Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für IPsec-Richtlinien (Internet Protocol security, Internetprotokollsicherheit) für die Windows-Firewall wird über einen Integritätszertifikatserver, einen Integritätsregistrierungsstellen-Server (Health Registration Authority, HRA), einen Netzwerkrichtlinienserver (Network Policy Server, NPS) und einen IPsec-Erzwingungsclient bereitgestellt. Der Integritätszertifikatserver stellt X.509-Zertifikate für NAP-Clients aus, wenn sie als konform eingestuft werden. Mithilfe dieser Zertifikate werden dann NAP-Clients authentifiziert, wenn sie eine IPsec-Kommunikation mit anderen NAP-Clients in einem Intranet starten.
Die IPsec-Erzwingung beschränkt die Kommunikation im Netzwerk auf kompatible Clients und bietet die sicherste Implementierung von NAP. Da bei dieser Erzwingungsmethode IPsec verwendet wird, können Sie Anforderungen für eine sichere Kommunikation auf der Basis von IP-Adressen oder TCP/UDP-Portnummern definieren.
Anforderungen
Zum Bereitstellen des Netzwerkzugriffsschutzes für IPsec und HRA müssen Sie Folgendes konfigurieren:
-
Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.
-
Aktivieren Sie den NAP-IPsec-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen Clientcomputern.
-
Installieren Sie HRA auf dem lokalen Computer oder auf einem Remotecomputer.
-
Installieren und konfigurieren Sie die Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, AD CS) und Zertifikatvorlagen.
-
Konfigurieren Sie Gruppenrichtlinien und sonstige Einstellungen, die für die Bereitstellung erforderlich sind.
-
Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der NAP-Bereitstellung.
Falls HRA nicht auf dem lokalen Computer installiert ist, müssen Sie außerdem Folgendes konfigurieren:
-
Installieren Sie NPS auf dem Computer mit HRA.
-
Konfigurieren Sie den Netzwerkrichtlinienserver auf dem NPS-Remoteserver mit HRA als RADIUS-Proxy (Remote Authentication Dial-In User Service) für die Weiterleitung von Verbindungsanforderungen an den lokalen Netzwerkrichtlinienserver.
Weitere Informationen zu HRA erhalten Sie, indem Sie die HRA-Konsole öffnen und dann F1 drücken, um die Hilfe zu HRA anzuzeigen.