Die DHCP-Erzwingung (Dynamic Host Configuration-Protokoll) wird mit einer DHCP-NAP-Erzwingungsserverkomponente (Network Access Protection, Netzwerkzugriffsschutz), einer DHCP-Erzwingungsclientkomponente und einem Netzwerkrichtlinienserver (Network Policy Server, NPS) bereitgestellt. Mithilfe der DHCP-Erzwingung können DHCP-Server und der Netzwerkrichtlinienserver Integritätsrichtlinien erzwingen, wenn ein Computer versucht, eine IPv4-Adresse (IP Version 4) zu leasen oder zu erneuern. Wenn jedoch für Clientcomputer eine statische IP-Adresse konfiguriert ist oder sie anderweitig konfiguriert sind, um die Verwendung von DHCP zu umgehen, ist diese Erzwingungsmethode nicht wirksam.

Hinweis

In DHCP gespeicherte Integritätsüberprüfungsdaten sind für andere Computer sichtbar. Der DHCP-Erzwingungsclient sendet jedoch nur ein SoH (Statement of Health), wenn dies vom DHCP-Server angefordert wird.

Anforderungen

Zum Bereitstellen des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für DHCP müssen Sie Folgendes konfigurieren:

  • Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.

  • Aktivieren Sie den NAP-DHCP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen Clientcomputern.

  • Installieren Sie DHCP auf dem lokalen Computer oder auf einem Remotecomputer.

  • Aktivieren Sie den Netzwerkzugriffsschutz im MMC-Snap-In (Microsoft Management Console) DHCP für einzelne Bereiche oder für alle Bereiche, die auf dem DHCP-Server konfiguriert sind.

  • Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der NAP-Bereitstellung.

Falls DHCP nicht auf dem lokalen Computer installiert ist, müssen Sie außerdem Folgendes konfigurieren:

  • Installieren Sie NPS auf dem Computer mit DHCP.

  • Konfigurieren Sie NPS auf dem Remote-Netzwerkrichtlinienserver mit DHCP als RADIUS-Proxy für die Weiterleitung von Verbindungsanforderungen an den lokalen Netzwerkrichtlinienserver.


Inhaltsverzeichnis