Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für VPN wird über eine VPN-Erzwingungsserverkomponente und eine VPN-Erzwingungsclientkomponente bereitgestellt. Mithilfe dieser Erzwingungsmethode können VPN-Server Integritätsrichtlinien erzwingen, wenn Clientcomputer versuchen, eine VPN-Verbindung mit dem Netzwerk herzustellen. Die VPN-Erzwingung ermöglicht einen stark eingeschränkten Netzwerkzugriff für alle Computer, die über eine VPN-Verbindung auf das Netzwerk zugreifen.

Hinweis

Die VPN-Erzwingung unterscheidet sich von der Quarantänesteuerung für Netzwerkzugriff, einem Feature in Windows Server® 2003 und Internet Security und Acceleration (ISA) Server 2004.

Anforderungen

Zum Bereitstellen des Netzwerkzugriffsschutzes für VPN müssen Sie Folgendes konfigurieren:

  • Installieren und konfigurieren Sie den Routing- und RAS-Dienst als VPN-Server. Konfigurieren Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS) als primären RADIUS-Server (Remote Authentication Dial-In User Service) in Routing und RAS.

  • Konfigurieren Sie VPN-Server in NPS als RADIUS-Clients. Konfigurieren Sie zudem eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.

  • Aktivieren Sie auf NAP-fähigen Clientcomputern die RAS- und EAP-Erzwingungsclients.

  • Aktivieren Sie den NAP-Dienst auf NAP-fähigen Clientcomputern.

  • Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der NAP-Bereitstellung.

  • Wenn Sie PEAP-TLS (Protected Extensible Authentication-Protokoll-Transport Layer Security) oder EAP-TLS mit Smartcards oder Zertifikaten verwenden, stellen Sie eine Public Key-Infrastruktur (PKI) mit Active Directory®-Zertifikatdiensten (AD CS) bereit.

  • Bei Verwendung von PEAP-MS-CHAP v2 (Protected Extensible Authentication-Protokoll-Microsoft Challenge Handshake Authentication-Protokoll, Version 2) stellen Sie Serverzertifikate mit AD CS aus, oder erwerben Sie Serverzertifikate von einer vertrauenswürdigen Stammzertifizierungsstelle.

Weitere Überlegungen

Wenn Sie die NAP-VPN-Erzwingungsmethode bereitstellen und Sie die NAP-Erzwingung mit der Option Für begrenzten Zeitraum vollständigen Netzwerkzugriff gewähren konfiguriert haben, werden VPN-Clients, die bei Ablauf dieses Zeitraums mit dem Netzwerk verbunden sind, automatisch getrennt. Dabei spielt es keine Rolle, ob sie mit der Integritätsrichtlinie konform sind.

VPN-Clients, die nach Ablauf dieses Zeitraums versuchen, eine Verbindung mit dem Netzwerk herzustellen, werden in einem eingeschränkten Netzwerk platziert, falls sie mit der Integritätsrichtlinie nicht konform sind, während richtlinienkonformen Clients der vollständige Netzwerkzugriff erteilt wird.


Inhaltsverzeichnis