K povolení nebo zakázání klientů vynucení architektury NAP (Network Access Protection) lze použít konzolu Konfigurace klienta NAP, nastavení konfigurace klienta NAP v zásadách skupiny nebo příkazy nástroje Netsh pro nastavení klienta NAP. Klient vynucení architektury NAP se stará o požadavky na přístup do sítě, sděluje informace o stavu počítače klienta serveru architektury NAP, který povoluje přístup do sítě, a informuje o stavu připojení klientského počítače další součásti klientské architektury NAP.
Existuje šest typů klientů vynucení, které odpovídají následujícím mechanismům přístupu k síti.
| Klient vynucení | Popis |
|---|---|
|
Protokol DHCP (Dynamic Host Configuration Protocol) |
Zajišťuje zásady stavu v případě, kdy se počítač klienta pokouší získat IP adresu ze serveru DHCP s podporou architektury NAP. |
|
Protokol IPsec (Internet Protocol security) |
Zajišťuje bezpečnostní zásady v případě, kdy se počítač klienta pokouší komunikovat s jiným počítačem použitím protokolu IPsec. |
|
Brána vzdálené plochy (Brána VP) |
Zajišťuje zásady stavu u počítače, který se snaží získat přístup k bráně vzdálené plochy. |
|
Protokol EAP (Extensible Authentication Protocol) |
Zajišťuje zásady stavu v případě, kdy se počítač klienta pokouší získat přístup k síti pomocí připojení ověřených protokolem EAP, jako jsou například drátová připojení pomocí protokolu 802.1X a bezdrátová připojení. V klientských počítačích se systémem Windows® 7 je klient vynucení protokolu EAP používán také pro připojení k virtuální privátní síti (VPN). |
|
Vzdálený přístup |
Zajišťuje zásady stavu v případě, kdy se počítač klienta se systémem Windows Vista® nebo Windows XP s aktualizací Service Pack 3 (SP3) pokouší získat přístup k síti pomocí serveru VPN s podporou architektury NAP. |
|
Bezdrátový protokol EAPOL (EAP over LAN) |
Zajišťuje zásady stavu v případě, kdy se počítač klienta se systémem Windows XP SP3 pokouší získat přístup k síti pomocí bezdrátového připojení s ověřováním protokolem 802.1X. |
Kdy je vhodné takto postupovat
Pokud chcete v organizaci nasadit architekturu NAP, musíte v klientských počítačích povolit alespoň jednoho klienta vynucení architektury NAP. Vzhledem k tomu, že může docházet ke změnám v požadavcích na bezpečnost sítě a že můžete prosazovat bezpečnostní zásady i v dalších mechanismech síťového přístupu, je možné, že budete potřebovat dodatečné klienty vynucení.
Je také možné, že budete potřebovat zakázat klienty vynucení v případech, kdy budete řešit případné problémy se síťovým přístupem, nebo když se dané bezpečnostní zásady změní a k prosazování bezpečnostních zásad vám budou vyhovovat jiní klienti vynucení.
Abyste dokončili tento úkol, proveďte následující postupy:
Povolení či zakázání klienta vynucení protokolu DHCP
Povolení či zakázání klienta vynucení protokolu IPsec
Povolení či zakázání klienta vynucení služby Brána VP
Povolení či zakázání klienta vynucení protokolu EAP
Povolení či zakázání klienta vynucení pro vzdálený přístup
Povolení či zakázání klienta vynucení bezdrátového protokolu EAPOL