Einrichten und konfigurieren

Praxis: Netzwerkzugriffsschutz (NAP) in Windows-Umgebungen

Erste Schritte mit NAP

Die Client-seitige Konfiguration von NAP führen Sie am besten über Gruppenrichtlinien durch. Die Einstellungen hierfür finden Sie in der Gruppenrichtlinienverwaltung unter Computerkonfiguration//(Richtlinien)/Windows-Einstellungen/Sicherheitseinstellungen/Netzwerkzugriffschutz.

Regelgerecht: Die Konfiguration der NAP-Clients führen Sie über Gruppenrichtlinien durch.
Regelgerecht: Die Konfiguration der NAP-Clients führen Sie über Gruppenrichtlinien durch.

Über diese Einstellungen können Sie das Verhalten der Client-Computer konfigurieren. Hier können Sie zum Beispiel die einzelnen Clients für NAP für die einzelnen Funktionen aktivieren oder deaktivieren.

Die Servereinstellungen von NAP führen Sie über den Servermanager durch. Sie finden die Konfiguration des Netzwerkrichtlinienservers über Rollen/Netzwerkrichtlinien- und Zugriffsdienste. Die Verwaltung baut zunächst auf die Sicherheitsintegritätsprüfung auf. Diese ruft von den Clients das Statement of Health (SoH) ab. Diese Einstellungen finden Sie in der Verwaltungskonsole über NPS/Netzwerkzugriffsschutz/Systemintegritätsprüfungen/Windows-Sicherheitsintegritätsverifizierung.

Einstellungsfrage: Hier können Sie den Netzwerkzugriffsschutz konfigurieren.
Einstellungsfrage: Hier können Sie den Netzwerkzugriffsschutz konfigurieren.

Rufen Sie in der Mitte diese Eigenschaften der Verifizierungsmethode auf, zum Beispiel von der standardmäßigen vorhandenen Windows-Sicherheitsintegritätsverifizierung. Hier können Sie über die Schaltfläche Konfigurieren die Einstellungen festlegen, die die Clients erfüllen müssen, um mit NAP in Ihrem Netzwerk konform zu sein. Diese Systemintegritätsprüfungen bezeichnet Microsoft auch als Security Health Agents (SHA).

Über den Konsoleneintrag NPS/Richtlinien/Integritätsrichtlinien legen Sie Richtlinien fest, auf deren Basis bestimmt wird, was mit Clients passieren soll, die die Sicherheitsverifizierung bestehen oder nicht.

Aufbauarbeit: Auf Basis der Integritätsrichtlinie können Sie die Netzwerkrichtlinie konfigurieren.
Aufbauarbeit: Auf Basis der Integritätsrichtlinie können Sie die Netzwerkrichtlinie konfigurieren.

Nachdem Sie die Einstellungen in der jeweiligen Systemintegritätsprüfung definiert haben, die ein Computer erfolgreich übermitteln muss, legen Sie eine Integritätsrichtlinie fest, die entscheidet, auf welcher Systemintegritätsüberprüfung festgemacht wird, ob ein Client konform oder nicht konform ist. Clients werden also einer dieser Richtlinien zugewiesen.

Als Nächstes erstellen Sie eine Netzwerkrichtlinie, die auf der Integritätsrichtlinie basiert. In ihr steuern Sie schließlich, was mit den konformen, beziehungsweise nicht konformen, Clients passieren soll.