Ochrona dostępu do sieci (NAP, Network Access Protection) obejmuje składniki klienta i serwera, które umożliwiają definiowanie wymaganego oprogramowania i konfiguracji systemu dla komputerów łączących się z daną siecią. Funkcja ta wymusza wymagania kondycji, sprawdzając i oceniając kondycję komputerów klienckich, ograniczając dostęp do sieci, gdy komputery klienckie są uznane za niezgodne z wymaganiami, oraz korygując niezgodne komputery klienckie w celu udzielenia im nieograniczonego dostęp do sieci. Funkcja ochrony dostępu do sieci wymusza wymagania dotyczące kondycji na komputerach klienckich, które próbują połączyć się z siecią. Zapewnia także ciągłe wymuszanie kondycji, gdy komputer kliencki jest połączony z siecią.
Wymuszanie funkcji ochrony dostępu do sieci występuje w momencie próby uzyskania przez klientów dostępu do sieci przez serwery dostępu do sieci, takie jak serwer usługi RRAS dostarczający usługi VPN, lub kiedy klienci podejmują próby komunikowania się z innymi zasobami sieciowymi.
Wymuszanie funkcji ochrony dostępu do sieci w przypadku sieci VPN jest wdrażane przy użyciu składnika serwera wymuszania sieci VPN i składnika klienta wymuszania sieci VPN. Serwery sieci VPN mogą wymusić zasady dotyczące kondycji, gdy komputery klienckie będą próbować połączyć się z siecią za pośrednictwem połączenia VPN. Wymuszanie sieci VPN zapewnia ściśle ograniczony dostęp do sieci wszystkim komputerom, które uzyskują dostęp do sieci przez połączenie VPN.
 | Uwaga |
Wymuszanie w sieci VPN różni się od usługi Kwarantannowa kontrola dostępu do sieci, która jest funkcją systemu Windows Server 2003 i programu Microsoft Internet Security and Acceleration Server 2004. |
Aby uzyskać więcej informacji na temat ochrony dostępu do sieci, zobacz
Wdrażanie ochrony dostępu do sieci z siecią VPN
Aby wdrożyć funkcje ochrony dostępu do sieci z siecią VPN, należy wykonać następujące czynności konfiguracyjne:
- Zainstaluj i skonfiguruj serwer RRAS jako serwer VPN.
- Na serwerze zasad sieciowych (NPS) skonfiguruj serwery sieci VPN jako klientów usługi RADIUS. Skonfiguruj także zasady żądań połączeń, zasady sieciowe i zasady dotyczące kondycji funkcji ochrony dostępu do sieci. Te zasady można skonfigurować niezależnie, używając konsoli serwera NPS lub kreatora Zasad ochrony dostępu do sieci.
- Włącz klienta wymuszania sieci VPN funkcji ochrony dostępu do sieci i usługę funkcji ochrony dostępu do sieci na komputerach klienckich z obsługą funkcji ochrony dostępu do sieci.
- Skonfiguruj moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV) lub zainstaluj i skonfiguruj innych agentów kondycji systemu (SHA) oraz moduły sprawdzania kondycji systemu (SHV), zależnie od używanego wdrożenia ochrony dostępu do sieci.
- Jeśli jest używany protokół PEAP-TLS lub EAP-TLS z kartami inteligentnymi lub certyfikatami, wykonaj wdrożenie infrastruktury kluczy publicznych (PKI) za pomocą usług certyfikatów w usłudze Active Directory (AD CS, Active Directory® Certificate Services).
- Jeśli jest używany protokół PEAP-MS-CHAP v2, wystaw certyfikaty serwera za pomocą usług AD CS lub zakup certyfikaty serwera od zaufanego głównego urzędu certyfikacji (CA).
Konfigurowanie zasad dostępu zdalnego
W celu utworzenia i skonfigurowania zasad dostępu zdalnego należy użyć serwera zasad sieciowych. Aby ustawić udzielanie dostępu użytkownikom w zasadach dostępu zdalnego, należy wykonać następujące czynności.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w lokalnej grupie Administratorzy lub równoważnej.
 | Aby skonfigurować zasady dostępu zdalnego |
Kliknij prawym przyciskiem myszy pozycję Rejestrowanie i zasady dostępu zdalnego, a następnie kliknij polecenie Uruchom serwer NPS.
Kliknij pozycję Zasady sieciowe.
Kliknij dwukrotnie pozycję Połączenia z serwerem usługi routingu i dostępu zdalnego firmy Microsoft.
Na karcie Ogólne w obszarze Uprawnienie dostępu kliknij opcję Udziel dostępu, a następnie kliknij przycisk OK.
Dodatkowe informacje
- Konfigurowanie usługi RRAS
Ochrona dostępu do sieci (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=137284)Serwer zasad sieciowych (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=137283)