Integritätsrichtlinien

Integritätsrichtlinien bestehen aus mindestens einer Systemintegritätsprüfung (System Health Validator, SHV) und sonstigen Einstellungen, mit denen Sie die Clientcomputer-Konfigurationsanforderungen für die NAP-fähigen (Network Access Protection, Netzwerkzugriffsschutz) Computer definieren können, die eine Verbindung mit dem Netzwerk herzustellen versuchen.

Wenn NAP-fähige Clients versuchen, eine Verbindung mit dem Netzwerk herzustellen, sendet der Clientcomputer ein SoH (Statement of Health) an den Netzwerkrichtlinienserver (Network Policy Server, NPS). Ein SoH ist ein Bericht des Clientkonfigurationsstatus und wird von NPS mit den in der Integritätsrichtlinie definierten Anforderungen verglichen. Falls der Clientkonfigurationsstatus nicht mit den in der Integritätsrichtlinie definierten Anforderungen übereinstimmt, wird in Abhängigkeit von der NPS-Konfiguration eine der folgenden Aktionen ausgeführt:

• Die Verbindungsanforderung des NAP-Clients wird abgelehnt.
  
  
• Der NAP-Client wird in einem eingeschränkten Netzwerk platziert, wo er Updates von Wartungsservern empfangen kann, mit denen die Kompatibilität des Clients mit der Integritätsrichtlinie hergestellt wird. Sobald der Client mit der Integritätsrichtlinie kompatibel ist, kann er eine Verbindung herstellen.
  
  
• Der NAP-Client darf eine Verbindung mit dem Netzwerk herstellen, auch wenn er nicht mit der Integritätsrichtlinie kompatibel ist.
  
  

Clientintegritätsrichtlinien können Sie in NPS durch Hinzufügen von mindestens einer SHV zur Integritätsrichtlinie erstellen.

Nachdem Sie für eine Integritätsrichtlinie mindestens eine SHV konfiguriert haben, können Sie die Integritätsrichtlinie zur Integritätsrichtlinienbedingung einer Netzwerkrichtlinie hinzufügen, mit der Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) erzwingen möchten, wenn Clientcomputer eine Verbindung mit dem Netzwerk herstellen.

Die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV) ist standardmäßig in NPS enthalten. Andere Hersteller stellen möglicherweise weitere SHV- und SHA-Paare (System Health Agent, Systemintegritäts-Agent) für ihre NAP-kompatiblen Produkte bereit.

Wenn Sie ein NAP-kompatibles Produkt verwenden möchten, können Sie anhand der Produktdokumentation den SHA auf NAP-fähigen Clientcomputern und anschließend die SHV auf dem Netzwerkrichtlinienserver installieren. Nachdem Sie den SHV auf dem Netzwerkrichtlinienserver installiert haben, können Sie die SHV konfigurieren und sie anschließend einer Integritätsrichtlinie hinzufügen.

Nachdem Sie für die Integritätsrichtlinie die gewünschten SHVs konfiguriert haben, können Sie den Einstellungen einer Netzwerkrichtlinie die Integritätsrichtlinie hinzufügen.