Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für die portbasierte 802.1X-Netzwerkzugriffssteuerung erfolgt mithilfe eines Netzwerkrichtlinienservers (Network Policy Server, NPS) und einer EAP-Hosterzwingungs-Clientkomponente. Bei der portbasierten 802.1X-Erzwingung weist der Netzwerkrichtlinienserver einen 802.1X-Authentifizierungsswitch oder einen 802.1X-kompatiblen Drahtloszugriffspunkt an, nicht kompatible 802.1X-Clients in einem Wartungsnetzwerk zu platzieren. Der Netzwerkrichtlinienserver beschränkt den Netzwerkzugriff des Clients auf das Wartungsnetzwerk, indem IP-Filter oder der Bezeichner eines virtuellen LANs auf die Verbindung angewendet werden. Die 802.1X-Erzwingung ermöglicht einen stark eingeschränkten Netzwerkzugriff für alle Computer, die über 802.1X-fähige Netzwerkzugriffsserver auf das Netzwerk zugreifen.

Anforderungen für 802.1X-Kabelverbindungen

Zum Bereitstellen von NAP mit 802.1X-Kabelverbindung müssen Sie Folgendes konfigurieren:

  • Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.

  • Installieren und konfigurieren Sie 802.1X-Authentifizierungsswitches.

  • Aktivieren Sie den NAP-EAP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen Clientcomputern.

  • Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der NAP-Bereitstellung.

  • Wenn Sie PEAP-TLS (Protected Extensible Authentication-Protokoll-Transport Layer Security) oder EAP-TLS mit Smartcards oder Zertifikaten verwenden, stellen Sie eine Public Key-Infrastruktur (PKI) mit Active Directory®-Zertifikatdiensten (AD CS) bereit.

  • Bei Verwendung von PEAP-MS-CHAP v2 (Protected Extensible Authentication-Protokoll-Microsoft Challenge Handshake Authentication-Protokoll, Version 2) stellen Sie Serverzertifikate mit AD CS aus, oder erwerben Sie Serverzertifikate von einer anderen vertrauenswürdigen Stammzertifizierungsstelle.

Anforderungen für 802.1X-Drahtlosverbindungen

Zum Bereitstellen von NAP mit 802.1X-Drahtlosverbindung müssen Sie Folgendes konfigurieren:

  • Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.

  • Installieren und konfigurieren Sie 802.1X-Drahtloszugriffspunkte.

  • Aktivieren Sie den NAP-EAP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen Clientcomputern.

  • Konfigurieren Sie WSHV, oder installieren und konfigurieren Sie andere SHAs und SHVs entsprechend Ihrer NAP-Bereitstellung.


Inhaltsverzeichnis