NAP-afdwinging (Network Access Protection) voor IPSec-beleidsregels (Internet Protocol Security) voor Windows Firewall wordt geïmplementeerd met een statuscertificaatserver, een HRA-server (Health Registration Authority), een server waarop NPS ( Network Policy Server) wordt uitgevoerd en een IPSec Enforcement Client. De statuscertificaatserver verstrekt X.509-certificaten aan NAP-clients die compatibel willen zijn. Deze certificaten worden vervolgens gebruikt om NAP-clients te verifiëren als ze IPSec-communicatie starten met andere NAP-clients in een intranet.
IPSec-afdwinging beperkt de communicatie in het netwerk tot compatibele clients en biedt de sterkste implementatie van NAP. Omdat bij deze afdwingmethode IPSec wordt gebruikt, kunt u vereisten definiëren voor beveiligde communicatie op basis van het IP-adres of het TCP/UDP-poortnummer.
Vereisten
U moet het volgende configureren om NAP met IPSec en HRA te implementeren:
-
Configureer in NPS een beleid voor verbindingsaanvragen, een netwerkbeleid en een NAP-statusbeleid. U kunt de beleidsregels hiervoor afzonderlijk configureren via de NPS-console of u kunt de wizard Nieuwe netwerktoegangsbeveiliging gebruiken.
-
Schakel de NAP IPSec Enforcement Client en de NAP-service in op clientcomputers die NAP kunnen gebruiken.
-
Installeer HRA op de lokale computer of op een externe computer.
-
Installeer en configureer Active Directory® Certificate Services (AD CS) en certificaatsjablonen.
-
Configureer Groepsbeleid en eventuele andere instellingen die vereist zijn voor de implementatie.
-
Configureer de WSHV (Windows Security Health Validator) of installeer en configureer andere SHA's (System Health Agents) en SHV's (System Health Validators), afhankelijk van uw NAP-implementatie.
Als HRA niet op de lokale computer is geïnstalleerd, moet u ook het volgende configureren:
-
Installeer NPS op de computer waarop HRA wordt uitgevoerd.
-
Configureer NPS op de externe HRA NPS-server als een RADIUS-proxy (Remote Authentication Dial-In User Service) om verbindingsaanvragen door te sturen naar de lokale NPS-server.
Voor meer informatie over HRA opent u de HRA-console en drukt u op F1 om de Help-inhoud voor HRA weer te geven.