Wymuszanie ochrony dostępu do sieci (NAP) dla funkcji kontroli dostępu opartej na portach 802.1X jest wdrażane za pomocą serwera zasad sieciowych (NPS) i składnika klienta wymuszania hosta protokołu EAP (Extensible Authentication Protocol). Za pomocą wymuszania opartego na portach 802.1X serwer NPS nakazuje przełącznikowi uwierzytelniającemu 802.1X lub zgodnemu ze standardem 802.1X punktowi dostępu bezprzewodowego, aby umieścił niezgodnych klientów 802.1X w sieci korygującej. Serwer NPS umożliwia klientowi dostęp tylko do sieci korygującej, stosując dla połączenia filtry IP lub identyfikator wirtualnej sieci LAN. Wymuszanie 802.1X zapewnia silne ograniczenia w sieci dla wszystkich komputerów łączących się z siecią przy użyciu serwerów dostępu do sieci obsługujących standard 802.1X.
Wymagania dla przewodowych sieci 802.1X
Aby wdrożyć ochronę dostępu do sieci dla sieci przewodowej 802.1X, skonfiguruj następujące ustawienia:
-
Na serwerze NPS skonfiguruj zasady żądań połączeń, zasady sieciowe i zasady kondycji ochrony dostępu do sieci. Te zasady można skonfigurować osobno, używając konsoli serwera NPS lub kreatora Nowe zasady ochrony dostępu do sieci.
-
Zainstaluj i skonfiguruj przełączniki uwierzytelniające 802.1X.
-
Włącz klienta wymuszania protokołu EAP ochrony dostępu do sieci i usługę ochrony dostępu do sieci na komputerach klienckich obsługujących ochronę dostępu do sieci.
-
Skonfiguruj moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) lub zainstaluj i skonfiguruj innych agentów kondycji systemu (SHA) oraz moduły sprawdzania kondycji systemu (SHV), zależnie od używanego wdrożenia ochrony dostępu do sieci.
-
Jeśli jest używany protokół PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) lub EAP-TLS z kartami inteligentnymi lub certyfikatami, wykonaj wdrożenie infrastruktury kluczy publicznych (PKI) za pomocą usług certyfikatów w usłudze Active Directory (AD CS, Active Directory® Certificate Services).
-
Jeśli jest używany protokół PEAP-MS-CHAP (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol) w wersji 2, wystaw certyfikaty serwera za pomocą usług AD CS lub zakup certyfikaty serwera od innego zaufanego głównego urzędu certyfikacji (CA).
Wymagania dla bezprzewodowych sieci 802.1X
Aby wdrożyć ochronę dostępu do sieci dla sieci bezprzewodowej 802.1X, skonfiguruj następujące ustawienia:
-
Na serwerze NPS skonfiguruj zasady żądań połączeń, zasady sieciowe i zasady kondycji ochrony dostępu do sieci. Te zasady można skonfigurować osobno, używając konsoli serwera NPS lub kreatora Nowe zasady ochrony dostępu do sieci.
-
Zainstaluj i skonfiguruj punkty dostępu do sieci bezprzewodowej 802.1X.
-
Włącz klienta wymuszania protokołu EAP ochrony dostępu do sieci i usługę ochrony dostępu do sieci na komputerach klienckich obsługujących ochronę dostępu do sieci.
-
Skonfiguruj moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) lub zainstaluj i skonfiguruj innych agentów kondycji systemu (SHA) oraz moduły sprawdzania kondycji systemu (SHV), zależnie od używanego wdrożenia ochrony dostępu do sieci.