Praxis-Workshop: Windows-Firewall mit IPsec konfigurieren

Clients für die IPsec-Kommunikation konfigurieren

Die Clients im Netzwerk konfigurieren Sie so, dass die Kommunikation IPsec- und NAP-geschützt stattfinden kann.

Die Verwaltung von IPsec und des Netzwerkzugriffsschutzes baut auf der Sicherheitsintegritätsprüfung, in diesem Fall der Windows-Sicherheitsintegritätsverifizierung, auf. Diese ruft von den Clients das Statement of Health (SoH) ab.

Diese Einstellungen finden Sie in der Verwaltungskonsole über NPS/Netzwerkzugriffsschutz/Systemintegritätsprüfungen. Solche Systemintegritätsprüfungen bezeichnet Microsoft auch als Security Health Agents (SHA). Der SHA ist in Windows Vista und Windows 7 durch den Windows Security Health Validator (SHV) verbunden. Hauptsächlich überprüfen diese SHAs den Zustand des Windows-Sicherheitscenters in Windows Vista und des Wartungscenters in Windows 7. Damit die Windows-Sicherheitsintegritätsverifizierung unter Windows Server 2008 R2 Daten empfangen kann, muss in Windows Vista das Sicherheitscenter aktiviert sein, bei Windows 7 ist das automatisch der Fall. Das Sicherheitscenter fragt die entsprechenden Daten auf dem Computer ab und sendet diese zum NPS-Server.

Die nächste Aufgabe, die Sie durchführen müssen, ist die Aktivierung der NAP-Unterstützung auf dem Client:

1. Starten Sie dazu auf dem Computer über napclcfg.msc die Verwaltungskonsole des NAP-Clients.

2. Klicken Sie auf den Konsoleneintrag Erzwingungsclients.

3. Aktivieren Sie Vertrauende Seite von IPsec.

Alternativ können Sie Erzwingungs-Clients für den Netzwerkzugriffsschutz auch über Gruppenrichtlinien aktivieren. Diese Einstellung finden Sie unter Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Netzwerkzugriffschutz/NAP-Clientkonfiguration/Erzwingungsclients.