Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 5

System Health Validator für Network Access Protection konfigurieren

19.12.2008 | Autor / Redakteur: Johann Baumeister / Stephan Augsten

Damit Microsoft NAP effektiv arbeitet, können die System Health Validator granular konfiguriert werden.
Damit Microsoft NAP effektiv arbeitet, können die System Health Validator granular konfiguriert werden.

Network Access Protection (NAP) ist das Microsoft-Quarantänesystem zur Absicherung von Rechnersystemen. Wie in den vorangegangen Artikeln dieser Serie besprochen, werden zur deren Umsetzung Softwarekomponenten auf der Server- und Clientseite benötigt. Serverseitig ist es der System Health Validator, mit dessen Einrichtung wir im Testszenario fortfahren.

System Health Validator (SHV) legen die Anforderungen fest, die ein Client erfüllen muss, um Zugang zum Netz zu haben. Im Testszenario sollte dies die lokale Windows Firewall sein.

Öffnen Sie in der NPS-Verwaltungskonsole den Zweig „Network Policy and Access Services”, darin „Network Access Protection” und klicken Sie dann auf „System Health Validators“ (siehe Bild 1 der Bildergalerie).

Anschließend klicken Sie in den Details unter Name den „Windows Security Health Validator” an. In den „Windows Security Health Validator Properties” betätigen Sie die Schaltfläche „Configure”.

Selektieren Sie auf der Seite „Windows Security Health Validator” die Option „A firewall is enabled for all network connections” und entfernen Sie alle weiteren Markierungen bei den Checkboxen. (Bild 2). Beenden Sie nun diesen Dialog mit „OK” schließen Sie auch den Dialog „Windows Security Health Validator Properties”.

Einrichten der DHCP-Adresszuweisungen am NPS

Der Network Policy Server übernimmt die DHCP-Zuweisung für die Clients. Die prinzipielle Einrichtung des DHCP-Dienstes erfolgte bereits in einem früheren Teil diese Reihe, bei der Konfiguration von DHCP.

Um den DHCP-Scope für den NPS einzurichten, gehen Sie wie folgt vor:

Starten Sie die DHCP-Konsole durch den Aufruf von „dhcpmgmt.msc” oder im Menübaum unter den Administrationstools. Richten Sie nun den Scope für die NAP-Konfiguration ein. Dazu selektieren Sie in der DHCP-Konsole (Administrative Tools, DHCP) die eingerichtet Domäne und anschließend die Eigenschaften für das Protokoll IPv4.

Lassen Sie die Eigenschaften anzeigen. Unter den Settings auf der Seite der „Network Access Protection“ selektieren Sie die Option „Enable for this scope” und außerdem „Use default Network Access Protection profile”.

Einrichten der DHCP-Adresszuweisungen

Hierzu ist im nächsten Schritt die Default User Class für die Adresszuweisungen einzurichten. Diese wird benötigt, wenn ein compliant Client Zugang zum Netzwerk haben soll. Die Einrichtung der User Class ist analog zu den Vorgaben der Adresszuweisungen vorzunehmen.

Anschließend muss die Default NAP Class eingerichtet werden. Dies passiert ebenso in der DHCP-Verwaltungskonsole. Die Default NAP Class wird verwendet, wenn ein noncompliant Rechner Zutritt zum Netz haben möchte und eine IP-Adresse vom DHCP-Server zugewiesen erhält.

Seite 2: NAP-Client konfigurieren

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2018566 / Zugangs- und Zutrittskontrolle)