Device Posture Assessment für Network Access Control

Dieser technische Leitfaden erklärt, wie die Device Posture Assessment für Network Access Control (NAC) funktioniert, und beschreibt die Architektur, die MDM-Integration sowie die Remediation-Flows, die für die Implementierung von Zero Trust WiFi in Unternehmens- und Veranstaltungsbereichen erforderlich sind.

📖 8 Min. Lesezeit📝 1,920 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Device Posture Assessment für Network Access Control. Ein technisches Briefing von Purple.

Willkommen. Ich bin Ihr Moderator für das heutige Briefing. Wenn Sie uns zuhören, sind Sie wahrscheinlich IT-Sicherheitsarchitekt, Netzwerktechniker oder ein CTO, der beauftragt wurde, die Netzwerkzugriffskontrolle im gesamten Unternehmen zu verschärfen. Vielleicht betreiben Sie ein Hotelportfolio, eine Einzelhandelskette, ein Konferenzzentrum oder eine Einrichtung des öffentlichen Sektors – und Sie haben den Punkt erreicht, an dem die bloße Überprüfung, wer sich mit Ihrem Netzwerk verbindet, nicht mehr ausreicht. Sie müssen wissen, was sich verbindet und ob dieses Gerät in einem vertrauenswürdigen Zustand ist.

Genau darum geht es heute. Device Posture Assessment für Network Access Control – was es ist, wie es auf technischer Ebene funktioniert, wie Sie es in Ihre bestehende RADIUS-Infrastruktur und MDM-Plattformen integrieren und, was besonders wichtig ist, was Sie mit Geräten tun, die die Überprüfung nicht bestehen. Lassen Sie uns direkt einsteigen.

Abschnitt eins. Kontext und warum Posture Assessment jetzt wichtig ist.

In den letzten zehn Jahren basierten die meisten Enterprise-WiFi-Bereitstellungen auf identitätsbasierter Zugriffskontrolle. Sie authentifizieren den Benutzer – über 802.1X, ein Captive Portal oder einen Pre-Shared Key – und wenn die Anmeldedaten stimmen, gewähren Sie Zugriff. Das Problem ist, dass die reine Identitätsprüfung nichts über den Sicherheitszustand des Geräts selbst aussagt. Ein gültiger Benutzername und ein Passwort können auf einem Laptop eingegeben werden, auf dem ein drei Jahre altes, ungepatchtes Betriebssystem ohne Virenschutz läuft, das mit Ihrem Unternehmens-VLAN verbunden ist. Dieses Gerät ist in dem Moment, in dem es Ihr Netzwerk berührt, ein Sicherheitsrisiko.

Der Übergang zur Zero-Trust-Architektur hat diese Kalkulation grundlegend verändert. Zero Trust basiert auf dem Prinzip „Niemals vertrauen, immer überprüfen“ – und diese Überprüfung muss über die Identität hinausgehen und den Gerätezustand einbeziehen. Hier kommt das Device Posture Assessment ins Spiel. Das Posture Assessment fragt den Endpunkt zum Zeitpunkt der Authentifizierung ab, prüft eine Reihe definierter Zustandskriterien und lässt dieses Ergebnis in die Entscheidung über die Zugriffskontrolle einfließen. Das Ergebnis ist ein posture-basierter Netzwerkzugriff – ein Modell, bei dem das, was Sie im Netzwerk tun können, nicht nur davon abhängt, wer Sie sind, sondern auch vom Sicherheitszustand des von Ihnen verwendeten Geräts.

Aus Compliance-Sicht ist dies von enormer Bedeutung. PCI DSS Version 4.0 fordert explizit, dass Unternehmen kontrollieren, welche Geräte auf Karteninhaber-Datenumgebungen zugreifen dürfen. Das Rechenschaftsprinzip der GDPR verlangt von Unternehmen, geeignete technische Maßnahmen zum Schutz personenbezogener Daten zu implementieren – und die Zulassung ungepatchter, nicht verwalteter Geräte in Netzwerken, die personenbezogene Daten übertragen, ist bei einem Audit immer schwerer zu rechtfertigen. Für das Gesundheitswesen gilt unter den Anforderungen von NHS Cyber Essentials und im US-Kontext von HIPAA dieselbe Logik.

Abschnitt zwei. Technischer Deep-Dive – wie Posture Assessment tatsächlich funktioniert.

Lassen Sie mich Ihnen die Funktionsweise erläutern. Im Kern ist die Bewertung des Gerätestatus (Device Posture Assessment) ein Prozess, der während oder unmittelbar nach dem Authentifizierungs-Handshake abläuft, bevor der vollständige Netzwerkzugriff gewährt wird. Es gibt drei primäre Architekturmodelle, auf die Sie stoßen werden.

Das erste ist die agentenbasierte Statusbewertung. Ein schlanker Software-Agent – der auf dem Endpunkt installiert ist, oft als Teil Ihrer MDM- oder Endpoint-Detection-and-Response-Plattform – sammelt Integritätstelemetrie und übermittelt diese an die NAC-Richtlinien-Engine. Dies ist der umfassendste Ansatz. Der Agent kann die OS-Version, den kumulativen Patch-Level, die Aktualität der Antiviren-Signaturen, den Firewall-Status, den Festplattenverschlüsselungsstatus, das Ausführen bestimmter verbotener Anwendungen und die Registrierung des Geräts in Ihrem MDM überprüfen. Der Agent kommuniziert diese Daten an den RADIUS-Server oder eine dedizierte Richtlinien-Engine über ein Protokoll wie RADIUS CoA – Change of Authorisation – oder über eine herstellerspezifische API-Integration.

Das zweite Modell ist die agentenlose Statusbewertung. Hier versucht das NAC-System, den Gerätestatus ohne einen lokalen Agenten zu ermitteln, typischerweise durch direkte Abfrage Ihrer MDM-Plattform. Wenn sich ein Gerät verbindet und authentifiziert, ruft die Richtlinien-Engine Microsoft Intune, Jamf oder VMware Workspace ONE via API auf, ruft den Compliance-Datensatz des Geräts ab und nutzt diesen als Statussignal. Dies funktioniert gut für verwaltete Unternehmensgeräte, die bereits im MDM registriert sind. Die Einschränkung ist offensichtlich – unverwaltete oder BYOD-Geräte haben keinen MDM-Datensatz, sodass Sie für diese eine Fallback-Richtlinie benötigen.

Das dritte Modell ist die netzwerkbasierte Bewertung. Das NAC-System scannt das verbindende Gerät mithilfe von Techniken wie SNMP-Abfragen, WMI-Aufrufen über das Netzwerk oder passivem Fingerprinting von Datenverkehrsmustern. Dies ist die unzuverlässigste Methode und wird im Allgemeinen nur als ergänzende Prüfung oder für Legacy-Umgebungen verwendet, in denen eine Agenten-Bereitstellung nicht machbar ist.

Lassen Sie uns nun speziell über die Integration mit RADIUS und 802.1X sprechen, da die Architektur hier besonders interessant wird.

In einer Standard-802.1X-Bereitstellung präsentiert der Supplicant – also das Gerät – die Anmeldedaten dem Authentifikator, d. h. Ihrem Wireless Access Point oder Switch, der die Authentifizierungsanfrage an den RADIUS-Server weiterleitet. Der RADIUS-Server validiert die Anmeldedaten und gibt ein Access-Accept oder Access-Reject zurück. In einer statusbewussten Bereitstellung erweitern Sie diesen Ablauf. Nach erfolgreicher Erstauthentifizierung löst der RADIUS-Server – oder eine co-lokalisierte Richtlinien-Engine wie Cisco ISE, Aruba ClearPass oder Forescout – eine Statusbewertung aus. Das Gerät wird zunächst in ein eingeschränktes VLAN – manchmal auch als Status-VLAN oder Quarantäne-VLAN bezeichnet – verschoben, während die Bewertung läuft. Wenn das Gerät alle Statusprüfungen besteht, wird eine RADIUS Change of Authorisation-Nachricht an den Access Point gesendet, die das Gerät in das entsprechende Produktiv-VLAN verschiebt. Schlägt die Prüfung fehl, verbleibt es im eingeschränkten VLAN und wird zu einem Behebungsportal weitergeleitet.

Die EAP-Methode ist hier entscheidend. EAP-TLS, das eine gegenseitige Zertifikatsauthentifizierung nutzt, ist der Goldstandard für den Zugriff von Unternehmensgeräten, da es dem RADIUS-Server ermöglicht, nicht nur den Benutzer, sondern auch das Gerätezertifikat zu validieren – was bestätigt, dass es sich um einen bekannten, verwalteten Endpunkt handelt. EAP-PEAP oder EAP-TTLS mit MSCHAPv2 sind für die benutzerdatenbasierte Authentifizierung üblich, bieten jedoch für sich genommen eine geringere Sicherheit auf Geräteebene. Für eine wirklich robuste Zustandsbewertung (Posture Assessment) empfiehlt sich EAP-TLS in Kombination mit einer MDM-Compliance-Prüfung – diese Kombination bietet Ihnen sowohl eine kryptografische Geräteidentität als auch ein Echtzeit-Integritätssignal.

Welche spezifischen Attribute werden bei einer Zustandsprüfung typischerweise bewertet? Die Kern-Checkliste für die meisten Unternehmensbereitstellungen umfasst: Betriebssystemversion und Build-Nummer – läuft auf dem Gerät eine unterstützte OS-Version? Patch-Level – wurden kritische und hochgradig schwerwiegende Patches innerhalb eines definierten Fensters, in der Regel 30 Tage, eingespielt? Status von Antiviren- oder Endpoint-Detection-and-Response-Software – ist ein anerkanntes Sicherheitsprodukt installiert, aktiv und verwendet aktuelle Signaturen? Hostbasierte Firewall – ist sie aktiviert? Festplattenverschlüsselung – ist BitLocker oder FileVault aktiv? MDM-Registrierung – ist das Gerät auf Ihrer Verwaltungsplattform registriert? Und zunehmend fügen Unternehmen Prüfungen auf verbotene Software – ist eine als anfällig bekannte Anwendung vorhanden? – sowie auf die Gültigkeit von Zertifikaten hinzu.

Abschnitt drei. Implementierungsempfehlungen und häufige Fallstricke.

Lassen Sie mich Ihnen die praktischen Ratschläge geben, die sich aus der Bereitstellung dieser Systeme in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor ergeben.

Erstens: Beginnen Sie mit Sichtbarkeit vor der Durchsetzung. Bevor Sie Zustandsprüfungen in den Blockierungsmodus versetzen, sollten Sie diese mindestens vier Wochen lang im reinen Überwachungsmodus ausführen. Dies liefert Ihnen eine Baseline darüber, wie Ihr tatsächlicher Gerätebestand aussieht – wie viel Prozent der Geräte nicht konform sind, welche Zustandsattribute am häufigsten fehlschlagen und ob Ihre Richtlinienschwellenwerte korrekt kalibriert sind. Die direkte Durchsetzung ohne diese Baseline ist der am häufigsten begangene Fehler und führt am ersten Tag zu einer Flut von Helpdesk-Tickets und frustrierten Benutzern.

Zweitens: Planen Sie Ihre VLAN-Segmentierung, bevor Sie Zustandsrichtlinien konfigurieren. Sie benötigen mindestens drei Netzwerksegmente: ein Unternehmens-VLAN mit vollem Zugriff für konforme, verwaltete Geräte, ein Sanierungs-VLAN mit Internetzugang und Zugriff auf Ihre Patch-Management- und MDM-Infrastruktur, aber sonst nichts, sowie ein Gäste-VLAN für nicht verwaltete persönliche Geräte. Einige Unternehmen fügen ein viertes hinzu – ein eingeschränktes Unternehmens-VLAN für verwaltete Geräte, die die Zustandsprüfung nicht bestehen, aber während der Sanierung begrenzten Zugriff auf bestimmte Ressourcen benötigen. Ordnen Sie diese VLANs Ihren Zustandsergebnissen zu, bevor Sie eine einzige Richtlinienregel schreiben.

Drittens: Gehen Sie das Problem mit BYOD und Gastgeräten explizit an. Insbesondere in der Hotellerie und Gastronomie – und das gilt gleichermaßen für Hotels, Konferenzzentren und Pausenbereiche für Einzelhandelsmitarbeiter – gibt es eine erhebliche Anzahl persönlicher Geräte, die niemals im MDM registriert werden. Ihre Posture-Richtlinie muss einen definierten Pfad für diese Geräte vorsehen. Der typische Ansatz besteht darin, nicht registrierte Geräte automatisch in ein Gäste-VLAN mit entsprechenden Bandbreitenkontrollen und Inhaltsfiltern umzuleiten, anstatt sie direkt zu blockieren. Das Blockieren persönlicher Geräte in einer Hotel- oder Konferenzumgebung führt zu einem sofortigen betrieblichen Problem, das Ihr Empfangsteam noch vor Ihrem Sicherheitsteam zu spüren bekommt.

Viertens: Setzen Sie realistische Fristen für die Fehlerbehebung (Remediation Timeouts). Wenn ein Gerät die Posture-Prüfung nicht besteht und in das Remediation-VLAN verschoben wird, müssen Sie definieren, wie viel Zeit es für die Selbstbehebung hat, bevor es in die Quarantäne verschoben oder blockiert wird. Bei patchbezogenen Fehlern ist ein Zeitfenster von 24 bis 48 Stunden für ein verwaltetes Unternehmensgerät angemessen – lang genug, damit das Gerät Updates herunterladen kann, und kurz genug, um den Druck aufrechtzuerhalten. Bei Antiviren-Fehlern sollte das Zeitfenster kürzer sein – vier bis acht Stunden –, da ein Gerät ohne aktiven Endpunktschutz ein unmittelbareres Risiko darstellt.

Fünftens: Testen Sie Ihren Change of Authorisation (CoA)-Fluss gründlich. CoA ist der Mechanismus, der ein Gerät vom Remediation-VLAN in das Produktions-VLAN verschiebt, nachdem es die Posture-Prüfung bestanden hat. Es ist auch der Mechanismus, der ein Gerät zurück in die Quarantäne verschieben kann, wenn eine regelmäßige Überprüfung fehlschlägt. CoA-Fehler – bei denen der RADIUS-Server die CoA-Nachricht sendet, der Access Point jedoch nicht darauf reagiert – sind eine häufige Ursache für Benutzerbeschwerden. Testen Sie dies vor der Bereitstellung in der Produktion durchgängig in Ihrer Laborumgebung und überwachen Sie die CoA-Erfolgsraten nach der Bereitstellung in Ihren RADIUS-Protokollen.

Nun noch ein Wort zu den Fallstricken, die speziell in Umgebungen mit großen Veranstaltungsorten auftreten. In einem Stadion oder Konferenzzentrum mit Tausenden von gleichzeitigen Verbindungen führt die Posture-Bewertung zu Latenzzeiten im Authentifizierungsfluss. Agentenbasierte Prüfungen, bei denen der Agent Telemetriedaten erfassen und zurückmelden muss, können die Verbindungszeit um zwei bis fünf Sekunden verlängern. Bei großen Datenmengen ist dies spürbar. Optimieren Sie dies, indem Sie Posture-Ergebnisse im Voraus zwischenspeichern – die meisten Richtlinien-Engines ermöglichen es Ihnen, das Posture-Ergebnis eines Geräts für einen bestimmten Zeitraum, in der Regel ein bis vier Stunden, zwischenzuspeichern, sodass eine erneute Authentifizierung nicht jedes Mal eine vollständige Neubewertung auslöst. Dies ist eine entscheidende Leistungsoptimierung für Umgebungen mit hoher Dichte.

Abschnitt vier. Schnelle Fragerunde.

Frage: Kann ich eine Posture-Bewertung durchführen, ohne Agenten auf jedem Gerät bereitzustellen? Ja, über die MDM-API-Integration für registrierte Geräte und netzwerkbasiertes Fingerprinting für andere, aber Ihre Abdeckung und Genauigkeit sind dann geringer als bei der Verwendung von Agenten. Für eine gemischte Umgebung ist ein hybrider Ansatz – Agenten auf Unternehmensgeräten, MDM-API für registrierte BYOD-Geräte, Netzwerk-Fingerprinting als Fallback – die pragmatische Antwort.

Frage: Funktioniert die Zustandsbewertung (Posture Assessment) mit WPA3? Ja. WPA3 Enterprise nutzt dasselbe 802.1X-Authentifizierungs-Framework wie WPA2 Enterprise, sodass sich die Zustandsbewertung auf dieselbe Weise integrieren lässt. Die stärkeren PMF (Protected Management Frames) und die SAE-Authentifizierung von WPA3 ergänzen die Zustandsprüfung tatsächlich, indem sie die Authentifizierungsebene härten, auf der die Zustandsbewertung aufbaut.

Frage: Was ist der Unterschied zwischen Zustandsbewertung und NAC? NAC — Network Access Control — ist das übergeordnete Framework zur Steuerung, welche Geräte auf welche Netzwerkressourcen zugreifen dürfen. Die Zustandsbewertung ist ein Input für die NAC-Entscheidung, speziell das Signal zum Gerätestatus. Sie können NAC ohne Zustandsbewertung nutzen — zum Beispiel eine reine identitätsbasierte Zugriffskontrolle —, aber Sie können keine zustandsbasierte Zugriffskontrolle ohne ein NAC-Framework zur Durchsetzung der Ergebnisse haben.

Frage: Wie lässt sich dies in eine Plattform wie Purple integrieren? Die Plattform von Purple verwaltet Geräteidentitäten und Zugriffsrichtlinien auf der WiFi-Ebene. Die Zustandsbewertung ist die nächste Steuerungsebene — sie bereichert die Zugriffsentscheidung mit Daten zum Gerätestatus. Für sicherheitsbewusste Betreiber ermöglicht die Integration von Zustandssignalen aus Ihrem MDM in die Richtlinien-Engine von Purple die Durchsetzung eines differenzierten Zugriffs basierend auf Identität und Geräte-Compliance-Status.

Abschnitt fünf. Zusammenfassung und nächste Schritte.

Zusammenfassung der wichtigsten Punkte des heutigen Briefings.

Die Zustandsbewertung von Geräten (Device Posture Assessment) ist die Praxis, den Zustand von Endpunkten — OS-Version, Patch-Level, Antiviren-Status, MDM-Registrierung — zum Zeitpunkt der Authentifizierung zu bewerten und dieses Statussignal zur Bestimmung der Netzwerkzugriffsrechte zu nutzen.

Die Architektur kombiniert 802.1X-Authentifizierung, eine RADIUS-Richtlinien-Engine, MDM-API-Integration und VLAN-Segmentierung, um ein zustandsbasiertes Zugriffskontrollsystem zu erstellen.

Die drei Zustandsergebnisse — Vollzugriff, Behebungs-VLAN und Quarantäne — müssen vor der Aktivierung der Durchsetzung entworfen und getestet werden.

Beginnen Sie mit dem Überwachungsmodus, erstellen Sie Ihre Baseline und gehen Sie dann zur Durchsetzung über. Dies ist nicht optional, wenn Sie eine reibungslose Einführung wünschen.

Für Standortbetreiber erfordert die BYOD- und Gastgeräte-Population eine explizite Richtlinienbehandlung — die Weiterleitung in ein Gäste-VLAN anstelle einer Blockierung ist der betrieblich sinnvolle Standard.

Ihre unmittelbaren nächsten Schritte: Überprüfen Sie Ihre aktuelle VLAN-Architektur und bestätigen Sie, dass Sie über die für das zustandsbasierte Routing erforderlichen Segmente verfügen. Evaluieren Sie die API-Funktionen Ihrer MDM-Plattform für den Export von Zustandsdaten. Überprüfen Sie die Zustandsrichtlinien-Funktionen Ihres RADIUS-Servers oder Ihrer NAC-Plattform. Und wenn Sie ganz von vorn beginnen, ziehen Sie einen phasenweisen Ansatz in Betracht — stellen Sie zuerst 802.1X bereit, fügen Sie die Zustandsprüfung im Überwachungsmodus hinzu und gehen Sie dann über einen Zeitraum von 90 Tagen zur Durchsetzung über.

Vielen Dank fürs Zuhören. Weitere Informationen zur 802.1X-Authentifizierungsarchitektur und zur Zero Trust WiFi-Bereitstellung finden Sie in der Purple-Leitfaden-Bibliothek. Wenn Sie eine zustandsbasierte Zugriffskontrolle für Ihr Standortnetzwerk evaluieren, kann das Purple-Team Sie durch eine Bereitstellungsbewertung führen. Bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓Die Posture-Bewertung von Geräten bewertet den Zustand von Endpunkten (Betriebssystem, Patches, AV), bevor der Netzwerkzugriff gewährt wird, und geht damit über die einfache Identitätsprüfung hinaus.
✓Sie ist ein grundlegendes Element der Zero-Trust-Architektur und verhindert, dass sich anfällige Geräte lateral im Netzwerk bewegen.
✓Zu den Architekturen gehören agentenbasierte (tiefste Transparenz), agentenlose über MDM-Integration (am besten für Unternehmensflotten) und netzwerkbasierte Profilierung.
✓Der Prozess stützt sich in hohem Maße auf RADIUS Change of Authorization (CoA), um Geräte dynamisch zwischen Posture-, Remediation- und Produktions-VLANs zu verschieben.
✓Stellen Sie Posture-Richtlinien immer für einige Wochen im reinen Monitor-Modus bereit, um eine Baseline zu erstellen, bevor Sie blockierende Regeln durchsetzen.
✓Robuste Behebungs-Workflows (Remediation) sind unerlässlich, damit Benutzer Compliance-Probleme selbst beheben können, ohne den IT-Helpdesk zu überlasten.
✓Nutzen Sie für BYOD- und hochverdichtete Umgebungen Posture-Caching und explizites Routing in Guest-VLANs, um Reibungsverluste für Benutzer und Latenzzeiten zu minimieren.

Executive Summary

Da sich die Grenzen des Unternehmensnetzwerks zunehmend auflösen, reicht die traditionelle identitätsbasierte Authentifizierung nicht mehr aus. Die Validierung, dass ein Benutzer derjenige ist, der er zu sein vorgibt, über 802.1X oder ein Captive Portal, beseitigt nicht das Risiko, das von dem verwendeten Gerät ausgeht. Die Bewertung des Gerätezustands (Device Posture Assessment) ist die entscheidende nächste Verteidigungslinie in einer Zero-Trust-Architektur. Dabei wird der Integritäts- und Compliance-Status eines Endpunkts überprüft, bevor der Netzwerkzugriff gewährt wird.

Für IT-Manager und Netzwerkarchitekten, die komplexe Umgebungen wie Hotels, Einzelhandelsketten, Stadien und Einrichtungen des öffentlichen Sektors verwalten, stellt der zustandsbasierte Netzwerkzugriff sicher, dass sich ungepatchte, nicht verwaltete oder kompromittierte Geräte nicht lateral in Unternehmens-VLANs bewegen können. Dieser Leitfaden bietet ein praktisches, herstellerneutrales Konzept für die Implementierung von Device Posture Assessment zur Netzwerkzugriffskontrolle. Er deckt die Architekturmodelle, die Integrationspunkte mit RADIUS- und Mobile-Device-Management-Plattformen (MDM) sowie die kritischen Behebungs-Workflows ab, die erforderlich sind, um nicht-konforme Geräte zu handhaben, ohne den IT-Helpdesk zu überlasten. Am Ende dieses Leitfadens verfügen Sie über ein klares Framework für die Bereitstellung von Endpunkt-Compliance-Prüfungen über WiFi, mit dem Sie Ihre Angriffsfläche reduzieren und die kontinuierliche Compliance mit Frameworks wie PCI DSS und GDPR aufrechterhalten.

Technischer Deep-Dive: Die Architektur des Posture Assessment

Das Device Posture Assessment verändert den traditionellen Ablauf der Netzwerkauthentifizierung grundlegend. Anstelle einer binären Erlauben/Ablehnen-Entscheidung auf der Grundlage von Anmeldedaten führt das Network Access Control (NAC)-System einen bedingten Zustand ein, bei dem der Zugriff davon abhängt, ob das Gerät bestimmte Integritätskriterien erfüllt.

Die drei Architekturmodelle

Die Implementierung des Device Posture Assessment erfordert die Auswahl eines Architekturmodells, das auf Ihre Endpunkt-Management-Strategie abgestimmt ist. Es gibt drei primäre Ansätze:

Agentenbasiertes Posture Assessment: Dies ist die umfassendste Methode. Ein schlanker Software-Agent, der auf dem Endpunkt installiert ist, sammelt detaillierte Telemetriedaten – wie OS-Version, Patch-Level, Antiviren-Status und laufende Prozesse – und übermittelt diese Daten an die NAC-Richtlinien-Engine. Die Kommunikation erfolgt in der Regel über ein sicheres Protokoll oder eine API unmittelbar nach der ersten 802.1X-Authentifizierung. Während die agentenbasierte Bewertung die präzisesten Daten liefert, erfordert sie die administrative Kontrolle über den Endpunkt, um den Agenten bereitzustellen. Daher ist sie für nicht verwaltete oder BYOD-Umgebungen ungeeignet.
Agentenlose (MDM-integrierte) Posture-Bewertung: In diesem Modell leitet das NAC-System den Gerätestatus ab, indem es eine Mobile Device Management (MDM)- oder Unified Endpoint Management (UEM)-Plattform über eine API abfragt. Wenn sich ein Gerät authentifiziert, ruft der RADIUS-Server Plattformen wie Microsoft Intune oder Jamf auf, um den Compliance-Datensatz des Geräts abzurufen. Dieser Ansatz ist für verwaltete Unternehmensgeräte äußerst effektiv und macht einen dedizierten NAC-Agenten überflüssig. Er beruht jedoch darauf, dass die MDM-Plattform über aktuelle Informationen verfügt; war das Gerät offline, kann der Compliance-Status veraltet sein.
Netzwerkbasierte Bewertung: Dieser passive Ansatz beinhaltet, dass das NAC-System das verbindende Gerät mithilfe von Techniken wie SNMP-Abfragen, WMI-Aufrufen oder Traffic-Fingerprinting scannt. Es ist kein Agent oder eine MDM-Registrierung erforderlich, was es für die Profilerstellung von IoT-Geräten oder Legacy-Systemen nützlich macht. Die Tiefe der Erkenntnisse ist jedoch im Vergleich zu den anderen Modellen erheblich eingeschränkt, und es kann Patch-Stände oder die Aktualität von Antiviren-Signaturen nicht zuverlässig bestimmen.

Der RADIUS- und 802.1X-Integrationsfluss

Die Integration der Posture-Bewertung mit der 802.1X-Authentifizierung ist der Punkt, an dem die Architektur betriebsbereit wird. Der Prozess stützt sich stark auf das RADIUS-Protokoll und insbesondere auf den in RFC 5176 definierten Change of Authorization (CoA)-Mechanismus.

Wenn ein Supplicant (das Gerät) eine 802.1X-Verbindung initiiert, präsentiert er dem Authentifikator (dem Wireless Access Point oder Switch) die Anmeldedaten. Der Authentifikator leitet diese an den RADIUS-Server weiter. Nach erfolgreicher Identitätsprüfung gibt der RADIUS-Server eine Access-Accept-Nachricht zurück. In einer Posture-bewussten Umgebung versetzt diese anfängliche Akzeptanz das Gerät jedoch in einen eingeschränkten Zustand – oft in ein dediziertes Quarantäne- oder Posture-VLAN.

Während sich das Gerät in diesem eingeschränkten VLAN befindet, findet die Posture-Bewertung statt. Die Policy Engine bewertet das Gerät anhand des konfigurierten Regelsatzes. Wenn das Gerät die Prüfung besteht, sendet die Policy Engine eine RADIUS-CoA-Nachricht an den Authentifikator und weist ihn an, das Gerät aus dem Posture-VLAN in das entsprechende Produktions-VLAN zu verschieben. Schlägt die Prüfung fehl, verbleibt das Gerät im eingeschränkten VLAN oder wird in ein Remediation-VLAN verschoben, wo es auf erforderliche Update-Server zugreifen kann.

Für optimale Sicherheit sollte dieser Ablauf EAP-TLS nutzen. EAP-TLS bietet eine gegenseitige zertifikatsbasierte Authentifizierung, die es dem RADIUS-Server ermöglicht, die Geräteidentität kryptografisch zu überprüfen, noch bevor die Posture-Prüfung beginnt. Dies stellt sicher, dass die Posture-Daten von einem bekannten, vertrauenswürdigen Endpunkt und nicht von einer gefälschten MAC-Adresse stammen. Weitere Informationen zur Sicherung des Gerätezugriffs finden Sie in unserem Leitfaden über 802.1X Authentication: Securing Network Access on Modern Devices .

Implementierungsleitfaden: Bereitstellung von Posture-basiertem Zugriff

Die Bereitstellung der Geräte-Posture-Bewertung in einer Live-Unternehmensumgebung erfordert eine sorgfältige Planung, um den Geschäftsbetrieb nicht zu stören. Der folgende phasenweise Ansatz wird für Umgebungen empfohlen, die von Unternehmensbüros bis hin zu Hospitality -Standorten reichen.

Phase 1: Baseline-Sichtbarkeit (Monitor-Modus)

Der wichtigste Schritt bei der Bereitstellung ist die Erstellung einer Baseline. Aktivieren Sie am ersten Tag niemals Blockierungs- oder Behebungsrichtlinien. Konfigurieren Sie das NAC-System stattdessen so, dass es Posture-Prüfungen in einem reinen Monitor-Modus ausführt. In dieser Phase bewertet das System die Geräte und protokolliert die Ergebnisse, ändert jedoch keine VLAN-Zuweisungen und schränkt den Zugriff nicht ein.

Führen Sie diese Phase mindestens vier Wochen lang durch. Analysieren Sie die Protokolle, um den Prozentsatz nicht-konformer Geräte, die am häufigsten fehlschlagenden Attribute (z. B. veraltetes Betriebssystem vs. deaktivierte Firewall) und die Verteilung der Fehler auf verschiedene Gerätetypen zu ermitteln. Diese Daten ermöglichen es Ihnen, Ihre Richtlinienschwellenwerte zu kalibrieren. Wenn beispielsweise 40 % Ihrer Flotte eine 14-tägige Patch-Anforderung nicht erfüllen, müssen Sie den Schwellenwert anfangs möglicherweise auf 30 Tage anpassen, um den Helpdesk nicht zu überlasten.

Phase 2: VLAN-Segmentierungsdesign

Vor der Durchsetzung von Richtlinien müssen Sie die Netzwerksegmente entwerfen, die die verschiedenen Posture-Zustände verarbeiten. Eine robuste Posture-basierte Netzwerkzugriffsarchitektur erfordert mindestens drei separate VLANs:

Produktions-VLAN: Voller Zugriff auf Unternehmensressourcen für konforme, verwaltete Geräte.
Remediation-VLAN: Eingeschränkter Zugriff, der nur die Kommunikation mit Update-Servern (z. B. Windows Update, WSUS), MDM-Plattformen und dem NAC-Remediation-Portal ermöglicht. Kein Zugriff auf interne Subnetze oder allgemeines Surfen im Internet.
Gast-/BYOD-VLAN: Segmentierter, reiner Internetzugang für nicht verwaltete persönliche Geräte, die keiner Posture-Prüfung unterzogen werden können.

Stellen Sie sicher, dass Ihre Wireless Access Points und Core-Switches so konfiguriert sind, dass sie die dynamische VLAN-Zuweisung über RADIUS-Attribute unterstützen. Die Rolle Ihrer Access Points zu verstehen, ist hierbei von entscheidender Bedeutung; für eine Auffrischung siehe Wireless Access Points Definition Your Ultimate 2026 Guide .

Phase 3: Definition des Posture-Regelwerks

Entwickeln Sie ein pragmatisches Regelwerk basierend auf Ihren Monitor-Modus-Daten und Compliance-Anforderungen. Eine standardmäßige Unternehmens-Baseline umfasst:

Betriebssystem: Muss eine unterstützte Version sein (z. B. Windows 10 22H2 oder neuer, macOS 13 oder neuer).
Patch-Level: Kritische Sicherheitsupdates, die innerhalb der letzten 30 Tage angewendet wurden.
Endpoint-Schutz: Anerkannter Antiviren-/EDR-Agent installiert, aktiv und Signaturen innerhalb der letzten 7 Tage aktualisiert.
Host-Firewall: Für alle Netzwerkprofile aktiviert.
Disk Encryption: BitLocker oder FileVault für das Systemlaufwerk aktiviert.

Phase 4: Durchsetzung von Remediation-Workflows

Wenn ein Gerät die Posture-Prüfung nicht besteht, muss der Remediation-Workflow automatisiert und für den Benutzer klar verständlich sein. Das Gerät wird dem Remediation-VLAN zugewiesen, und der HTTP/HTTPS-Verkehr sollte auf ein Captive Portal umgeleitet werden. Dieses Portal muss den Benutzer explizit darüber informieren, warum sein Gerät unter Quarantäne gestellt wurde (z. B. „Ihr Antivirenprogramm ist veraltet“), und konkrete Schritte oder Links zur Behebung des Problems bereitstellen.

Konfigurieren Sie ein Remediation-Timeout. Beispielsweise kann einem Gerät 24 Stunden im Remediation-VLAN gewährt werden, um erforderliche Patches herunterzuladen. Wenn das Gerät innerhalb dieses Zeitfensters keine Compliance erreicht, sollte es in ein strenges Quarantäne-VLAN verschoben werden, in dem jeglicher Zugriff bis zum Eingreifen der IT blockiert ist.

Best Practices für komplexe Umgebungen

Die Implementierung von Posture-Prüfungen in komplexen Umgebungen wie dem Einzelhandel oder großen öffentlichen Veranstaltungsorten bringt einzigartige Herausforderungen mit sich, insbesondere im Hinblick auf Gerätevielfalt und Skalierbarkeit.

Umgang mit BYOD und IoT

In Umgebungen mit einer hohen Anzahl nicht verwalteter Geräte, wie z. B. in Transportknotenpunkten oder im Einzelhandel, die Guest WiFi anbieten, ist der Versuch, Posture-Prüfungen für jedes einzelne Gerät zu erzwingen, betrieblich nicht machbar. Sie müssen explizite Richtlinien für Geräte festlegen, die nicht überprüft werden können.

Die bewährte Methode besteht darin, MAC Authentication Bypass (MAB) oder Identitätsprofilierung zu nutzen, um diese Geräte frühzeitig im Authentifizierungsfluss zu kategorisieren. Nicht verwaltete BYOD-Geräte sollten automatisch in das Guest-VLAN geleitet werden. IoT-Geräte (Sensoren, Displays) sollten in dedizierten, mikrosegmentierten VLANs mit strengen Access Control Lists (ACLs) platziert werden, die ihre Kommunikation auf bestimmte Controller beschränken. Die Plattform von Purple kann bei der Identifizierung und Verwaltung dieser unterschiedlichen Gerätetypen helfen; erfahren Sie mehr dazu in unseren Sensors -Funktionen.

Optimierung für hochfrequentierte Veranstaltungsorte

In hochfrequentierten Umgebungen wie Stadien kann die durch die Posture-Prüfung verursachte Latenz zu Authentifizierungs-Timeouts und Verbindungsfehlern führen. Agentenbasierte Prüfungen können den Verbindungsprozess um einige Sekunden verzögern.

Um dies zu mildern, implementieren Sie Posture-Caching. Konfigurieren Sie die NAC-Policy-Engine so, dass der Compliant-Status eines Geräts für einen definierten Zeitraum (z. B. 4 bis 8 Stunden) zwischengespeichert wird. Wenn ein Gerät zwischen Access Points wechselt oder die Verbindung kurzzeitig trennt, kann der RADIUS-Server das zwischengespeicherte Posture-Ergebnis verwenden, um sofortigen Zugriff zu gewähren, wodurch der Aufwand für die vollständige Überprüfung umgangen wird. Dies ist entscheidend für die Aufrechterhaltung des Durchsatzes und einer positiven Benutzererfahrung. Die zugrunde liegende Netzwerkarchitektur spielt ebenfalls eine Rolle; berücksichtigen Sie die Vorteile, die in The Core SD WAN Benefits for Modern Businesses beschrieben werden.

Fehlerbehebung & Risikominderung

Selbst bei sorgfältiger Planung kann die zustandsbasierte Zugriffskontrolle fehlschlagen. Das Verständnis der häufigsten Fehlerszenarien ist entscheidend für die Aufrechterhaltung der Netzwerkverfügbarkeit.

CoA-Fehler

Das häufigste technische Problem ist das Fehlschlagen der RADIUS Change of Authorization (CoA)-Nachricht. Wenn das NAC-System feststellt, dass ein Gerät konform ist, der Access Point das CoA-Paket jedoch verwirft oder ignoriert, bleibt das Gerät im eingeschränkten VLAN stecken.

Minderung: Stellen Sie sicher, dass CoA auf allen Netzwerkzugriffsgeräten explizit aktiviert ist und dass der RADIUS-Server als vertrauenswürdiger CoA-Client konfiguriert ist. Überprüfen Sie, ob der UDP-Port 3799 (der Standard-CoA-Port) nicht durch Firewalls zwischen dem RADIUS-Server und den Access Points blockiert wird. Überwachen Sie die CoA-Bestätigungsraten (ACK) in Ihren RADIUS-Protokollen.

MDM API Rate Limiting

Bei agentenlosen Bereitstellungen kann ein plötzlicher Zustrom von sich authentifizierenden Geräten (z. B. Mitarbeiter, die um 9:00 Uhr eintreffen) dazu führen, dass das NAC-System die MDM-Plattform mit API-Anfragen überflutet. Dies kann ein API Rate Limiting auslösen, was dazu führt, dass Zustandsprüfungen fehlschlagen oder das Zeitlimit überschreiten.

Minderung: Implementieren Sie das Batching oder Caching von API-Anfragen innerhalb der NAC-Plattform. Wenn das MDM Webhooks unterstützt, konfigurieren Sie das MDM so, dass es Änderungen des Compliance-Status proaktiv an das NAC-System sendet, anstatt dass das NAC-System das MDM bei jeder Authentifizierung abfragt.

ROI & geschäftliche Auswirkungen

Die geschäftlichen Auswirkungen der Implementierung einer Gerätezustandsbewertung gehen über die unmittelbare Risikominderung hinaus. Sie verändert die Sicherheitslage des Unternehmens grundlegend und liefert messbare Erträge.

Risikominderung und Compliance

Der primäre ROI ist die Verhinderung von Lateral Movement durch kompromittierte Endpunkte. Indem sichergestellt wird, dass nur gesunde Geräte auf das Unternehmensnetzwerk zugreifen, reduzieren Unternehmen die Wahrscheinlichkeit einer Ransomware-Verbreitung erheblich. Darüber hinaus bietet die automatisierte Zustandsbewertung die kontinuierliche Überwachung, die erforderlich ist, um die Audit-Anforderungen für PCI DSS, HIPAA und GDPR zu erfüllen, was die Kosten und den Aufwand für die manuelle Compliance-Berichterstattung reduziert.

Operative Effizienz

Obwohl die Erstbereitstellung Aufwand erfordert, reduziert ein gut abgestimmtes Zustandsbewertungssystem die operative Belastung der IT. Automatisierte Behebungs-Workflows ermöglichen es Benutzern, kleinere Compliance-Probleme (wie veraltete Signaturen) selbst zu lösen, ohne Helpdesk-Tickets zu erstellen. Durch die Integration von Zustandsprüfungen mit umfassenderen Netzwerk-Analysen – wie WiFi Analytics – erhalten IT-Teams eine beispiellose Transparenz über den Zustand ihres Gerätebestands, was ein proaktives statt reaktives Management ermöglicht. Für Standorte, die ihr gesamtes Netzwerkerlebnis verbessern möchten, lesen Sie unsere Einblicke in Modern Hospitality WiFi Solutions Your Guests Deserve .

Schlüsseldefinitionen

Device Posture Assessment

Der Prozess der Bewertung des Sicherheits- und Compliance-Status eines Endpunkts (z. B. Betriebssystemversion, Patch-Level, Antiviren-Status) vor oder während der Netzwerkauthentifizierung.

Entscheidend für die Zero-Trust-Architektur, um sicherzustellen, dass kompromittierte oder gefährdete Geräte nicht auf sensible Netzwerksegmente zugreifen können, selbst wenn der Benutzer über gültige Anmeldedaten verfügt.

RADIUS CoA (Change of Authorization)

Eine Erweiterung des RADIUS-Protokolls (RFC 5176), die es einem RADIUS-Server ermöglicht, die Autorisierungsattribute einer aktiven Sitzung dynamisch zu ändern, wie z. B. das Ändern des VLANs eines Geräts.

Der wesentliche Mechanismus bei der Zustandsbewertung (Posture Assessment), der ein Gerät von einem Quarantäne-/Remediation-VLAN in ein Produktions-VLAN verschiebt, sobald die Integritätsprüfung bestanden ist.

Remediation VLAN

Ein eingeschränktes Netzwerksegment, das speziell für Geräte entwickelt wurde, die die Zustandsprüfung (Posture Check) nicht bestehen. Es bietet nur begrenzten Zugriff auf die Ressourcen, die zur Behebung des Compliance-Problems erforderlich sind (z. B. Update-Server, MDM).

Wird verwendet, um gefährdete Geräte zu isolieren und ihnen gleichzeitig die Möglichkeit zu geben, sich selbst zu korrigieren, ohne dass ein manuelles Eingreifen der IT erforderlich ist.

Agentless Posture Assessment

Bewertung des Gerätezustands ohne Installation einer dedizierten NAC-Software auf dem Endpunkt, in der Regel durch Abfrage einer MDM/UEM-Plattform via API bezüglich des Compliance-Status des Geräts.

Bevorzugt für Unternehmensumgebungen mit robusten MDM-Bereitstellungen, da es die Software-Überlastung auf den Endpunkten reduziert und die Verwaltung vereinfacht.

Dissolvable Agent

Eine temporäre, schlanke Anwendung, die über ein Captive Portal heruntergeladen wird, eine Zustandsprüfung durchführt und sich anschließend selbst vom Gerät entfernt.

Wird häufig in BYOD- oder Gastumgebungen eingesetzt, in denen eine dauerhafte Agenteninstallation unmöglich oder für den Benutzer inakzeptabel ist.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Eine 802.1X-Authentifizierungsmethode, bei der sowohl der Server als auch der Client (das Gerät) gültige digitale Zertifikate zur gegenseitigen Authentifizierung vorlegen müssen.

Die sicherste Grundlage für die Zustandsbewertung (Posture Assessment), da sie die Geräteidentität kryptografisch nachweist, bevor die Integritätsprüfungen ausgewertet werden.

Posture Caching

Speichern des Ergebnisses einer erfolgreichen Zustandsprüfung für einen definierten Zeitraum, sodass nachfolgende Authentifizierungen (z. B. beim Roaming zwischen APs) keine vollständige Neubewertung erfordern.

Unerlässlich für die Aufrechterhaltung der Netzwerkleistung und die Reduzierung von Latenzzeiten in Umgebungen mit hoher Dichte wie Stadien oder großen Büros.

Zero Trust Network Access (ZTNA)

Ein Sicherheits-Framework, bei dem alle Benutzer und Geräte, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerks der Organisation befinden, authentifiziert, autorisiert und kontinuierlich validiert werden müssen, bevor ihnen Zugriff gewährt wird.

Die Zustandsbewertung von Geräten (Device Posture Assessment) ist eine tragende Säule von ZTNA und sorgt für die "kontinuierliche Validierung" des Gerätestatus.

Ausgearbeitete Beispiele

Ein Firmenbüro mit 500 Benutzern implementiert eine Device Posture Assessment. Derzeit wird 802.1X (PEAP-MSCHAPv2) für alle Firmen-Laptops verwendet. Es soll sichergestellt werden, dass sich kein Laptop verbindet, es sei denn, sein CrowdStrike Falcon-Agent läuft und Windows ist vollständig gepatcht. Wie sollten die Integration und der Remediation-Flow gestaltet werden?

Auswahl der Architektur: Da alle Laptops vom Unternehmen verwaltet werden, wird ein agentenloser Ansatz über eine MDM-Integration (z. B. Intune) empfohlen, um die Bereitstellung eines separaten NAC-Agenten zu vermeiden. Die NAC-Policy-Engine fragt den Compliance-Status bei Intune ab.
VLAN-Design: Erstellen Sie drei VLANs: VLAN 10 (Unternehmensproduktion), VLAN 20 (Remediation), VLAN 30 (Gast).
Richtlinienkonfiguration: Konfigurieren Sie Intune-Compliance-Richtlinien so, dass CrowdStrike ausgeführt werden muss und Windows-Updates innerhalb von 30 Tagen erforderlich sind. Konfigurieren Sie die NAC-Policy-Engine so, dass der Intune-Status „Compliant“ dem VLAN 10 und „Non-Compliant“ dem VLAN 20 zugeordnet wird.
Authentifizierungs-Flow: Wenn sich ein Laptop über PEAP authentifiziert, platziert der RADIUS-Server ihn in VLAN 20 und fragt Intune ab. Wenn Intune „Compliant“ zurückgibt, sendet der RADIUS-Server eine CoA-Nachricht an den Access Point, um den Port/die Sitzung auf VLAN 10 umzuschalten.
Remediation: Wenn Intune „Non-Compliant“ zurückgibt, verbleibt der Laptop in VLAN 20. DHCP stellt eine IP-Adresse bereit, und DNS-/Firewall-Regeln leiten den HTTP-Verkehr auf ein Portal um, das den Fehler erklärt und den Zugriff nur auf CrowdStrike- und Windows-Update-Server ermöglicht.

Kommentar des Prüfers: Dieser Ansatz nutzt die vorhandene Infrastruktur (Intune), anstatt neue Agenten einzuführen. Der entscheidende Erfolgsfaktor ist hier die CoA-Konfiguration und die Sicherstellung, dass das Remediation-VLAN über genau die Firewall-ACLs verfügt, die zum Erreichen der Update-Server erforderlich sind – ist es zu restriktiv, kann das Gerät keine Remediation durchführen; ist es zu offen, ist die Quarantäne wirkungslos.

Ein großer Universitätscampus möchte Posture-Prüfungen implementieren, aber 80 % der Geräte sind BYOD-Laptops und -Telefone von Studenten. Sie können keine MDM-Registrierung für diese Geräte erzwingen. Wie sollten sie an die Posture Assessment herangehen?

Auswahl der Architektur: Ein hybrider Ansatz ist erforderlich. Verwenden Sie agentenlose/MDM-Prüfungen für firmeneigene Geräte von Mitarbeitern/Fakultäten und ein Captive Portal mit einem flüchtigen Agenten (Dissolvable Agent) oder einer netzwerkbasierten Bewertung für studentische BYOD-Geräte.
BYOD-Flow: Studenten verbinden sich mit der „Student-WiFi“-SSID. Sie authentifizieren sich über ein Captive Portal mit den Zugangsdaten der Universität.
Dissolvable Agent: Nach der Anmeldung fordert das Portal den Benutzer auf, ein leichtgewichtiges, temporäres Applet (Dissolvable Agent) auszuführen, das den grundlegenden Zustand prüft (z. B. Mindest-OS-Version, aktive Firewall), ohne dass Administratorrechte oder eine dauerhafte Installation erforderlich sind.
Durchsetzung: Wenn der Dissolvable Agent eine erfolgreiche Prüfung meldet, erhält das Gerät Zugriff auf das Studenten-VLAN. Wenn die Prüfung fehlschlägt, zeigt das Portal Anweisungen zur Aktualisierung des Betriebssystems an.
Alternative (netzwerkbasiert): Wenn Dissolvable Agents zu viel Reibung verursachen, nutzen Sie passives Netzwerk-Profiling (DHCP-Fingerprinting, HTTP-User-Agent-Parsing), um stark veraltete OS-Versionen zu erkennen und zu blockieren, wobei ein geringeres Maß an Sicherheit für BYOD in Kauf genommen wird.

Kommentar des Prüfers: In Umgebungen mit hohem BYOD-Anteil ist die Reibung für den Benutzer der größte Feind der Sicherheit. Der Versuch, Studenten zur Nutzung von MDM oder persistenten Agenten zu zwingen, wird scheitern. Der Dissolvable Agent bietet einen vernünftigen Kompromiss, indem er kritische Sicherheitsmerkmale zum Zeitpunkt der Verbindung ohne dauerhaften Eingriff überprüft.

Übungsfragen

Q1. Ihre Organisation führt eine Posture-Bewertung für 2.000 Firmen-Laptops ein. Sie haben die Richtlinie so konfiguriert, dass Windows 11 und ein aktiver EDR-Agent erforderlich sind. Am Montagmorgen planen Sie, die Richtlinie im Enforcement-Modus zu aktivieren. Welchen kritischen Schritt haben Sie vergessen?

Hinweis: Bedenken Sie die Auswirkungen auf den Helpdesk, wenn Ihre Annahmen über den Zustand der Flotte falsch sind.

Musterlösung anzeigen

Sie haben die Phase des 'Monitor-Modus' verpasst. Vor der Durchsetzung einer blockierenden Richtlinie muss das System mehrere Wochen lang im reinen Monitor-Modus laufen, um eine Baseline für die Compliance zu erstellen. Wenn Sie die Durchsetzung am ersten Tag ohne diese Daten aktivieren, führt dies wahrscheinlich zu einem massiven Anstieg von Helpdesk-Tickets von Benutzern, die die Posture-Prüfung unerwartet nicht bestehen.

Q2. Ein Gerät authentifiziert sich erfolgreich über 802.1X und besteht die MDM-Posture-Prüfung. Die RADIUS-Server-Protokolle zeigen ein Access-Accept und eine erfolgreiche Posture-Bewertung, aber der Benutzer meldet, dass er immer noch keinen Zugriff auf das Internet oder Unternehmensressourcen hat. Was ist die wahrscheinlichste Fehlerquelle in der Architektur?

Hinweis: Denken Sie darüber nach, wie das Netzwerkzugriffsgerät (der AP oder Switch) angewiesen wird, die Zugriffsebene des Benutzers nach Abschluss der Posture-Prüfung zu ändern.

Musterlösung anzeigen

Der wahrscheinlichste Fehler liegt bei der RADIUS Change of Authorization (CoA). Das Gerät wurde wahrscheinlich anfangs in ein eingeschränktes Posture-VLAN verschoben. Obwohl die Posture-Prüfung auf der Serverseite erfolgreich war, bleibt das Gerät im eingeschränkten VLAN stecken, wenn die CoA-Nachricht verworfen, von einer Firewall blockiert oder vom Access Point nicht verarbeitet wurde.

Q3. Sie verwalten das WiFi für eine Einzelhandelskette. Unternehmensgeräte werden über Intune verwaltet, aber Filialleiter verbinden oft persönliche iPads mit dem Personalnetzwerk. Sie möchten Posture-Prüfungen für Unternehmensgeräte implementieren. Wie sollten Sie mit den persönlichen iPads verfahren?

Hinweis: Überlegen Sie, ob Sie agentenlose oder agentenbasierte Prüfungen auf Geräten durchführen können, die Ihnen nicht gehören.

Musterlösung anzeigen

Sie können auf unverwalteten persönlichen Geräten keine zuverlässigen, tiefgehenden Posture-Prüfungen durchführen, ohne dass dies zu erheblichen Reibungen für die Benutzer führt. Der beste Ansatz besteht darin, Identitätsprofilierung oder MAB zu nutzen, um die persönlichen iPads zu identifizieren und sie automatisch in ein segmentiertes Guest- oder BYOD-VLAN mit reinem Internetzugang umzuleiten. Dadurch werden die strengen Posture-Anforderungen, die für die Unternehmensgeräte gelten, umgangen.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.