Die DHCP-Erzwingung (Dynamic Host Configuration-Protokoll) wird mit einer DHCP-NAP-Erzwingungsserverkomponente (Network Access Protection, Netzwerkzugriffsschutz), einer DHCP-Erzwingungsclientkomponente und einem Netzwerkrichtlinienserver (Network Policy Server, NPS) bereitgestellt. Mithilfe der DHCP-Erzwingung können DHCP-Server und der Netzwerkrichtlinienserver Integritätsrichtlinien erzwingen, wenn ein Computer versucht, eine IPv4-Adresse (IP Version 4) zu leasen oder zu erneuern. Wenn jedoch für Clientcomputer eine statische IP-Adresse konfiguriert ist oder sie anderweitig konfiguriert sind, um die Verwendung von DHCP zu umgehen, ist diese Erzwingungsmethode nicht wirksam.
Hinweis | |
In DHCP gespeicherte Integritätsüberprüfungsdaten sind für andere Computer sichtbar. Der DHCP-Erzwingungsclient sendet jedoch nur ein SoH (Statement of Health), wenn dies vom DHCP-Server angefordert wird. |
Anforderungen
Zum Bereitstellen des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für DHCP müssen Sie Folgendes konfigurieren:
-
Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.
-
Aktivieren Sie den NAP-DHCP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen Clientcomputern.
-
Installieren Sie DHCP auf dem lokalen Computer oder auf einem Remotecomputer.
-
Aktivieren Sie den Netzwerkzugriffsschutz im MMC-Snap-In (Microsoft Management Console) DHCP für einzelne Bereiche oder für alle Bereiche, die auf dem DHCP-Server konfiguriert sind.
-
Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der NAP-Bereitstellung.
Falls DHCP nicht auf dem lokalen Computer installiert ist, müssen Sie außerdem Folgendes konfigurieren:
-
Installieren Sie NPS auf dem Computer mit DHCP.
-
Konfigurieren Sie NPS auf dem Remote-Netzwerkrichtlinienserver mit DHCP als RADIUS-Proxy für die Weiterleitung von Verbindungsanforderungen an den lokalen Netzwerkrichtlinienserver.