NAP-afdwinging (Network Access Protection) voor IPSec-beleidsregels (Internet Protocol Security) voor Windows Firewall wordt geïmplementeerd met een statuscertificaatserver, een HRA-server (Health Registration Authority), een server waarop NPS ( Network Policy Server) wordt uitgevoerd en een IPSec Enforcement Client. De statuscertificaatserver verstrekt X.509-certificaten aan NAP-clients die compatibel willen zijn. Deze certificaten worden vervolgens gebruikt om NAP-clients te verifiëren als ze IPSec-communicatie starten met andere NAP-clients in een intranet.

IPSec-afdwinging beperkt de communicatie in het netwerk tot compatibele clients en biedt de sterkste implementatie van NAP. Omdat bij deze afdwingmethode IPSec wordt gebruikt, kunt u vereisten definiëren voor beveiligde communicatie op basis van het IP-adres of het TCP/UDP-poortnummer.

Vereisten

U moet het volgende configureren om NAP met IPSec en HRA te implementeren:

  • Configureer in NPS een beleid voor verbindingsaanvragen, een netwerkbeleid en een NAP-statusbeleid. U kunt de beleidsregels hiervoor afzonderlijk configureren via de NPS-console of u kunt de wizard Nieuwe netwerktoegangsbeveiliging gebruiken.

  • Schakel de NAP IPSec Enforcement Client en de NAP-service in op clientcomputers die NAP kunnen gebruiken.

  • Installeer HRA op de lokale computer of op een externe computer.

  • Installeer en configureer Active Directory® Certificate Services (AD CS) en certificaatsjablonen.

  • Configureer Groepsbeleid en eventuele andere instellingen die vereist zijn voor de implementatie.

  • Configureer de WSHV (Windows Security Health Validator) of installeer en configureer andere SHA's (System Health Agents) en SHV's (System Health Validators), afhankelijk van uw NAP-implementatie.

Als HRA niet op de lokale computer is geïnstalleerd, moet u ook het volgende configureren:

  • Installeer NPS op de computer waarop HRA wordt uitgevoerd.

  • Configureer NPS op de externe HRA NPS-server als een RADIUS-proxy (Remote Authentication Dial-In User Service) om verbindingsaanvragen door te sturen naar de lokale NPS-server.

Voor meer informatie over HRA opent u de HRA-console en drukt u op F1 om de Help-inhoud voor HRA weer te geven.

Inhoudsopgave