Mechanizm ochrony sieci Network Access Protection w Windows Server 2008 wzbudził spore zainteresowanie oraz wywołał ogromną ilość pytań. Większość z nich dotyczy konfiguracji klienta oraz sposobów ułatwienia pracy z tym mechanizmem.

Jako, że jestem zwolennikiem ułatwiania sobie pracy przygotowałem listę zawierającą ścieżki istotnych ustawień w GPO przydatnych w konfiguracji NAP.

Do poprawnego działania Network Access Protection wymaga by w systemie klienckim włączone zostało Centrum zabezpieczeń:

Computer Configuration\Administrative Templates\Windows Components\Security Center
Opcja: Turn On Security Center (Domain PCs Orly)
Ustawienie Enabled

Aby system kliencki mógł poprawnie komunikować się z serwerami architektury NAP należy włączyć (skonfigurować automatyczny start usługi) usługę Agenta stacji klienckiej:

Computer Configuration\Policies\Windows Settings\Security Settings\System Services\
Opcja: Network Access Protection Agent
Ustawienie Automatic

Konfiguracja ustawień Klienta NAP w celu konfiguracji rodzaju wymuszenia, interfejsu, HRA:

Określenie rodzaju stosowanego wymuszenia

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \Enforcement Clients\
Ustawienie: Enabled this enforcement client
Uwagi: konfiguracji należy dokonać dla każdego, używanego rodzaju wymuszenia

Konfiguracja interfejsu użytkownika

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \User Interface Settings\
Ustawienie: Title, Description Image
Uwagi: należy zdefiniować poszczególne elementy interfejsu użytkownika

Definiowanie ustawień kryptograficznych

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \Health Registration Settings\Request Policy\
Ustawienie: Hash Algorithm, Cryptographic Service Provider
Uwagi: należy wybrać algorytm oraz dostawce usług kryptograficznych, których użyje klient do komunikacji z HRA (Health Registration Authority)

Tworzenie grup zaufanych serwerów HRA

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \Health Registration Settings\Trusted Server Group\
Ustawienie: Group Name, Server
Uwagi: należy określić zaufaną grupę (grupy) serwerów – konfiguracja z użyciem kreatoraścieżki do serwera należy definiować w następujący sposób:
https://nazwa_serwera.domena/domainhra/hcsrvext.dll
https://nazwa_serwera.domena/nondomainhra/hcsrvext.dll