Suchen

Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 5 System Health Validator für Network Access Protection konfigurieren

| Autor / Redakteur: Johann Baumeister / Stephan Augsten

Network Access Protection (NAP) ist das Microsoft-Quarantänesystem zur Absicherung von Rechnersystemen. Wie in den vorangegangen Artikeln dieser Serie besprochen, werden zur deren Umsetzung Softwarekomponenten auf der Server- und Clientseite benötigt. Serverseitig ist es der System Health Validator, mit dessen Einrichtung wir im Testszenario fortfahren.

Firma zum Thema

Damit Microsoft NAP effektiv arbeitet, können die System Health Validator granular konfiguriert werden.
Damit Microsoft NAP effektiv arbeitet, können die System Health Validator granular konfiguriert werden.
( Archiv: Vogel Business Media )

System Health Validator (SHV) legen die Anforderungen fest, die ein Client erfüllen muss, um Zugang zum Netz zu haben. Im Testszenario sollte dies die lokale Windows Firewall sein.

Öffnen Sie in der NPS-Verwaltungskonsole den Zweig „Network Policy and Access Services”, darin „Network Access Protection” und klicken Sie dann auf „System Health Validators“ (siehe Bild 1 der Bildergalerie).

Bildergalerie
Bildergalerie mit 5 Bildern

Anschließend klicken Sie in den Details unter Name den „Windows Security Health Validator” an. In den „Windows Security Health Validator Properties” betätigen Sie die Schaltfläche „Configure”.

Selektieren Sie auf der Seite „Windows Security Health Validator” die Option „A firewall is enabled for all network connections” und entfernen Sie alle weiteren Markierungen bei den Checkboxen. (Bild 2). Beenden Sie nun diesen Dialog mit „OK” schließen Sie auch den Dialog „Windows Security Health Validator Properties”.

Einrichten der DHCP-Adresszuweisungen am NPS

Der Network Policy Server übernimmt die DHCP-Zuweisung für die Clients. Die prinzipielle Einrichtung des DHCP-Dienstes erfolgte bereits in einem früheren Teil diese Reihe, bei der Konfiguration von DHCP.

Um den DHCP-Scope für den NPS einzurichten, gehen Sie wie folgt vor:

Starten Sie die DHCP-Konsole durch den Aufruf von „dhcpmgmt.msc” oder im Menübaum unter den Administrationstools. Richten Sie nun den Scope für die NAP-Konfiguration ein. Dazu selektieren Sie in der DHCP-Konsole (Administrative Tools, DHCP) die eingerichtet Domäne und anschließend die Eigenschaften für das ProtokollIPv4.

Lassen Sie die Eigenschaften anzeigen. Unter den Settings auf der Seite der „Network Access Protection“ selektieren Sie die Option „Enable for this scope” und außerdem „Use default Network Access Protection profile”.

Einrichten der DHCP-Adresszuweisungen

Hierzu ist im nächsten Schritt die Default User Class für die Adresszuweisungen einzurichten. Diese wird benötigt, wenn ein compliant Client Zugang zum Netzwerk haben soll. Die Einrichtung der User Class ist analog zu den Vorgaben der Adresszuweisungen vorzunehmen.

Anschließend muss die Default NAP Class eingerichtet werden. Dies passiert ebenso in der DHCP-Verwaltungskonsole. Die Default NAP Class wird verwendet, wenn ein noncompliant Rechner Zutritt zum Netz haben möchte und eine IP-Adresse vom DHCP-Server zugewiesen erhält.

Seite 2: NAP-Client konfigurieren

(ID:2018566)