Servizi di accesso e criteri di rete offre le soluzioni di connettività di rete seguenti:

  • Protezione accesso alla rete (NAP) Protezione accesso alla rete è una tecnologia per la creazione, l'applicazione e l'aggiornamento dei criteri di integrità del client, disponibile nel sistema operativo client Windows Vista® e nel sistema operativo Windows Server® 2008. Con Protezione accesso alla rete, gli amministratori possono definire e imporre automaticamente criteri di integrità quali i requisiti software, i requisiti per gli aggiornamenti della sicurezza, le configurazioni necessarie per il computer e altre impostazioni. È possibile limitare l'accesso alla rete dei computer client non conformi a un criterio di integrità, fino a quando la relativa configurazione non viene aggiornata e non risulta conforme al criterio. A seconda del tipo di distribuzione scelta per Protezione accesso alla rete, è possibile che i client non conformi vengano aggiornati automaticamente in modo tale da consentire agli utenti di disporre rapidamente dell'accesso completo alla rete senza la necessità di dover aggiornare o riconfigurare manualmente i relativi computer.

  • Accesso wireless e cablato sicuro. Quando si distribuiscono punti di accesso wireless 802.1X, è consigliabile proteggere gli utenti con accesso wireless con un metodo di autenticazione sicuro basato su password di facile distribuzione. Quando si distribuiscono switch di autenticazione 802.1X, l'accesso cablato consente di proteggere la rete assicurando che gli utenti della intranet siano autenticati prima che possano connettersi alla rete o ottenere un indirizzo IP utilizzando DHCP.

  • Soluzioni di Accesso remoto. Con le soluzioni di accesso remoto, è possibile offrire agli utenti accesso mediante Rete privata virtuale (VPN) e accesso tradizionale tramite connessione remota alla rete dell'organizzazione. È inoltre possibile connettere succursali di un ufficio alla rete con soluzioni VPN, distribuire router software completi sulla rete e condividere connessioni Internet sulla intranet.

  • Gestione dei criteri di rete centrali con server e proxy RADIUS. Anziché configurare i criteri di accesso alla rete, ad esempio punti di accesso wireless, switch di autenticazione 802.1X, server VPN e server di connessione remota, è possibile creare criteri in un singolo percorso che specificano tutti gli aspetti delle richieste di connessione di rete, inclusi gli utenti cui è consentito connettersi, gli elementi cui possono connettersi e il livello di sicurezza che devono utilizzare per connettersi alla rete.

Servizi ruolo per Servizi di accesso e criteri di rete

Quando si installa Servizi di accesso e criteri di rete, sono disponibili i seguenti servizi ruolo:

  • Server dei criteri di rete (NPS). Server dei criteri di rete è l'implementazione Microsoft di un server e proxy RADIUS. È possibile utilizzare Server dei criteri di rete per gestire l'accesso alla rete mediante numerosi server di accesso alla rete, inclusi punti di accesso wireless, server VPN, server di connessione remota e switch di autenticazione 802.1X. Inoltre è possibile utilizzare server dei criteri di rete per distribuire autenticazione con password sicura mediante PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 per connessioni wireless. Server dei criteri di rete include inoltre componenti chiave per la distribuzione di Protezione accesso alla rete sulla rete.

    È possibile distribuire le seguenti tecnologie dopo l'installazione del servizio ruolo Server dei criteri di rete:

    • Server dei criteri di integrità Protezione accesso alla rete. Quando si configura Server dei criteri di rete come un server dei criteri di integrità Protezione accesso alla rete, Server dei criteri di rete valuta i rapporti di integrità inviati da computer client idonei per Protezione accesso alla rete che desiderano comunicare sulla rete. È possibile configurare i criteri di Protezione accesso alla rete su server dei criteri di rete che consentano ai computer client di aggiornare la propria configurazione per diventare conformi ai criteri di rete dell'organizzazione.

    • Wireless IEEE 802.11 Utilizzando lo snap-in MMC Server dei criteri di rete, è possibile configurare criteri di richiesta di connessione basati su 802.1X per l'accesso alla rete di client wireless IEEE 802.11. È inoltre possibile configurare punti di accesso wireless come client RADIUS (Remote Authentication Dial-In User Service) in Server dei criteri di rete e utilizzare Server dei criteri di rete come un server RADIUS per elaborare le richieste di connessione e per eseguire autenticazione, autorizzazione e accounting per connessioni wireless 802.11. È possibile integrare completamente l'accesso wireless IEEE 802.11 con Protezione accesso alla rete quando si distribuisce un'infrastruttura di autenticazione wireless 802.1X in modo che lo stato di integrità dei client wireless sia verificato rispetto al criterio di integrità prima che ai client sia consentito connettersi alla rete.

    • IEEE 802.3 (cablata) Utilizzando lo snap-in MMC Server dei criteri di rete, è possibile configurare criteri di richiesta di connessione basati su 802.1X per l'accesso alla rete Ethernet di client cablati IEEE 802.3. È inoltre possibile configurare switch compatibili con 802.1X come client RADIUS in Server dei criteri di rete e utilizzare Server dei criteri di rete come un server RADIUS per elaborare le richieste di connessione e per eseguire autenticazione, autorizzazione e accounting per connessioni Ethernet 802.3. È possibile integrare completamente l'accesso ai client cablati IEEE 802.3 con Protezione accesso alla rete quando si distribuisce un'infrastruttura di autenticazione 802.1X cablata.

    • Server RADIUS. Server dei criteri di rete esegue autenticazione, autorizzazione e accounting centralizzati delle connessioni per wireless, switch di autenticazione e connessioni remote e VPN. Quando si utilizza Server dei criteri di rete come un server RADIUS, si configurano i server di accesso alla rete, ad esempio punti di accesso wireless e server VPN, come client RADIUS in Server dei criteri di rete. Si configurano inoltre i criteri di rete utilizzati da Server dei criteri di rete per autorizzare le richieste di connessione ed è possibile configurare l'accounting RADIUS in modo che Server dei criteri di rete registri le informazioni di accounting nei file di registro sul disco rigido locale o in un database Microsoft® SQL Server™.

    • Proxy RADIUS. Quando si utilizza Server dei criteri di rete come proxy RADIUS, si configurano i criteri di richiesta di connessione che indicano al server Server dei criteri di rete quali richieste di connessione inoltrare ad altri server RADIUS e a quali server RADIUS si desidera inoltrare le richieste di connessione. È inoltre possibile configurare Server dei criteri di rete per inoltrare i dati di accounting da registrare da parte di uno o più computer in un gruppo remoto di server RADIUS.

  • Routing e Accesso remoto. Con Routing e Accesso remoto, è possibile distribuire servizi di accesso remoto e VPN e servizi di routing multiprotocollo LAN a LAN, LAN a WAN, VPN e NAT (Network Address Translation).

    È possibile distribuire le seguenti tecnologie durante l'installazione del servizio ruolo Routing e Accesso remoto:

    • Servizio di accesso remoto. Utilizzando Routing e Accesso remoto, è possibile distribuire connessioni VPN Point-to-Point Tunneling Protocol (PPTP), SSTP (Secure Socket Tunneling Protocol) o Layer Two Tunneling Protocol (L2TP) con IPsec (Internet Protocol Security) per offrire agli utenti finali accesso remoto alla rete dell'organizzazione. È inoltre possibile creare una connessione VPN da sito a sito tra due server su percorsi diversi. Ogni server è configurato con Routing e Accesso remoto per inviare dati privati in modo sicuro. La connessione tra i due server può essere permanente (sempre attiva) o a richiesta.

      Accesso remoto consente inoltre accesso remoto tradizionale per supportare utenti mobili o privati che accedano alle intranet di un'organizzazione. L'attrezzatura di accesso remoto installata sul server sul quale è in esecuzione Routing e Accesso remoto risponde alle richieste di connessione in ingresso dai client di rete di accesso remoto. Il server di accesso remoto risponde alla chiamata, autentica e autorizza il chiamante e trasferisce i dati tra il client di rete di accesso remoto e l'intranet dell'organizzazione.

    • Routing. Routing è un router software completo e una piattaforma aperta per il routing e l'interconnessione tra reti. Offre servizi di routing alle aziende per ambienti LAN (Local Area Network) e WAN (Wide Area Network)

      Quando si distribuisce NAT, il server che esegue Routing e Accesso remoto viene configurato in modo da condividere una connessione Internet con i computer della rete privata e da convertire il traffico tra il proprio indirizzo pubblico e la rete privata. Utilizzando NAT, i computer sulla rete privata ottengono un certo grado di protezione in quanto il router con NAT configurato non inoltra il traffico da Internet alla rete privata a meno che un client della rete privata lo abbia richiesto o il traffico sia consentito in modo esplicito.

      Quando si distribuisce VPN e NA, il server che esegue Routing e Accesso remoto viene configurato per garantire NAT alla rete privata e accettare connessioni VPN. I computer in rete non saranno in grado di determinare gli indirizzi IP dei computer nella rete privata. I client VPN invece potranno connettersi ai computer della rete privata come se fossero collegati fisicamente alla stessa rete.

  • Autorità registrazione integrità. Autorità registrazione integrità è un componente di Protezione accesso alla rete che emette certificati di integrità ai client che trasmettono la verifica dei criteri di integrità eseguita da Server dei criteri di rete utilizzando il rapporto di integrità del client. Autorità registrazione integrità è utilizzato solo con il metodo di imposizione Protezione accesso alla rete tramite IPsec.

  • Host Credential Authorization Protocol (HCAP). HCAP consente di integrare la soluzione Microsoft Protezione accesso alla rete con Cisco Network Access Control Server. Quando si distribuisce HCAP con Server dei criteri di rete e Protezione accesso alla rete, Server dei criteri di rete è in grado di eseguire la valutazione dell'integrità dei clienti e l'autorizzazione dei clienti di accesso Cisco 802.1X.

Gestire il ruolo server Servizi di accesso e criteri di rete

Gli strumenti seguenti consentono di gestire il ruolo server Servizi di accesso e criteri di rete:

  • Snap-in MMC Server dei criteri di rete. Utilizzare MMC Server dei criteri di rete per configurare un server RADIUS, un proxy RADIUS o la tecnologia Protezione accesso alla rete.

  • Comandi Netsh per Server dei criteri di rete. I comandi Netsh per Server dei criteri di rete offrono un gruppo di comandi completamente equivalenti a tutte le impostazioni di configurazione disponibili mediante lo snap-in MMC Server dei criteri di rete. I comandi Netsh possono essere eseguiti manualmente tramite il prompt di Netsh o tramite script di amministrazione.

  • Snap-in MMC Autorità registrazione integrità. Utilizzare MMC Autorità registrazione integrità per specificare l'Autorità di certificazione (CA) che Autorità registrazione integrità utilizza per ottenere i certificati di integrità per i computer client e per definire i server dei criteri di rete ai quali Autorità registrazione integrità invia i rapporti di integrità dei client per la verifica rispetto al criterio di integrità.

  • Comandi Netsh per Autorità registrazione integrità. I comandi Netsh per Autorità registrazione integrità offrono un gruppo di comandi completamente equivalenti a tutte le impostazioni di configurazione disponibili mediante lo snap-in MMC Autorità registrazione integrità. I comandi Netsh possono essere eseguiti manualmente tramite il prompt di Netsh o tramite script di amministrazione.

  • Snap-in MMC Gestione del client di Protezione accesso alla rete. È possibile utilizzare lo snap-in Gestione del client di Protezione accesso alla rete per configurare le impostazioni di sicurezza e dell'interfaccia utente su computer client che supportano l'architettura di Protezione accesso alla rete.

  • Comandi Netsh per la configurazione delle impostazioni dei client di Protezione accesso alla rete. I comandi Netsh per le impostazioni dei client di Protezione accesso alla rete offrono un gruppo di comandi completamente equivalenti a tutte le impostazioni di configurazione disponibili mediante lo snap-in Gestione del client di Protezione accesso alla rete. I comandi Netsh possono essere eseguiti manualmente tramite il prompt di Netsh o tramite script di amministrazione.

  • Snap-in MMC Routing e Accesso remoto. Utilizzare questo snap-in MMC per configurare un server VPN, un server di rete di accesso remoto, un router, NAT, VPN e NAT, o una connessione VPN da sito a sito.

  • Comandi Netsh per accesso remoto. I comandi Netsh per accesso remoto offrono un gruppo di comandi completamente equivalenti a tutte le impostazioni di configurazione di accesso remoto disponibili mediante lo snap-in MMC Routing e Accesso remoto. I comandi Netsh possono essere eseguiti manualmente tramite il prompt di Netsh o tramite script di amministrazione.

  • Comandi Netsh per routing. I comandi Netsh per routing offrono un gruppo di comandi completamente equivalenti a tutte le impostazioni di configurazione di routing disponibili mediante lo snap-in MMC Routing e Accesso remoto. I comandi Netsh possono essere eseguiti manualmente tramite il prompt di Netsh o tramite script di amministrazione.

  • Criteri rete wireless (IEEE 802.11) - Console Gestione Criteri di gruppo. L'estensione Criteri rete wireless (IEEE 802.11) automatizza la configurazione delle impostazioni di rete wireless su computer con driver della scheda di rete che supportano Servizio Configurazione automatica WLAN. È possibile utilizzare l'estensione nella Console Gestione Criteri di gruppo per specificare le impostazioni di configurazione per client wireless Windows XP e Microsoft Windows Vista. Le estensioni di Criteri di gruppo Criteri rete wireless (IEEE 802.11) includono le impostazioni wireless globali, l'elenco delle reti preferite, le impostazioni WPA e le impostazioni IEEE 802.1X.

    Dopo essere state configurate, le impostazioni vengono scaricate nei client wireless Windows membri del dominio. Le impostazioni wireless configurate tramite questo criterio fanno parte dei Criteri di gruppo Configurazione computer. Per impostazione predefinita, i Criteri rete wireless (IEEE 802.11) non sono configurati né abilitati.

  • Comandi Netsh per rete locale wireless (WLAN). Netsh WLAN è un'alternativa all'utilizzo di Criteri di gruppo per configurare la connettività wireless e le impostazioni di sicurezza di Microsoft Windows Vista. È possibile utilizzare i comandi Netsh wlan per configurare il computer locale, oppure per configurare più computer utilizzando uno script di accesso. È inoltre possibile utilizzare i comandi Netsh wlan per visualizzare le impostazioni di Criteri di gruppo e per gestire le impostazioni degli utenti wireless e di provider di servizi Internet Wireless (WISP).

    L'interfaccia NETSH wireless offre i seguenti vantaggi:

    • Supporto a modalità mista: Consente agli amministratori di configurare i client per supportare più opzioni di sicurezza. Ad esempio, un client può essere configurato per supportare gli standard di autenticazione WPA2 e WPA. Questo consente al client di utilizzare WPA2 per connettersi alle reti che supportano WPA2 e di utilizzare WPA per connettersi a reti che supportano solo WPA.

    • Blocca reti indesiderate: Gli amministratori possono bloccare e nascondere l'accesso a reti wireless non aziendali tramite aggiunta di reti o tipi di reti all'elenco delle reti negate. Analogamente, gli amministratori possono consentire l'accesso a reti wireless aziendali.

  • Criteri rete cablate (IEEE 802.3) - Console Gestione Criteri di gruppo). È possibile utilizzare Criteri rete cablate (IEEE 802,3) per specificare e modificare le impostazioni di configurazione per client Microsoft Windows Vista dotati di schede di rete e driver che supportano il Servizio configurazione automatica reti cablate. Le estensioni Criterio di gruppo Criteri reti cablate (IEEE 802,11) includono impostazioni cablate globali e impostazioni IEEE 802.1X. Queste impostazioni includono l'intero gruppo di voci di configurazione cablate associate alla scheda Generale e alla scheda Sicurezza.

    Dopo essere state configurate, le impostazioni vengono scaricate nei client wireless Windows membri del dominio. Le impostazioni wireless configurate tramite questo criterio fanno parte dei Criteri di gruppo Configurazione computer. Per impostazione predefinita, i Criteri reti cablate (IEEE 802.3) non sono configurati né abilitati.

  • Comandi Netsh per rete locale cablata (LAN). L'interfaccia Netsh LAN è un'alternativa all'utilizzo di Criteri di gruppo in Windows Server 2008 per configurare la connettività cablate e le impostazioni di sicurezza di Microsoft Windows Vista. È possibile utilizzare la riga di comando Netsh LAN per configurare il computer locale, oppure utilizzare negli script di accesso per configurare computer multipli. È inoltre possibile utilizzare i comandi Netsh lan per visualizzare Criteri reti cablate (IEEE 802,3) e per gestire le impostazioni 1x dei client cablati.

Risorse aggiuntive

Per ulteriori informazioni su Servizi di accesso e criteri di rete, aprire uno dei seguenti snap-in MMC e quindi premere F1 per visualizzare la Guida:

  • Snap-in MMC Server dei criteri di rete

  • Snap-in MMC Routing e Accesso remoto

  • Snap-in MMC Autorità registrazione integrità

Argomenti della Guida