Server dei criteri di rete è il server centrale utilizzato con tutti i metodi di imposizione di Protezione accesso alla rete per valutare le richieste di accesso dei client di Protezione accesso alla rete. I requisiti di integrità della rete vengono definiti in Server dei criteri di rete mediante criteri che consentono o limitano l'accesso dei computer client di Protezione accesso alla rete in base al loro stato di integrità. Un server che esegue Server dei criteri di rete e che ospita questi criteri di Protezione accesso alla rete viene denominato server dei criteri di integrità di Protezione accesso alla rete. A seconda della distribuzione in uso, nella rete potrebbe essere presente uno o più server criteri di integrità Protezione accesso alla rete. I client RADIUS, i criteri di richiesta di connessione, i criteri di rete, i criteri di integrità e le istanze di Convalida integrità sistema vengono utilizzati da un server criteri di integrità Protezione accesso alla rete per definire e imporre i requisiti di integrità della rete.

Quando si installa l'Autorità registrazione integrità, Server dei criteri di rete viene automaticamente installato nello stesso computer. Se sono state distribuite più Autorità registrazione integrità e si preferisce centralizzare la valutazione dei criteri definendo i criteri di integrità di Protezione accesso alla rete in un altro computer, è necessario configurare il server locale che esegue Server dei criteri di rete come proxy RADIUS. Quando si utilizza Server dei criteri di rete come proxy RADIUS, il criterio di richiesta di connessione viene configurato per indicare al server locale che esegue Server dei criteri di rete di inoltrare le richieste di accesso alla rete a gruppi di server RADIUS remoti per la valutazione.

Per ulteriori informazioni su Server dei criteri di rete, vedere https://go.microsoft.com/fwlink/?LinkId=94389.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni sull'utilizzo degli account appropriati e sull'appartenenza a gruppi, vedere https://go.microsoft.com/fwlink/?LinkId=83477.

Verificare la configurazione del server dei criteri di integrità di Protezione accesso alla rete

Eseguire le procedure seguenti per verificare la configurazione del server locale che esegue Server dei criteri di rete come server criteri di integrità Protezione accesso alla rete. Se il server Autorità registrazione integrità locale è configurato come proxy RADIUS, vedere Verificare la configurazione del proxy Server dei criteri di rete.

Client RADIUS

Se sono stati configurati server Autorità registrazione integrità remoti come proxy RADIUS per inoltrare le richieste di connessione al server locale che esegue Server dei criteri di rete per la valutazione, in tale server locale deve essere presente una voce di client RADIUS corrispondente per ogni server Autorità registrazione integrità remoto. Per Protezione accesso alla rete con imposizione IPsec non sono necessari client RADIUS se tutti i server Autorità registrazione integrità sono anche server dei criteri di integrità di Protezione accesso alla rete. Se si utilizzano server Autorità registrazione integrità con Server dei criteri di rete configurato come proxy RADIUS, eseguire la procedura seguente per verificare che i client RADIUS siano configurati correttamente nel server locale che esegue Server dei criteri di rete in modo che questo possa elaborare le richieste di connessione client ricevute da server Autorità registrazione integrità remoti.

Per verificare i client RADIUS
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare nps.msc e quindi premere INVIO.

  2. Nell'albero della console Server dei criteri di rete fare doppio clic su Client e server RADIUS e quindi fare clic su Client RADIUS.

  3. Nel riquadro dei dettagli fare doppio clic sul nome descrittivo di un client RADIUS corrispondente a un server Autorità registrazione integrità in cui Server dei criteri di rete è installato e configurato come proxy RADIUS. Se non è presente alcuna voce di client RADIUS, eseguire la procedura seguente per creare un nuovo client RADIUS. Questa procedura deve essere eseguita solo se sono stati configurati server Autorità registrazione integrità remoti per l'inoltro delle richieste di connessione al server locale che esegue Server dei criteri di rete.

    1. Fare clic con il pulsante destro del mouse su Client RADIUS e quindi scegliere Nuovo.

    2. In Nome descrittivo immettere un nome per il client RADIUS, ad esempio HRA-1.

    3. In Indirizzo (IP o DNS) digitare l'indirizzo IP o il nome DNS del server Autorità registrazione integrità remoto, fare clic su Verifica e quindi su Risolvi.

    4. Verificare che l'indirizzo IP visualizzato corrisponda al server Autorità registrazione integrità remoto corretto e quindi fare clic su OK.

    5. In Segreto condiviso e Conferma segreto condiviso immettere il segreto configurato nelle impostazioni del gruppo di server RADIUS remoto nel server Autorità registrazione integrità remoto.

    6. Se nel server Autorità registrazione integrità remoto è attivato l'attributo autenticatore del messaggio nelle impostazioni di configurazione del gruppo di server RADIUS remoto, selezionare la casella di controllo I messaggi di richiesta di accesso devono contenere l'attributo autenticatore del messaggio. Se questa opzione non è attivata nell'Autorità registrazione integrità remota, verificare che questa casella di controllo sia deselezionata.

    7. Selezionare la casella di controllo Il client RADIUS è idoneo per Protezione accesso alla rete e quindi fare clic su OK.

    8. Continuare con l'esecuzione della procedura corrente per convalidare la configurazione del nuovo client RADIUS.

  4. Nella finestra Proprietà verificare che la casella di controllo Attiva questo client RADIUS sia selezionata.

  5. Verificare che la casella di controllo Il client RADIUS è idoneo per Protezione accesso alla rete sia selezionata.

  6. Se il server Autorità registrazione integrità remoto è configurato per richiedere che le richieste di accesso contengano l'attributo autenticatore del messaggio, verificare che la casella di controllo I messaggi di richiesta di accesso devono contenere l'attributo autenticatore del messaggio sia selezionata. In caso contrario, verificare che la casella di controllo sia deselezionata.

  7. Accanto a Nome fornitore verificare che RADIUS standard sia selezionato.

  8. In Indirizzo (IP o DNS) verificare che il nome DNS o l'indirizzo IP disponibile corrisponda al server Autorità registrazione integrità remoto corretto e quindi fare clic su Verifica.

  9. Nella finestra di dialogo Verifica client fare clic su Risolvi.

  10. In Indirizzo IP verificare che l'indirizzo IP disponibile corrisponda a un server Autorità registrazione integrità configurato per l'inoltro delle richieste al server locale che esegue Server dei criteri di rete e che quest'ultimo disponga di connettività di rete a questo indirizzo IP.

  11. Fare clic su OK. Se si ritiene che ci sia mancata corrispondenza del segreto condiviso, digitare il segreto accanto a Segreto condiviso e Conferma segreto condiviso e quindi fare clic su OK.

  12. Ripetere questa procedura per ogni server Autorità registrazione integrità della rete configurato per l'inoltro delle richieste di connessione al server locale che esegue Server dei criteri di rete per l'elaborazione.

Criteri di richiesta di connessione

I criteri di richiesta di connessione sono impostazioni e condizioni che convalidano le richieste di accesso alla rete e determinano la posizione in cui viene eseguita la convalida. Eseguire la procedura seguente per verificare che il criterio di richiesta di connessione nel server locale che esegue Server dei criteri di rete sia configurato per l'imposizione IPsec di Protezione accesso alla rete.

Per verificare i criteri di richiesta di connessione
  1. Nell'albero della console Server dei criteri di rete fare doppio clic su Criteri e quindi fare clic su Criteri di richiesta di connessione.

  2. Nel riquadro dei dettagli fare doppio sul criterio di richiesta di connessione utilizzato per l'autenticazione delle richieste di accesso alla rete in ingresso da client di Protezione accesso alla rete con protezione IPsec. Se questo criterio non è disponibile, eseguire la procedura seguente per creare un criterio di richiesta di connessione.

    1. Fare clic con il pulsante destro del mouse su Criteri di richiesta di connessione e quindi scegliere Nuovo.

    2. In Nome criterio immettere un nome per il criterio di richiesta di connessione, ad esempio IPsec di Protezione accesso alla rete con Autorità registrazione integrità.

    3. In Tipo di server di accesso alla rete selezionare Autorità registrazione integrità e quindi fare clic su Avanti.

    4. Per il criterio di richiesta di connessione è necessario specificare almeno una condizione. Per aggiungere una connessione che non nega alcuna richiesta di accesso in ingresso, nella pagina Specifica condizioni fare clic su Aggiungi.

    5. Nella finestra Selezione condizione fare clic su Restrizioni data/ora e quindi su Aggiungi.

    6. Nella finestra Limitazioni ora del giorno selezionare Consentito. Verificare che tutti i giorni e tutte le ore siano consentiti, fare clic su OK e quindi su Avanti.

    7. Se il server locale che esegue Server dei criteri di rete è un server criteri di integrità Protezione accesso alla rete, verificare che Autentica le richieste su questo server sia selezionato, fare tre volte clic su Avanti e quindi fare clic su Fine. Se il server locale che esegue Server dei criteri di rete inoltra le richieste a un altro server per la valutazione, vedere Verificare la configurazione del proxy Server dei criteri di rete.

  3. Nella scheda Panoramica verificare che sia selezionata la casella di controllo Criterio attivato.

  4. Nella scheda Panoramica verificare che l'impostazione di Tipo di server di accesso alla rete sia Autorità registrazione integrità o Non specificato. Per ulteriori informazioni sulla definizione di un tipo di server di accesso, vedere "Ulteriori considerazioni" più avanti in questo argomento.

  5. Fare clic sulla scheda Condizioni e verificare che tutte le condizioni configurate siano soddisfatte sia dai client di Protezione accesso alla rete conformi sia da quelli non conformi. Restrizioni data/ora può ad esempio essere configurato per consentire l'accesso alla rete solo in determinati giorni a orari specifici.

  6. Fare clic sulla scheda Impostazioni. In Metodi di autenticazione necessari fare clic su Metodi di autenticazione e verificare che la casella di controllo Ignora impostazioni di autenticazione del criterio di rete sia deselezionata.

  7. In Inoltro richiesta di connessione fare clic su Autenticazione.

  8. Per attivare il server locale che esegue Server dei criteri di rete come server criteri di integrità Protezione accesso alla rete, verificare che Autentica le richieste su questo server sia selezionato.

  9. Fare clic su OK per chiudere la pagina delle proprietà.

Criteri di rete

I criteri di rete utilizzano condizioni, impostazioni e vincoli per determinare chi può connettersi alla rete. Per valutare lo stato di integrità dei client di Protezione accesso alla rete, è necessario che almeno un criterio di rete venga applicato ai computer conformi con i requisiti di integrità e che almeno un criterio di rete venga applicato ai computer non conformi. Eseguire la procedura seguente per verificare che tali criteri siano stati creati e configurati per l'imposizione IPsec di Protezione accesso alla rete.

Per verificare i criteri di rete
  1. Nell'albero della console Server dei criteri di rete fare doppio clic su Criteri e quindi fare clic su Criteri di rete.

  2. Nel riquadro dei dettagli verificare di disporre di almeno un criterio per i computer conformi e di almeno un criterio per i computer non conformi e che l'impostazione per Stato di tali criteri sia Attivato. Per attivare un criterio, fare clic con il pulsante destro del mouse sul nome del criterio e quindi scegliere Attiva. Se questi criteri non sono disponibili, eseguire la procedura seguente per creare un criterio di rete.

    1. Fare clic con il pulsante destro del mouse su Criteri di rete e quindi scegliere Nuovo.

    2. In Nome criterio digitare un nome per i criteri di rete, ad esempio IPsec di Protezione accesso alla rete con Autorità registrazione integrità conforme o IPsec di Protezione accesso alla rete con Autorità registrazione integrità non conforme.

    3. In Tipo di server di accesso alla rete selezionare Autorità registrazione integrità e quindi fare clic su Avanti.

    4. Nella pagina Specifica condizioni fare clic su Aggiungi.

    5. In Selezione condizione fare clic su Criteri di integrità e quindi su Aggiungi.

    6. Se questo criterio di rete viene applicato a computer client conformi, in Criteri di integrità selezionare un criterio di integrità configurato per soddisfare uno stato di integrità di client conforme e quindi fare clic su OK.

    7. Se questo criterio di rete viene applicato a computer client non conformi, in Criteri di integrità selezionare un criterio di integrità configurato per soddisfare uno stato di integrità di client non conforme e quindi fare clic su OK.

    8. Fare clic su Avanti, selezionare Accesso concesso e quindi fare clic su Avanti.

    9. Nella pagina Configurazione metodi di autenticazione selezionare la casella di controllo Esegui solo controllo di integrità del computer e quindi fare due volte clic su Avanti.

    10. Nella pagina Configurazione impostazioni fare clic su Imposizione Protezione accesso alla rete.

    11. Selezionare una modalità di imposizione per questo criterio. Per ulteriori informazioni, vedere Modalità di imposizione Protezione accesso alla rete più avanti in questo argomento.

    12. Per attivare il monitoraggio e l'aggiornamento automatici dei client non conformi, selezionare la casella di controllo Consenti monitoraggio e aggiornamento automatici dei computer client. Se non si desidera attivare il monitoraggio e l'aggiornamento automatici, deselezionare questa casella di controllo.

    13. Fare clic su Avanti e quindi su Fine.

    14. Continuare con l'esecuzione della procedura corrente per convalidare la configurazione del nuovo criterio di rete.

  3. Nel riquadro dei dettagli verificare che Ordine di elaborazione per i criteri sia configurato correttamente per la distribuzione in uso. I criteri più specifici vengono elaborati prima dei criteri più generali. Per modificare l'ordine dei criteri, fare clic con il pulsante destro del mouse sul nome del criterio e quindi scegliere Sposta su o Sposta giù.

  4. Nel riquadro dei dettagli verificare che siano configurati criteri Protezione accesso alla rete per computer conformi e non conformi con Tipo accesso impostato su Concedi accesso. Per configurare le autorizzazioni di accesso, fare clic con il pulsante destro del mouse sul nome del criterio, scegliere Proprietà, fare clic sulla scheda Panoramica e quindi selezionare Concedi accesso.

  5. Nel riquadro dei dettagli verificare che l'impostazione di Origine per i criteri utilizzati per l'elaborazione dei client di Protezione accesso alla rete con protezione IPsec sia Autorità registrazione integrità o Non specificato. Per ulteriori informazioni sulla definizione di un tipo di server di accesso, vedere "Ulteriori considerazioni" più avanti in questo argomento.

  6. Nel riquadro dei dettagli fare doppio clic sul nome di un criterio di rete utilizzato per client conformi e quindi fare clic sulla scheda Condizioni.

  7. Verificare che almeno una delle condizioni specificate sia Criterio di integrità e che l'impostazione di Valore corrisponda a un criterio di integrità configurato per corrispondere a uno stato di integrità di client conforme. Se questa condizione non è disponibile, eseguire la procedura seguente.

    1. Fare clic su Aggiungi, Criteri di integrità e quindi su Aggiungi.

    2. In Criteri di integrità selezionare un criterio che corrisponde a uno stato di integrità di client conforme e quindi fare clic su OK. Se non sono disponibili criteri di integrità, verificare i criteri di integrità e quindi eseguire di nuovo la procedura.

  8. Fare clic sulla scheda Vincoli e quindi su Metodi di autenticazione.

  9. Verificare che la casella di controllo Esegui solo controllo di integrità del computer sia selezionata.

  10. Fare clic sulla scheda Impostazioni e quindi su Imposizione Protezione accesso alla rete.

  11. Verificare che Consenti accesso completo alla rete sia selezionato per questo criterio di rete conforme e quindi fare clic su OK. La verifica di un criterio di rete conforme è a questo punto completata.

  12. Nel riquadro dei dettagli fare doppio clic sul nome di un criterio di rete utilizzato per client non conformi e quindi fare clic sulla scheda Condizioni.

  13. Verificare che almeno una delle condizioni specificate sia Criterio di integrità e che l'impostazione di Valore corrisponda a un criterio di integrità configurato per corrispondere a uno stato di integrità di client non conforme. Se questa condizione non è disponibile, eseguire la procedura seguente.

    1. Fare clic su Aggiungi, su Criteri di integrità e quindi su Aggiungi.

    2. In Criteri di integrità selezionare un criterio che corrisponde a uno stato di integrità di client non conforme e quindi fare clic su OK. Se non sono disponibili criteri di integrità, verificare i criteri di integrità e quindi eseguire di nuovo la procedura.

  14. Fare clic sulla scheda Vincoli e quindi su Metodi di autenticazione.

  15. Verificare che la casella di controllo Esegui solo controllo di integrità del computer sia selezionata.

  16. Fare clic sulla scheda Impostazioni e quindi su Imposizione Protezione accesso alla rete.

    • Verificare che Consenti accesso limitato sia selezionato per questo criterio di rete non conforme se Protezione accesso alla rete è stato distribuito in modalità di imposizione completa.

    • Verificare che Consenti accesso completo alla rete per un periodo di tempo limitato sia selezionato per questo criterio di rete non conforme se Protezione accesso alla rete è stato distribuito in modalità di imposizione posticipata.

    • Verificare che Consenti accesso completo alla rete sia selezionato per questo criterio di rete non conforme se Protezione accesso alla rete è stato distribuito in modalità di creazione rapporti.

    • Verificare che la casella di controllo Consenti monitoraggio e aggiornamento automatici dei computer client sia selezionata se si desidera attivare il monitoraggio e l'aggiornamento automatici dei client di Protezione accesso alla rete non conformi.

  17. Fare clic su OK.

  18. Se necessario, ripetere questi passaggi per verificare la configurazione di ogni criterio di rete utilizzato per valutare le richieste di accesso da client di Protezione accesso alla rete con protezione IPsec.

Modalità di imposizione Protezione accesso alla rete

Quando si attiva Protezione accesso alla rete nella rete, sono disponibili tre modalità di imposizione. Utilizzare queste modalità di imposizione per la gestione temporanea della distribuzione di Protezione accesso alla rete.

  • Per attivare la modalità di creazione rapporti, selezionare Consenti accesso completo alla rete per computer client di Protezione accesso alla rete conformi e non conformi. In modalità di creazione rapporti lo stato di integrità dei computer client viene registrato, ma l'accesso alla rete non viene limitato. Sia i computer conformi sia i computer non conformi ricevono certificati di integrità.

  • Per attivare la modalità di imposizione posticipata, selezionare Consenti accesso completo alla rete nel criterio di rete conforme e Consenti accesso completo alla rete per un periodo di tempo limitato nel criterio di rete non conforme. È inoltre necessario specificare data e ora se l'accesso dei client non conformi verrà limitato. In modalità di imposizione posticipata i computer client ricevono immediatamente notifiche di Protezione accesso alla rete se non sono conformi con i requisiti di integrità della rete, ma l'accesso non viene limitato fino alla data e all'ora specificate.

  • Per attivare la modalità di imposizione completa, selezionare Consenti accesso completo alla rete nel criterio di rete conforme e Consenti accesso limitato nel criterio di rete non conforme. In modalità di imposizione completa l'accesso alla rete dei computer client viene immediatamente limitato se non sono conformi con i requisiti di integrità della rete.

Criteri di integrità

I criteri di integrità definiscono quali istanze di Convalida integrità sistema vengono valutate e la modalità di utilizzo di tali istanze per la convalida della configurazione dei computer che tentano di connettersi alla rete. I criteri di integrità classificano lo stato di integrità di un client in base ai risultati dei controlli di Convalida integrità sistema. Sono necessari almeno un criterio di integrità che corrisponda a uno stato di integrità di client conforme e almeno un criterio di integrità che corrisponda a uno stato di integrità di client non conforme. Eseguire la procedura seguente per verificare che criteri di integrità conformi e non conformi siano stati configurati nel server dei criteri di integrità di Protezione accesso alla rete.

Per verificare i criteri di integrità
  1. Nella console Server dei criteri di rete fare doppio clic su Criteri e quindi fare clic su Criteri di integrità.

  2. Nel riquadro dei dettagli fare doppio clic sul nome di un criterio di integrità conforme in Nome criterio. Se questo criterio non è disponibile, eseguire la procedura seguente per creare un criterio di integrità conforme.

    1. Fare clic con il pulsante destro del mouse su Criteri di integrità e quindi scegliere Nuovo.

    2. In Nome criterio immettere un nome per il criterio di integrità conforme, ad esempio IPsec di Protezione accesso alla rete con Autorità registrazione integrità conforme.

    3. In Controlli di Convalida integrità sistema sul client selezionare Il client supera tutti i controlli di Convalida integrità sistema per creare un criterio di integrità rigido, oppure selezionare Il client supera uno o più controlli di Convalida integrità sistema per creare un criterio di integrità meno severo.

    4. In Istanze di Convalida integrità sistema utilizzate in questo criterio di integrità selezionare le caselle di controllo corrispondenti alle istanze di Convalida integrità sistema da utilizzare per la valutazione dell'integrità del client. Convalida integrità sicurezza di Windows è disponibile per impostazione predefinita. Le altre istanze di Convalida integrità sistema sono disponibili solo se sono state installate.

    5. Fare clic su OK.

  3. In Controlli di Convalida integrità sistema sul client verificare che Il client supera tutti i controlli di Convalida integrità sistema o Il client supera uno o più controlli di Convalida integrità sistema sia selezionato. Queste condizioni vengono utilizzate per creare criteri conformi più rigidi o meno rigidi, rispettivamente.

  4. In Istanze di Convalida integrità sistema utilizzate in questo criterio di integrità verificare che le caselle di controllo corrispondenti alle istanze di Convalida integrità sistema da utilizzare per la valutazione dell'integrità dei computer client di Protezione accesso alla rete con protezione IPsec siano selezionate e quindi fare clic su OK.

  5. Nel riquadro dei dettagli fare doppio clic sul nome di un criterio di integrità non conforme in Nome criterio. Se questo criterio non è disponibile, eseguire la procedura seguente per creare un criterio di integrità non conforme.

    1. Fare clic con il pulsante destro del mouse su Criteri di integrità e quindi scegliere Nuovo.

    2. In Nome criterio immettere un nome per il criterio di integrità non conforme, ad esempio IPsec di Protezione accesso alla rete con Autorità registrazione integrità non conforme.

    3. In Controlli di Convalida integrità sistema sul client selezionare Il client non supera uno o più controlli di Convalida integrità sistema per creare un criterio di integrità rigido, oppure selezionare Il client non supera alcun controllo di Convalida integrità sistema per creare un criterio di integrità meno severo.

    4. In Istanze di Convalida integrità sistema utilizzate in questo criterio di integrità selezionare le caselle di controllo corrispondenti alle istanze di Convalida integrità sistema da utilizzare per la valutazione dell'integrità del client. Convalida integrità sicurezza di Windows è disponibile per impostazione predefinita. Le altre istanze di Convalida integrità sistema sono disponibili solo se sono state installate.

    5. Fare clic su OK.

  6. In Controlli di Convalida integrità sistema sul client verificare che Il client non supera uno o più controlli di Convalida integrità sistema o Il client non supera alcun controllo di Convalida integrità sistema sia selezionato. Queste condizioni vengono utilizzate per creare criteri non conformi più rigidi o meno rigidi, rispettivamente.

  7. In Istanze di Convalida integrità sistema utilizzate in questo criterio di integrità verificare che le caselle di controllo corrispondenti alle istanze di Convalida integrità sistema da utilizzare per la valutazione dell'integrità dei computer client di Protezione accesso alla rete con protezione IPsec siano selezionate e quindi fare clic su OK.

  8. Ripetere questi passaggi per tutti i criteri di integrità utilizzati per valutare i computer client di Protezione accesso alla rete con protezione IPsec.

Istanze di Convalida integrità sistema

Le istanze di Convalida integrità sistema definiscono i requisiti software e di configurazione dei computer che tentano di connettersi alla rete. Eseguire la procedura seguente per verificare che le istanze di Convalida integrità sistema siano configurate correttamente per la distribuzione in uso.

Per verificare le istanze di Convalida integrità sistema
  1. Nella console Server dei criteri di rete fare doppio clic su Protezione accesso alla rete e quindi fare clic su Istanze di Convalida integrità sistema.

  2. Nel riquadro dei dettagli fare doppio clic sul nome di un'istanza di Convalida integrità sistema installata in Nome.

  3. La configurazione delle istanze di Convalida integrità sistema varia in base all'implementazione. Se si utilizza Convalida integrità sicurezza di Windows, fare clic su Configura.

    • Per configurare i requisiti di integrità per i computer che eseguono Microsoft Windows Vista, fare clic sulla scheda Windows Vista.

    • Per configurare i requisiti di integrità per i computer che eseguono Windows XP con Service Pack 3, fare clic sulla scheda Windows XP.

  4. Attivare i requisiti di integrità selezionando le caselle di controllo corrispondenti ai componenti di integrità. Deselezionare le caselle di controllo per disattivare i requisiti. I requisiti di integrità disponibili quando si utilizza Convalida integrità protezione di Windows includono: Firewall, Protezione da virus, Protezione da spyware, Aggiornamenti automatici e Aggiornamenti per la sicurezza.

  5. Fare clic su OK e configurare le risoluzioni dei codici di errore per la distribuzione. Le risoluzioni dei codici di errore determinano la modalità in cui i client vengono valutati nelle condizioni di errore elencate. È possibile selezionare il ripristino dello stato Conforme o Non conforme per ogni condizione.

  6. Fare clic su OK e quindi chiudere la console Server dei criteri di rete.

Verificare la configurazione proxy di Server dei criteri di rete

Eseguire la procedura seguente per verificare la configurazione del server locale che esegue Server dei criteri di rete come proxy RADIUS. Questa procedura non deve essere eseguita se il server locale che esegue Server dei criteri di rete è configurato come server dei criteri di integrità di Protezione accesso alla rete.

Per verificare la configurazione proxy di Server dei criteri di rete
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare nps.msc e quindi premere INVIO.

  2. Nell'albero della console fare doppio clic su Client e server RADIUS e quindi fare clic su Gruppi di server RADIUS remoti.

  3. Nel riquadro dei dettagli fare doppio clic sul nome di un gruppo di server RADIUS remoto in Nome gruppo. Se non viene visualizzata alcuna voce di gruppo di server RADIUS remoto, eseguire la procedura seguente per aggiungere un gruppo di server RADIUS remoto.

    1. Nell'albero della console fare clic con il pulsante destro del mouse su Gruppi di server RADIUS remoti in Client e server RADIUS e quindi scegliere Nuovo.

    2. In Nome gruppo immettere un nome per il gruppo di server RADIUS remoto, ad esempio Server dei criteri di integrità di Protezione accesso alla rete1.

    3. Fare clic su Aggiungi e quindi in Server digitare il nome DNS o l'indirizzo IP di un server che esegue Server dei criteri di rete configurato per valutare le richieste di connessione dei client IPsec di Protezione accesso alla rete inoltrate dal server Autorità registrazione integrità locale.

    4. Fare clic su Verifica e quindi su Risolvi. Verificare che l'indirizzo IP visualizzato sia corretto per la distribuzione in uso e quindi fare clic su OK.

    5. Fare clic sulla scheda Autenticazione/Accounting.

    6. In Segreto condiviso e Conferma segreto condiviso immettere il segreto configurato nelle impostazioni di Server dei criteri di rete nel server dei criteri di integrità di Protezione accesso alla rete.

    7. Fare clic due volte su OK.

  4. Nella finestra delle proprietà del gruppo di server fare clic sul nome di un server RADIUS remoto in Server RADIUS e quindi su Modifica.

  5. Nella scheda Indirizzo fare clic su Verifica.

  6. Nella finestra di dialogo Verifica client fare clic su Risolvi. Verificare che l'indirizzo IP del client RADIUS corrisponda a un server criteri di integrità Protezione accesso alla rete della rete configurato con un proxy RADIUS corrispondente al server locale che esegue Server dei criteri di rete.

  7. Fare clic su OK e quindi sulla scheda Autenticazione/Accounting.

  8. Verificare che le porte di autenticazione e accounting siano corrette per la distribuzione in uso. La porta di autenticazione predefinita è la 1812, mentre la porta di accounting predefinita è la 1813.

  9. Verificare che la casella di controllo La richiesta deve contenere l'attributo autenticatore del messaggio sia selezionata solo se un requisito di messaggio di richiesta di accesso corrispondente per l'attributo autenticatore del messaggio è attivato nel server dei criteri di integrità di Protezione accesso alla rete. Deselezionare questa casella di controllo se per il server dei criteri di integrità di Protezione accesso alla rete non è necessario questo attributo.

  10. Se si ritiene che ci sia mancata corrispondenza del segreto condiviso, digitare il segreto accanto a Segreto condiviso e Conferma segreto condiviso e quindi fare due volte clic su OK.

  11. Nella console Server dei criteri di rete fare doppio clic su Criteri e quindi fare clic su Criteri di richiesta di connessione.

  12. Nel riquadro dei dettagli fare doppio sul criterio di richiesta di connessione utilizzato per l'autenticazione delle richieste di accesso alla rete in ingresso da client di Protezione accesso alla rete con protezione IPsec.

  13. Fare clic sulla scheda Impostazioni e quindi su Autenticazione in Inoltro richiesta di connessione.

  14. Verificare che Inoltra le richieste al seguente gruppo di server RADIUS remoto per l'autenticazione sia selezionato e quindi verificare che il nome del gruppo di server RADIUS remoto selezionato corrisponda ai server dei criteri di integrità di Protezione accesso alla rete corretti della rete.

  15. Ripetere questa procedura per tutti i gruppi e i server remoti che eseguono Server dei criteri di rete.

  16. Chiudere la console Server dei criteri di rete.

Ulteriori considerazioni

Se nel criterio di richiesta di connessione e nei criteri di rete il tipo di server di accesso alla rete è impostato su Non specificato, Server dei criteri di rete utilizza questo criterio per valutare tutte le richieste di connessione provenienti da qualsiasi tipo di server di accesso alla rete. Se il tipo di server di accesso alla rete è impostato su Autorità registrazione integrità, solo le richieste di connessione inoltrate da un server Autorità registrazione integrità vengono valutate da questo criterio. Se l'origine specificata per uno o più criteri attivati è Autorità registrazione integrità, tutti i criteri la cui origine è Non specificato verranno ignorati da Server dei criteri di rete durante l'elaborazione delle richieste di accesso alla rete dei client di Protezione accesso alla rete con protezione IPsec.

Ulteriori riferimenti