NAP (Network Access Protection) innehåller klient- och serverkomponenter som gör att du kan identifiera kraven på programvara och systemkomfiguration för datorer som ansluter till ditt nätverk. NAP tillämpar datorsäkerhetskrav genom att genomsöka och utvärdera datorers säkerhetsnivåer, begränsa nätverksåtkomst när klientdatorer inte uppfyller kraven och åtgärda datorer som inte uppfyller kraven så att de kan få obegränsad nätverksåtkomst. NAP påtvingar säkerhetskraven på klientdatorer som försöker ansluta till ett nätverk. NAP levererar också löpande tvång av datorsäkerhetskraven under den tid som en klientdator som uppfyller kraven är ansluten till nätverket.

NAP-tillämpning sker så fort en klientdator försöker ansluta till nätverket genom en nätverksåtkomstserver, t.ex. en RRAS-server med VPN-tjänster, eller när en klient försöker kommunicera med andra nätverksresurser.

Tvingande NAP för VPN distribueras med en tvingande VPN-serverkomponent och en tvingande VPN-klientkomponent. VPN-servrar kan tillämpa hälsoprinciper när klientdatorer försöker ansluta till nätverket via en VPN-anslutning. Tvingande VPN ger starkt begränsad nätverksåtkomst till alla de datorer som kommer åt nätverket via en VPN-anslutning.

OBS

Tvingande VPN skiljer sig från Tillgång till nätverk med karantänkontroll, som är en funktion i Windows Server 2003 och Internet Security and Acceleration (ISA) Server 2004.

Mer information om NAP finns i Network Access Protection (https://go.microsoft.com/fwlink/?linkid=137284) and Network Policy Server (https://go.microsoft.com/fwlink/?linkid=137283).

Distribuera NAP med VPN

Du måste konfigurera följande om du vill köra NAP med VPN:

  • Installera och konfigurera RRAS som en VPN-server.

  • Konfigurera VPN-servrar som RADIUS-klienter i NPS (Network Policy Server). Du måste också konfigurera en princip för anslutningsbegäran, nätverksprincip och NAP-hälsoprincip. Du kan konfigurera de här principerna separat i NPS-konsolen eller använda guiden Network Access Protection.

  • Aktivera NAP:s klient för tvingande VPN och NAP-tjänsten på NAP-kompatibla klientdatorer.

  • Konfigurera säkerhetshälsoverifieringsprinciper i Windows eller installera och konfigurera andra systemhälsoagenter och systemhälsoverifierare, beroende på NAP-distributionen.

  • Om du använder PEAP-TLS eller EAP-TLS med smartkort eller certifikat, ska du installera en infrastruktur för offentliga nycklar (PKI) med Active Directory® Certificate Services (AD CS).

  • Om du använder PEAP-MS-CHAP v2, måste du utfärda servercertifikat med antingen AD CS eller köpa servercertifikat av en betrodd rotcertifikatutfärdare (CA).

Konfigurera fjärråtkomstprinciper

Du måste använda NPS för att skapa och konfigurera fjärråtkomstprinciper. Använd följande steg för att ange att fjärråtkomstprincipen ska ge användaråtkomst.

Om proceduren ska kunna slutföras krävs minst medlemskap i den lokala gruppen Administratörer eller motsvarande.

Så här konfigurerar du fjärråtkomstprincipen

  1. Öppna RRAS MMC-snapin-modulen.

  2. Högerklicka på Loggning och principer för fjärråtkomst och klicka sedan på Starta NPS.

  3. Klicka på Nätverksprinciper.

  4. Dubbelklicka på Anslutningar till RAS-servrar (Routning och fjärråtkomst).

  5. Klicka på Bevilja åtkomst på fliken Översikt under Åtkomstbehörighet och klicka sedan på OK.

Ytterligare referenser

Innehåll