbindung. Die Platzhalter "?" und "*" dürfen verwendet werden.

Der Pfad ist nur relevant für die Kontrolle von HTTP und HTTPS.

  • Text enthält Platzhalterzeichen – Wählen Sie diese Option aus, um die Zeichen "?" und "*" als >Platzhalter im Pfad zu verwenden. Falls die Option nicht ausgewählt wird, werden "?" und "*" als URL-Trennzeichen betrachtet.
  • Reguläre Ausdrücke verwenden – Wählen Sie diese Option aus, um reguläre Ausdrücke für den ausgewählten Pfad zu verwenden.
  • Unterverzeichnisse einbeziehen – Wählen Sie diese Option aus, um Unterverzeichnisse in die Regelverarbeitung einzubeziehen.
  • Nur anwendbar, wenn als Verbindungstyp "Netzwerkfreigabe" ausgewählt wurde.

Beschreibung

Geben Sie eine aussagekräftige Beschreibung für die Netzwerkverbindung ein.

Direktes Hinzufügen eines Netzwerkelements zu einer Regel

Netzwerkelemente können zu einem beliebigen Knoten vom Typ "Zulässige Elemente" oder "Verweigerte Elemente" hinzugefügt werden. So wird beispielsweise ein Netzwerkverbindungselement für eine IP-Adresse eingerichtet. Das Netzwerkverbindungselement wird in einer Gruppenregel den verweigerten Elementen zugewiesen. Die Gruppenmitglieder dieser Regel haben keinen Zugriff auf Netzwerkressourcen mit dieser IP-Adresse.

  1. Navigieren Sie zum erforderlichen Knoten, z. B. zu den verweigerten oder zulässigen Elementen für eine bestimmte Benutzergruppe.

  2. Wählen Sie im Menüband "Regelelemente" die Option Element hinzufügen > Verweigert (oder Zulässig) > Netzwerkverbindungselement aus.

    Das Dialogfeld "Netzwerkverbindung hinzufügen" wird angezeigt.

  3. Tragen Sie die Details zum Verbindungstyp ein.
  4. Klicken Sie auf Hinzufügen.

Direktes Bearbeiten einer Netzwerkverbindung in einer Regel

  1. Navigieren Sie zum Knoten "Regel" in der Navigationsstruktur und machen Sie das zu ändernde Netzwerkverbindungselement ausfindig.
  2. Der betreffende Arbeitsbereich wird angezeigt.
  3. Klicken Sie auf das zu ändernde Netzwerkverbindungselement, das unter "Netzwerkverbindungen" aufgeführt ist.
  4. Wählen Sie im Menüband "Regelelemente" die Option Netzwerkverbindung bearbeiten aus.
  5. Das Dialogfeld Netzwerkverbindung bearbeiten wird angezeigt.
  6. Nehmen Sie die erforderlichen Änderungen vor.
  7. Klicken Sie auf OK, um die Änderungen zu speichern und schließen Sie das Dialogfeld.

Zuweisen eines Netzwerkverbindungselements zu einer Gruppe

  1. Navigieren Sie zum Knoten Gruppenverwaltung.
  2. Wählen Sie in der Navigationsstruktur die Gruppe aus, zu der Sie das Netzwerkverbindungselement hinzufügen möchten.

  3. Klicken Sie im Arbeitsbereich mit der rechten Maustaste und wählen Sie Hinzufügen > Netzwerkverbindung aus.

    Das Dialogfeld "Netzwerkverbindung hinzufügen" wird angezeigt.

  4. Geben Sie die Details zur Netzwerkverbindung an und klicken Sie auf Hinzufügen.

Bearbeiten eines Netzwerkverbindungselements in einer Gruppe

  1. Navigieren Sie in der Navigationsstruktur zu der relevanten Gruppe.

    Der Arbeitsbereich "Gruppenverwaltung" wird angezeigt.

  2. Wählen Sie das zu ändernde Netzwerkverbindungselement aus, das unter "Netzwerkverbindungen" aufgeführt ist.

  3. Wählen Sie im Menüband "Gruppen" die Option Element bearbeiten aus.

    Das Dialogfeld "Netzwerkverbindung bearbeiten" wird angezeigt.

  4. Nehmen Sie die erforderlichen Änderungen vor.
  5. Klicken Sie auf OK, um die Änderungen zu speichern und schließen Sie das Dialogfeld.

Zugriffskontrolle für Anwendungsnetzwerk und rekursive DNS-Abfrage

Die Funktion "Zugriffskontrolle für Anwendungsnetzwerk" kann beim Bewerten von Netzwerkverbindungsregeln rekursive DNS-Abfragen durchführen. Die Funktion ist standardmäßig deaktiviert, da durch das zeitintensive Abrufen der Informationen von DNS-Servern die Leistung von Netzwerkanwendungen beeinträchtigt werden kann.

Durch Aktivieren der Funktion wird gewährleistet, dass die Netzwerkregeln effektiver sind, wenn Benutzer oder Anwendungen anhand von IP-Adressen Netzwerkressourcen anfordern, während die Konfiguration auf Hostnamen basiert.

Rekursive DNS-Abfragen können durch Konfigurieren einer Gruppe von Engineering-Schlüsseln aktiviert werden.

Zum Verwenden dieser Funktion muss der Administrator Zonen für rekursive Abfragen auf den DNS-Servern konfigurieren und aktivieren.

Konfigurieren von Einträgen für die rekursive DNS-Abfrage

Wenn Sie die Engineering-Schlüssel zum Konfigurieren rekursiver DNS-Abfrageeinträge verwenden möchten, fügen Sie nur IP-Adressen zum jeweiligen Engineering-Schlüssel hinzu, die sich innerhalb der Infrastruktur des Unternehmens befinden.

Verteilte Dateisysteme

Ein verteiltes Dateisystem oder Netzwerkdateisystem ermöglicht den Zugriff auf Dateien von mehreren Hosts aus, die Dateien über ein Computernetzwerk freigeben. Dadurch können mehrere Benutzer auf mehreren Computern Dateien und Speicherressourcen gemeinsam nutzen. Durch Verwenden von DFS können Systemadministratoren den Benutzern das Zugreifen auf und Verwalten von Dateien erleichtern, die physisch in einem Netzwerk verteilt sind.

Es gibt zwei Möglichkeiten, DFS auf einem Server zu implementieren:

  • Eigenständige DFS-Namespaces
  • Domain-Based DFS Namespaces

Beispiele für domänenbasierte und eigenständige Szenarien finden Sie in den Leitlinien von Microsoft.

Für ANAC-Regeln, die eine Netzwerkfreigabe und Dateien oder Ordner verwenden, die auf Elemente auf einer DFS-Freigabe verweisen, müssen Sie im UNC-Pfad den Zielserver angeben, und nicht den Namespace-Server. Application Control Agent ersetzt den Namespace-Serverpfad durch den Zielserverpfad. Auf diese Weise durchläuft der Namespace-Serverpfad zu keinem Zeitpunkt das Regelmodul.

Verwandte Themen

Optionen für Regeln