Wymuszanie funkcji ochrony dostępu do sieci (NAP, Network Access Protection) w przypadku zasad zabezpieczeń protokołu internetowego (IPSec, Internet Protocol security) dla Zapory systemu Windows jest wdrażane za pomocą serwera certyfikatów kondycji, serwera urzędu rejestrowania kondycji (HRA, Health Registration Authority), serwera zasad sieciowych (NPS) oraz klienta wymuszania zasad IPSec. Serwer certyfikatów kondycji wystawia certyfikaty X.509 klientom NAP, gdy zostaną oni uznani za zgodnych. Te certyfikaty są następnie używane do uwierzytelniania klientów ochrony dostępu do sieci, gdy inicjują oni połączenia IPSec z innymi klientami ochrony dostępu do sieci w intranecie.
Wymuszanie zasad IPSec powoduje ograniczenie komunikacji w sieci tylko do zgodnych klientów i zapewnia najsilniejszą implementację funkcji NAP. Ponieważ ta metoda wymuszania używa protokołu IPSec, można zdefiniować wymagania bezpiecznej komunikacji na podstawie adresu IP lub numeru portu TCP/UDP.
Wymagania
Aby wdrożyć ochronę dostępu do sieci z protokołem IPSec i urzędem rejestrowania kondycji, należy skonfigurować następujące ustawienia:
-
Na serwerze NPS skonfiguruj zasady żądań połączeń, zasady sieciowe i zasady kondycji ochrony dostępu do sieci. Te zasady można skonfigurować osobno, używając konsoli serwera NPS lub kreatora Nowe zasady ochrony dostępu do sieci.
-
Włącz klienta wymuszania protokołu IPSec ochrony dostępu do sieci i usługę ochrony dostępu do sieci na komputerach klienckich obsługujących ochronę dostępu do sieci.
-
Zainstaluj urząd rejestrowania kondycji na komputerze lokalnym lub komputerze zdalnym.
-
Zainstaluj i skonfiguruj usługi certyfikatów w usłudze Active Directory® (AD CS) oraz szablony certyfikatów.
-
Skonfiguruj zasady grupy i wszelkie pozostałe ustawienia wymagane dla wdrożenia.
-
Skonfiguruj moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) lub zainstaluj i skonfiguruj innych agentów kondycji systemu (SHA) oraz moduły sprawdzania kondycji systemu (SHV), zależnie od używanego wdrożenia ochrony dostępu do sieci.
Jeśli na komputerze lokalnym nie jest zainstalowany urząd rejestrowania kondycji, należy także skonfigurować następujące ustawienia:
-
Zainstaluj serwer NPS na komputerze z uruchomionym urzędem rejestrowania kondycji.
-
Skonfiguruj serwer NPS na zdalnym serwerze NPS urzędu rejestrowania kondycji jako serwer proxy usługi RADIUS (Remote Authentication Dial-In User Service) w celu umożliwienia przesyłania dalej żądań połączenia do lokalnego serwera NPS.
Aby uzyskać więcej informacji na temat urzędu rejestrowania kondycji, należy otworzyć konsolę urzędu rejestrowania kondycji i nacisnąć klawisz F1 w celu uzyskania dostępu do spisu treści Pomocy tego urzędu.