Network Access Protection (NAP) omvat clientonderdelen en serveronderdelen waarmee u de vereiste software- en systeemconfiguraties kunt definiëren voor computers die verbinding maken met uw netwerk. Vereisten voor de beveiligingsstatus worden door NAP afgedwongen door de status van clientcomputers te inspecteren en te beoordelen, de toegang tot het netwerk te beperken wanneer clientcomputers als niet-compatibel worden beschouwd en niet-compatibele clientcomputers zo te herstellen dat ze onbeperkt toegang tot het netwerk kunnen krijgen. Door NAP worden vereisten voor de beveiligingsstatus afgedwongen op clientcomputers die proberen verbinding te maken met een netwerk. Bovendien zorgt NAP voor handhaving van de beveiligingsstatus terwijl een compatibele clientcomputer verbinding met een netwerk heeft.
Het afdwingen door NAP vindt plaats op het moment dat clientcomputers proberen toegang tot het netwerk te krijgen via netwerktoegangsservers, zoals een RRAS-server die VPN-services levert, of wanneer clients proberen te communiceren met andere netwerkbronnen.
De NAP-afdwinging voor VPN wordt geïmplementeerd met een serveronderdeel voor VPN-afdwinging en een clientonderdeel voor VPN-afdwinging. VPN-servers kunnen het statusbeleid afdwingen wanneer met clientcomputers verbinding wordt gemaakt met het netwerk via een VPN-verbinding. De VPN-afdwinging biedt sterk beperkte netwerktoegang voor alle computers die via een VPN-verbinding proberen toegang te krijgen tot het netwerk.
Opmerking | |
De VPN-afdwinging is niet hetzelfde als Network Access Quarantine Control, een functie in Windows Server 2003 en Internet Security and Acceleration (ISA) Server 2004. |
Voor meer informatie over NAP wordt u verwezen naar
NAP met VPN implementeren
U moet het volgende configureren om NAP met VPN te implementeren:
- Installeer en configureer RRAS als een VPN-server.
- Configureer VPN-servers in NPS (Network Policy Server) als RADIUS-clients. Daarnaast moet u ook een beleid voor verbindingsaanvragen, een netwerkbeleid en een NAP-statusbeleid configureren. U kunt de beleidsregels hiervoor afzonderlijk configureren via de NPS-console of u kunt de wizard Netwerktoegangsbeveiliging gebruiken.
- Schakel de NAP VPN-afdwingingsclient en de NAP-service in op clientcomputers die NAP kunnen gebruiken.
- Configureer de WSHV (Windows Security Health Validator) of installeer en configureer andere SHA's (System Health Agents) en SHV's (System Health Validators), afhankelijk van uw NAP-implementatie.
- Als u PEAP-TLS of EAP-TLS met smartcards of certificaten gebruikt, moet u een PKI (Public Key Infrastructure) met AD CS (Active Directory® Certificate Services) implementeren.
- Als u PEAP-MS-CHAP v2 gebruikt, moet u servercertificaten uitgeven met AD CS of servercertificaten aanschaffen bij een vertrouwde basiscertificeringsinstantie (CA).
RAS-beleid configureren
U moet NPS gebruiken om RAS-beleid te maken en te configureren. Voer de volgende stappen uit om het RAS-beleid in te stellen en gebruikers toegang te verlenen.
Lidmaatschap van de lokale groep Administrators , of daaraan gelijk, is minimaal vereist om deze procedure te voltooien.
Het RAS-beleid configureren |
Klik met de rechtermuisknop op RAS-logboekregistratie en -beleid en klik vervolgens op NPS starten.
Klik op Netwerkbeleid.
Dubbelklik op Verbindingen met Microsoft RAS-server.
Klik op het tabblad Overzicht onder Toegangsmachtiging op Toegang verlenen en klik vervolgens op OK.
Aanvullende naslaginformatie
- RRAS configureren
Netwerktoegangsbeveiliging (https://go.microsoft.com/fwlink/?linkid=137284). (Deze pagina is mogelijk Engelstalig.)Netwerkbeleidsserver (https://go.microsoft.com/fwlink/?linkid=137283). (Deze pagina is mogelijk Engelstalig.)