NAP-Erzwingung mit DHCP
NAP-Erzwingung
mit DHCP als Beispiele für den Netzwerkzugriffsschutz
Installieren Sie auf dem Server die Rolle
Netzwerkrichtlinienserver.
Dazu
starten Sie den Server-Manager, wählen Sie Rollen
> Rollen hinzufügen
Wählen Sie
Netzwerkrichtlinien- und Zugriffsdienste
> Weiter
Wählen Sie
Netzwerkrichtlinienserver > Weiter
Klicken
Sie auf Installieren
Klicken
Sie auf Schließen.
Wechseln
Sie zur Konsole DHCP Server.
Wenn noch
kein Bereich existiert erstellen Sie einen, konfigurieren Sie die
Bereichsoptionen nicht.
Öffnen Sie
die Konsole Netzwerkrichtlinienserver
Klicken
Sie Start > Verwaltung > Netzwerkrichtlinienserver
Klicken
Sie auf NAP konfigurieren
Wählen Sie
als Netzwerkverbindungsmethode DHCP
aus > Weiter
Klicken
Sie auf Weiter wenn der DHCP-Server auf
dem Server ausgeführt wird auf dem der Netzwerkrichtlinienserver installiert
ist, wenn der DHCP Server auf einem anderen Computer ausgeführt wird müssen Sie
den hier hinzufügen
Geben Sie
den DHCP Bereich an auf dem NAP aktiviert wird, wenn Sie keinen Bereich angeben
wird NAP auf allen Bereichen des DHCP-Server aktiviert > Weiter
Geben Sie
an auf welche Computergruppen Zugriff gewährt oder verweigert werden soll, bzw.
welchen Benutzergruppen der Zugriff erlaubt oder verboten werden soll > Weiter
Wenn
vorhanden fügen Sie einen Wartungsserver ein > Weiter
Definieren
Sie die Windows-Sicherheitsintegritätsrichtlinie > Weiter
Überprüfen
Sie die Einstellungen > Fertig stellen
Aktivieren
Sie NAP für den DHCP Server.
Aktivieren
Sie NAP für alle Bereiche.
Markieren
Sie in der DHCP Konsole IPv4, klicken Sie mit der rechten Maustaste > Eigenschaften
> Netzwerkzugriffsschutz, klicken
Sie auf Für alle Bereiche aktivieren
und konfigurieren Sie das Verhalten des NAP Servers
Vollzugriff – nur Überwachung, alle Clients erhalten
eine IP Adresse
Eingeschränkter Zugriff – NAP Erzwingung ist
aktiviert, inkompatible Clients erhalten eine IP Konfiguration die nur Zugriff
auf einen Wartungsserver zulässt
Clientpaket ablegen – inkompatible Clients
werden abgewiesen
Aktivieren
Sie NAP für den DHCP Bereich
Markieren
Sie in der DHCP Konsole den entsprechenden Bereich, klicken Sie mit der rechten Maustaste > Eigenschaften > Netzwerkzugriffsschutz, markieren Sie Für diesen Bereich aktivieren > OK
Das müssen
Sie für jeden Bereich einstellen für den NAP konfiguriert werden soll.
Die
Clientkonfiguration für NAP führen wir mit GPO durch. Dazu starten Sie die
Gruppenrichtlinienverwaltung
Start >
Verwaltung > Gruppenrichtlinienverwaltung
Wählen Sie
die Default Domain Policy der Domäne
aus, rechte Maustaste > Bearbeiten
Wählen Sie
den Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\NetworkAccessProtection\NAP-Clientkonfiguration,
wählen Sie DHCP-Quarantäneerzwingungsclient, Doppelklick auf den Client,
markieren Sie Diesen Erzwingungsclient
aktivieren > OK
Wählen Sie
den Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste,
Doppelklick auf NAP-Agent,
markieren Sie diese Richtlinie definieren,
wählen Sie den Startmodus automatisch >
OK
Wählen Sie
den Knoten Computerkonfiguration\Richtlinien\Administrative
Vorlagen\Windows-Komponenten\Sicherheitscenter\Sicherheitscenter aktivieren. Doppelklick
auf die Richtlinie > Aktivieren
> OK
Mit der
SHV kann bestimmt werden welchen Bedingungen der Client erfüllen muss, um eine
IP Adresse vom DHCP Server zu erhalten. Um Sie zu Konfigurieren starten Sie die
Konsole Netzwerkzugriffsschutz
Start >
Verwaltung > Netzwerkzugriffsschutz
Wählen Sie
Netzwerkzugriffsschutz > Systemintegritätsprüfung, Doppelklick
auf Windows-Systemintegritätsverifizierung
Klicken
Sie auf Konfigurieren
Wählen Sie
die gewünschten Prüfpunkte aus > OK
> OK
Als Test
wurde die Firewall deaktiviert.
Das
Windows-Sicherheitscenter meldet die Inkompatibilität der Computers und
versucht das Problem zu beheben.
(Das
Problem wurde schneller behoben als die Meldung über der Inkompatibilität eingeblendet
wurde.)
Die
Firewall wurde wieder aktiviert und das Sicherheitscenter meldet die
Kompatibilität.