Anwendung mit DHCP
Dies ist der erste Fall, bei dem bei der Konfiguration dieser NAP- Anwendung festgestellt wird, dass Clients erst dann eine IP-Adresse für den Zugriff auf das Netzwerk erhalten, wenn sie die im NAP konfigurierten Integritätsrichtlinien eingehalten haben. Wenn der Client diese Anforderungen nicht erfüllt, können wir die konfigurieren Anwendung, damit ihr eine IP-Adresse zugewiesen werden kann, damit sie auf ein isoliertes Netzwerk zugreifen können, das unser Hauptnetzwerk nicht gefährdet.
Jedes Mal, wenn der Client versucht, eine Verbindung zu unserem Netzwerk herzustellen, wird seine Integritätsrichtlinie ausgewertet. Dies bedeutet, dass der NAP die entsprechenden Überprüfungen durchführt, wenn er versucht, eine Verbindung herzustellen oder die IP-Adresse zu erneuern. Es ist wichtig zu beachten, dass diese Anwendung nur in einer Umgebung funktioniert, die IPv4 verwendet . Dies bedeutet, dass IPv6 nicht verfügbar ist.
Stellen Sie die DHCP-Anwendung bereit
Um diese Anwendung bereitzustellen, müssen wir die folgenden Schritte ausführen:
- Erstellen Sie eine Verbindungsanforderungsrichtlinie und eine Netzwerkrichtlinie auf dem Server, auf dem eine NPS- Rolle installiert ist. Dies kann mit dem NAP- Konfigurationsassistenten durchgeführt werden, der DHCP als Verbindungsmethode auswählt.
- Konfigurieren Sie die Gruppenrichtlinie so, dass die NAP-DHCP- Anwendung und der NAP- Dienst auf den Computern zugelassen werden, die NAP- Clients sein sollen. Hierzu verwenden wir den DHCP-Quarantäne-Durchsetzungsclient , der im Pfad Computerkonfiguration Richtlinien Windows-Einstellungen Sicherheitseinstellungen Netzwerkzugriffsschutz NAP-Clientkonfiguration Durchsetzungsclients des Clientknotens verfügbar ist.
- Wir aktivieren NAP für einzelne DHCP- Bereiche oder für alle auf dem DHCP- Server konfigurierten Bereiche. Um die DHCP- Serverebene zu konfigurieren, können wir zur Registerkarte IPv4 auf der Registerkarte Netzwerkzugriffsschutz wechseln. Bei der Konfiguration des DHCP-Servers mit NAP müssen wir festlegen, was passieren soll, wenn Sie den Server mit der NPS-Rolle nicht erreichen können. Mit diesen Optionen können Sie den normalen Zugriff zulassen, Clients den Zugriff auf ein eingeschränktes Netzwerk gewähren oder die Clientanforderung ignorieren.
- Schließlich müssen wir sicherstellen, dass der Windows Security Health Validator (WSHV) konfiguriert ist. Dies ist nichts anderes als ein Tool, mit dem wir den Zustand des Clients überprüfen können , der Verbindungsanforderungen stellt, oder System Health Agents (SHAs) und System Health Validators (System Health Validators ) konfigurieren können. SHVs) .
Das ist alles in diesem Tutorial, da wir gesehen haben, dass wir über sehr effiziente Tools verfügen, um den Zugriff mithilfe dynamischer IP-Adressen einzuschränken und zu konditionieren. Dies hilft uns dabei, dass wir keine Adressen manuell einrichten müssen und mehrere Szenarien für Bereiche konfigurieren können, in denen mehrere vorhanden sind Kunden