Services voor netwerkbeleid en -toegang biedt de volgende netwerkverbindingsoplossingen:
-
Network Access Protection (NAP) NAP is een technologie voor het maken, afdwingen en herstellen van het clientstatusbeleid die is opgenomen in het clientbesturingssysteem Windows Vista® en in het besturingssysteem Windows Server® 2008. Met NAP kunnen systeembeheerders statusbeleid maken en automatisch afdwingen. Bij dit beleid horen softwarevereisten, beveiligingsupdatevereisten, vereiste computerconfiguraties en andere instellingen. Aan clientcomputers die niet in overeenstemming zijn met het statusbeleid, kan beperkte netwerktoegang worden geboden totdat de configuratie is bijgewerkt en daarmee voldoet aan het beleid. Afhankelijk van uw implementatie van NAP kunnen clients die niet aan het beleid voldoen automatisch worden bijgewerkt, zodat gebruikers snel over volledige netwerktoegang beschikken zonder dat zij computers handmatig moeten bijwerken of opnieuw moeten configureren.
-
Beveiligde draadloze en niet-draadloze toegang. Wanneer u draadloze 802.1X-toegangspunten implementeert, biedt beveiligde draadloze toegang draadloze gebruikers een beveiligde, op wachtwoorden gebaseerde verificatiemethode die eenvoudig te implementeren is. Wanneer u 802.1X-verificatieswitches implementeert, kunt u met niet-draadloze toegang uw netwerk beveiligen door ervoor te zorgen dat intranetgebruikers worden geverifieerd voordat ze verbinding kunnen maken met het netwerk of een IP-adres kunnen verkrijgen met DHCP.
-
Oplossingen voor externe toegang. Met oplossingen voor externe toegang kunt u gebruikers een VPN-netwerk (Virtual Private Network) en traditionele inbeltoegang bieden tot het netwerk van uw organisatie. U kunt filialen ook verbinden met uw netwerk met behulp van VPN-oplossingen, volwaardige softwarerouters implementeren op uw netwerk en internetverbindingen delen via het intranet.
-
Centraal netwerkbeleidsbeheer met RADIUS-server en -proxy. In plaats van netwerktoegangsbeleid te configureren voor elke netwerktoegangsserver, zoals draadloze toegangspunten, 802.1X-verificatieswitches, VPN-servers en inbelservers, kunt u op één locatie beleid maken dat alle aspecten van netwerkverbindingsaanvragen omvat, zoals wie er toestemming heeft om verbinding te maken, wanneer ze dit mogen en het beveiligingsniveau dat ze moeten gebruiken om verbinding te maken met uw netwerk.
Rolservices voor services voor netwerkbeleid en -toegang
Wanneer u services voor netwerkbeleid en -toegang installeert, zijn de volgende rolservices beschikbaar:
-
Network Policy Server (NPS). NPS is de Microsoft-implementatie van een RADIUS-server en -proxy. Met NPS kunt u netwerktoegang centraal beheren via allerlei netwerktoegangsservers, zoals draadloze toegangspunten, VPN-servers, inbelservers en 802.1X-verificatieswitches. Bovendien kunt u NPS gebruiken om beveiligde wachtwoordverificatie te implementeren met PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol) voor draadloze verbindingen. NPS bevat ook belangrijke onderdelen voor het implementeren van NAP op uw netwerk.
U kunt de volgende technologieën implementeren na installatie van de NPS-rolservice:
-
NAP-statusbeleidsserver. Wanneer u NPS configureert als een NAP-statusbeleidsserver, evalueert NPS statusverklaringen die door NAP-clientcomputers zijn verzonden en willen communiceren op het netwerk. U kunt op NPS NAP-beleid configureren dat clientcomputers toestaat hun configuratie bij te werken zodat deze compatibel is met het netwerkbeleid van uw organisatie.
-
Draadloos IEEE 802.11. Met de MMC-module NPS kunt u 802.1X-verbindingsaanvragenbeleid configureren voor draadloze IEEE 802.11-clientnetwerktoegang. U kunt draadloze toegangspunten ook configureren als RADIUS-clients (Remote Authentication Dial-In User Service) in NPS, en NPS als een RADIUS-server gebruiken om verbindingsaanvragen te verwerken en om verificatie, autorisatie en accounting uit te voeren voor draadloze 802.11-verbindingen. U kunt draadloze IEEE 802.11-toegang volledig integreren met NAP wanneer u een draadloze 802.1X-verificatie-infrastructuur implementeert zodat de status van draadloze clients wordt vergeleken met het statusbeleid voordat clients toestemming krijgen om verbinding te maken met het netwerk.
-
Draadloos IEEE 802.3. Met de MMC-module NPS kunt u 802.1X-verbindingsaanvragenbeleid configureren voor Ethernet-netwerktoegang voor niet-draadloze IEEE 802.3-clients. U kunt 802.1X-switches ook configureren als RADIUS-clients in NPS, en NPS als een RADIUS-server gebruiken om verbindingsaanvragen te verwerken en om verificatie, autorisatie en accounting uit te voeren voor 802.3-Ethernet-verbindingen. U kunt niet-draadloze IEEE 802.3-clienttoegang volledig integreren met NAP wanneer u een niet-draadloze 802.1X-verificatie-infrastructuur implementeert.
-
RADIUS-server. NPS voert gecentraliseerde verbindingsverificatie, -autorisatie en -accounting uit voor draadloze verificatieswitches, externe inbeltoegang en VPN-verbindingen. Wanneer u NPS als een RADIUS-server gebruikt, configureert u netwerktoegangsservers, zoals draadloze toegangspunten en VPN-servers, als RADIUS-clients in NPS. U configureert ook netwerkbeleid dat NPS gebruikt om verbindingsaanvragen te autoriseren, en u kunt RADIUS-accounting configureren zodat NPS accountinginformatie registreert in logboekbestanden op de lokale vaste schijf of in een Microsoft® SQL Server™-database.
-
RADIUS-proxy. Wanneer u NPS als een RADIUS-proxy gebruikt, configureert u verbindingsaanvraagbeleid dat de NPS-server vertelt welke verbindingsaanvragen er moeten worden doorgestuurd naar andere RADIUS-servers en naar welke RADIUS-servers u verbindingsaanvragen wilt doorsturen. U kunt NPS ook zo configureren dat accountingsgegevens worden doorgestuurd om te worden geregistreerd door een of meer computers in een externe RADIUS-servergroep.
-
NAP-statusbeleidsserver. Wanneer u NPS configureert als een NAP-statusbeleidsserver, evalueert NPS statusverklaringen die door NAP-clientcomputers zijn verzonden en willen communiceren op het netwerk. U kunt op NPS NAP-beleid configureren dat clientcomputers toestaat hun configuratie bij te werken zodat deze compatibel is met het netwerkbeleid van uw organisatie.
-
Routering en RAS. Met Routering en RAS kunt u VPN- en externe inbeltoegangsservices, en de multiprotocol-routeringsservices LAN-naar-LAN, LAN-naar-WAN, VPN en netwerkadresomzetting (NAT) implementeren.
U kunt de volgende technologieën implementeren tijdens de installatie van de Routering en RAS-rolservice:
-
RAS. Met RAS kunt u PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) of L2TP (Layer Two Tunneling Protocol) implementeren met IPsec VPN-verbindingen (Internet Protocol security) om eindgebruikers externe toegang te bieden tot het netwerk van uw organisatie. U kunt ook een VPN-verbinding maken tussen twee servers op verschillende locaties. Elke server is geconfigureerd met Routering en RAS om persoonlijke gegevens beveiligd te verzenden. De verbinding tussen de twee servers kan permanent (altijd ingeschakeld) of op aanvraag (bellen-op-verzoek) zijn.
RAS biedt ook traditionele externe inbeltoegang om mobiele gebruikers of thuisgebruikers te ondersteunen die inbellen op het intranet van een organisatie. Inbelapparatuur die is geïnstalleerd op de server waarop Routering en RAS wordt uitgevoerd, beantwoordt binnenkomende verbindingsaanvragen van inbelnetwerkclients. Via de RAS-server wordt gereageerd op de aanroep, wordt de aanvrager geverifieerd en geautoriseerd en worden gegevens overgedragen tussen de inbelnetwerkclient en het intranet van de organisatie.
-
Routering. Routering biedt een volwaardige softwarerouter en een open platform voor routering en internetwerk. Het biedt routeringsservices naar bedrijven in LAN- (Local Area Network) en WAN-omgevingen (Wide Area Network).
Wanneer u NAT implementeert, wordt de server waarop Routering en RAS wordt uitgevoerd zo geconfigureerd dat een internetverbinding wordt gedeeld met computers in het particuliere netwerk en dat verkeer tussen het openbare adres en het particuliere netwerk wordt omgezet. Als u NAT gebruikt, worden de computers op het particuliere netwerk wat beter beveiligd omdat de router in dit geval geen internetverkeer doorstuurt naar het particuliere netwerk, tenzij een particulier-netwerkclient hierom heeft gevraagd of tenzij het verkeer expliciet is toegestaan.
Wanneer u VPN en NAT implementeert, wordt de server waarop Routering en RAS wordt uitgevoerd zo geconfigureerd dat NAT wordt uitgevoerd voor het particuliere netwerk en dat VPN-verbindingen worden toegestaan. Via computers op internet kunnen de IP-adressen van computers in het particuliere netwerk niet worden bepaald. Via VPN-clients kan echter verbinding worden gemaakt met computers in het particuliere netwerk alsof deze fysiek zijn aangesloten op hetzelfde netwerk.
-
RAS. Met RAS kunt u PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) of L2TP (Layer Two Tunneling Protocol) implementeren met IPsec VPN-verbindingen (Internet Protocol security) om eindgebruikers externe toegang te bieden tot het netwerk van uw organisatie. U kunt ook een VPN-verbinding maken tussen twee servers op verschillende locaties. Elke server is geconfigureerd met Routering en RAS om persoonlijke gegevens beveiligd te verzenden. De verbinding tussen de twee servers kan permanent (altijd ingeschakeld) of op aanvraag (bellen-op-verzoek) zijn.
-
Statusregistratieautoriteit (HRA). HRA is een NAP-onderdeel dat statuscertificaten verleent aan clients die de statusbeleidsverificatie doorstaan die wordt uitgevoerd door NPS met de statusverklaring van de client. HRA wordt alleen gebruikt met de NAP IPsec-afdwingmethode.
-
Host Credential Authorization Protocol (HCAP). Met HCAP kunt u uw Microsoft NAP-oplossing integreren met Cisco Network Access Control Server. Wanneer u HCAP implementeert met NPS en NAP, kan NPS een clientstatusevaluatie en de autorisatie van Cisco 802.1X-toegangsclients uitvoeren.
De serverrol Services voor netwerkbeleid en -toegang beheren
De volgende hulpprogramma's worden geleverd om de serverrol Services voor netwerkbeleid en -toegang te beheren:
-
MMC-module NPS. Gebruik de MMC NPS om een RADIUS-server, RADIUS-proxy of NAP-technologie te configureren.
-
Netsh-opdrachten voor NPS. De Netsh-opdrachten voor NPS bieden een opdrachtset die volledig equivalent is aan alle configuratie-instellingen die beschikbaar zijn via de MMC-module NPS. Netsh-opdrachten kunnen handmatig worden uitgevoerd na de Netsh-prompt of in beheerdersscripts.
-
MMC-module HRA. Gebruik de MMC HRA om de certificeringsinstantie (CA) aan te wijzen die HRA gebruikt om statuscertificaten voor clientcomputers te verkrijgen en om de NPS-server te definiëren waarnaar HRA statusverklaringen van clients stuurt om ze te laten vergelijken met het statusbeleid.
-
Netsh-opdrachten voor HRA. De Netsh-opdrachten voor HRA bieden een opdrachtset die volledig equivalent is aan alle configuratie-instellingen die beschikbaar zijn via de MMC-module HRA. Netsh-opdrachten kunnen handmatig worden uitgevoerd na de Netsh-prompt of in scripts die door beheerders zijn geschreven.
-
MMC-module Beheer van NAP-client. U kunt de module Beheer van NAP-client gebruiken om beveiligingsinstellingen en gebruikersinterface-instellingen te configureren op clientcomputers die de NAP-architectuur ondersteunen.
-
Netsh-opdrachten voor het configureren van NAP-clientinstellingen. De Netsh-opdrachten voor NAP-clientinstellingen bieden een opdrachtset die volledig equivalent is aan alle configuratie-instellingen die beschikbaar zijn via de module Beheer van NAP-client. Netsh-opdrachten kunnen handmatig worden uitgevoerd na de Netsh-prompt of in scripts die door beheerders zijn geschreven.
-
MMC-module Routering en RAS. Gebruik deze MMC-module om een VPN-server, een inbelnetwerkserver, een router, NAT, VPN en NAT of een VPN-verbinding tussen sites te configureren.
-
Netsh-opdrachten voor RAS. De Netsh-opdrachten voor RAS bieden een opdrachtset die volledig equivalent is aan alle RAS-configuratie-instellingen die beschikbaar zijn via de MMC-module Routering en RAS. Netsh-opdrachten kunnen handmatig worden uitgevoerd na de Netsh-prompt of in beheerdersscripts.
-
Netsh-opdrachten voor routering. De Netsh-opdrachten voor routering bieden een opdrachtset die volledig equivalent is aan alle routeringsconfiguratie-instellingen die beschikbaar zijn via de MMC-module Routering en RAS. Netsh-opdrachten kunnen handmatig worden uitgevoerd na de Netsh-prompt of in beheerdersscripts.
-
Beleid voor draadloze netwerken (IEEE 802.11) - Console Groepsbeleidsbeheer (GPMC). Met de uitbreiding Beleid voor draadloze netwerken (IEEE 802.11) wordt de configuratie geautomatiseerd van draadloos-netwerkinstellingen op computers met stuurprogramma's voor draadloos-netwerkadapters die de WLAN Autoconfig-service (Wireless LAN Autoconfiguration Service) ondersteunen. U kunt de uitbreiding Beleid voor draadloze netwerken (IEEE 802.11) in de console Groepsbeleidsbeheer gebruiken om configuratie-instellingen op te geven voor draadloze Windows XP- en/of Windows Vista-clients. Tot de uitbreidingen voor het groepsbeleid van Beheer van draadloze netwerken (IEEE 802.11) behoren globale draadloze instellingen, de lijst met voorkeursnetwerken, WPA-instellingen (Wi-Fi Protected Access) en IEEE 802.1X-instellingen.
Wanneer deze instellingen zijn geconfigureerd, worden ze gedownload op draadloze Windows-clients die lid zijn van het domein. De draadloze instellingen die zijn geconfigureerd door dit beleid, maken deel uit van het groepsbeleid Computerconfiguratie. Beleid voor draadloze netwerken (IEEE 802.11) is niet standaard geconfigureerd of ingeschakeld.
-
Netsh-opdrachten voor WLAN (Wireless Local Area Network). Netsh WLAN is een alternatief voor het gebruik van groepsbeleid om draadloze Windows Vista-verbindingen en -beveiligingsinstellingen te configureren. U kunt de Netsh wlan-opdrachten gebruiken om de lokale computer te configureren of om meerdere computers te configureren met een aanmeldingsscript. U kunt de Netsh wlan-opdrachten ook gebruiken om draadloze groepsbeleidsinstellingen weer te geven en WISP (Wireless Internet Service Provider) en draadloze gebruikersinstellingen te beheren.
De draadloze Netsh-interface heeft de volgende voordelen:
-
Ondersteuning voor gemengde modus: Hiermee kunnen beheerders clients configureren voor de ondersteuning van meerdere beveiligingsopties. U kunt een client bijvoorbeeld configureren voor ondersteuning van zowel de WPA2- als de WPA-verificatiestandaard. De client kan dan WPA2 gebruiken om verbinding te maken met netwerken die WPA2 ondersteunen, en WPA om verbinding te maken met netwerken die alleen WPA ondersteunen.
-
Ongewenste netwerken blokkeren: Beheerders kunnen de toegang tot draadloze niet-bedrijfsnetwerken blokkeren en verbergen door netwerken of netwerktypen toe te voegen aan de lijst met niet-toegestane netwerken. Op deze manier kunnen beheerders de toegang tot draadloze bedrijfsnetwerken ook toestaan.
-
Ondersteuning voor gemengde modus: Hiermee kunnen beheerders clients configureren voor de ondersteuning van meerdere beveiligingsopties. U kunt een client bijvoorbeeld configureren voor ondersteuning van zowel de WPA2- als de WPA-verificatiestandaard. De client kan dan WPA2 gebruiken om verbinding te maken met netwerken die WPA2 ondersteunen, en WPA om verbinding te maken met netwerken die alleen WPA ondersteunen.
-
Beleid voor niet-draadloze netwerken (IEEE 802.3) - Console Groepsbeleidsbeheer (GPMC). U kunt het beleid voor bekabeld netwerk (IEEE 802.3) gebruiken om configuratie-instellingen op te geven en aan te passen voor Windows Vista-clients die zijn voorzien van netwerkadapters en stuurprogramma's die de service voor automatische configuratie van bekabelde netwerken ondersteunen. Tot de uitbreidingen voor het groepsbeleid van het beleid voor draadloze netwerken (IEEE 802.11) behoren globale instellingen voor bekabelde netwerken en IEEE 802.1X-instellingen. Tot deze instellingen behoort de volledige set configuratie-items voor bekabelde netwerken die zijn gekoppeld aan de tabbladen Algemeen en Beveiliging.
Wanneer deze instellingen zijn geconfigureerd, worden ze gedownload op draadloze Windows-clients die lid zijn van het domein. De draadloze instellingen die zijn geconfigureerd door dit beleid, maken deel uit van het groepsbeleid Computerconfiguratie. Beleid voor bekabelde netwerken (IEEE 802.3) is niet standaard geconfigureerd of ingeschakeld.
-
Netsh-opdrachten voor bekabelde LAN-netwerken (Local Area Network). De Netsh LAN-interface is een alternatief voor het gebruik van groepsbeleid in Windows Server 2008 om bekabelde Windows Vista-verbindingen en -beveilingsinstellingen te configureren. U kunt de Netsh LAN-opdrachtregel gebruiken om de lokale computer te configureren, of de opdrachten in aanmeldingsscripts om meerdere computers te configureren. U kunt de Netsh lan-opdrachten ook gebruiken om beleid voor bekabelde netwerken (IEEE 802.3) weer te geven en 1x-instellingen voor bekabelde clients te beheren.
Aanvullende bronnen
Als u meer informatie wilt over services voor netwerkbeleid en -toegang, opent u een van de volgende MMC-modules en drukt u op F1 om de Help weer te geven:
-
MMC-module NPS
-
MMC-module Routering en RAS
-
MMC-module HRA