Configurando NAP con DHCP

En este documento mostraremos como asignar direcciones IP con nuestros servidores
DHCP a equipos que nos interese, basandonos en ciertas condiciones como puede ser
pertenecer a un grupo del DA, si disponen de un antivirus instalado, si tienen el S.O.
actualizado… podremos indicar si nos interesa darle una dirección IP de nuestros ámbitos o
denegarle acceso a la red,

Lo primero será agregar la función de servidor “Servicios de acceso y directivas de redes”,

Seleccionaremos unicamente el servicio de rol “Servidor de directivas de redes” y
continuamos con el asistente de instalación.

Abrimos la consola de administración “Servidor de directivas de redes” y podremos
configurar manualmente o mediante un asistente las directivas de NAP. Dentro del servidor
NPS comenzaremos pulsando “Configurar NAP”,

En método de conexión de red seleccionaremos “Protocolo de configuración dinámica de
host (DHCP) y le insicamos un nombre de directiva, “Siguiente”,

No agregaremos clientes RAIUS, “Siguiente”,

Si nos interesa, podemos agregar manualmente los ámbitos DHCP de nuestros servidores
DHCP, en este caso aplicaremos la directiva a todos los ámbitos, “Siguiente”,

Podremos agregar un grupo de equipos que hayamos creado previamente para otorgar
unicamente direcciones IP a los miembros de ese grupo, podríamos utilizar directamente el
grupo “Equipos del dominio” para resitringir el acceso a una IP de nuestro servidor DHCP
sólo a los equipos de nuestro Directorio Activo, “Siguiente”,

Si tenemos servidores de actualizaciones podremos indicarlos aquí, “Siguiente”,

Marcamos un validador que aplicaremos a esta directiva, para requerir condiciones extra en
los equipos, como puede ser si disponen de Antivirus instalado, actualizado el equipo…
podremos además autocorregir dichas condiciones si no las cumplen en los equipos, e
indicaremos si queremos darles acceso si cumplen o no, “Siguiente”,

Confirmamos que todo es correcto & “Finalizar”,

Crearemos una GPO que aplicaremos a todos los equipos que nos interese, donde
iniciaremos el servicio “Agente de Proteccion de acceso a redes” de forma automática en
“Configuración del equipo” > “Directivas” > “Configuración de Windows” >
“Configuración de Seguridad” > “Servicios del sistema”

Y habilitamos el ‘Cliente de aplicación de cuarentena de DHCP’ en “Configuración del
equipo” > “Directivas” > “Configuración de Windows” > “Configuración de Seguridad” >
“Protección de acceso a redes” > “Configuración del cliente NAP” > “Clientes de
cumplimiento”.

Opcionalmente, podremos editar la configuración del validador de mantenimiento de
seguridad de Windows predeterminado o crear uno personalizado indicando si requerimos
en los clientes tener habilitado el firewall, antivirus, antispyware, actualizaciones de
Windows. Ademas de configurar en la directiva si queremos cumplir todas las condiciones
o unicamente algunas.

Y por último habilitaremos en nuestros rangos del servidor de DHCP la “Proteccion de
acceso a redes”! y con esto tendremos algo más segura nuestra red de clientes, donde sólo
accederan a una IP los equipos que cumplan todas las condiciones que nos interese!