Eseguire la procedura seguente per verificare che i computer client idonei per Protezione accesso alla rete siano configurati per il metodo di imposizione IPsec (Internet Protocol security) di Protezione accesso alla rete. Un computer idoneo per Protezione accesso alla rete è un computer in cui sono installati i componenti di Protezione accesso alla rete e che può verificare il proprio stato di integrità inviando rapporti di integrità a Server dei criteri di rete per la valutazione. Per ulteriori informazioni su Protezione accesso alla rete, vedere
Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni sull'utilizzo degli account appropriati e sull'appartenenza a gruppi, vedere
Verificare i componenti del client di Protezione accesso alla rete
I componenti di Protezione accesso alla rete includono il servizio Agente Protezione accesso alla rete, uno o più client di imposizione Protezione accesso alla rete e almeno un Agente integrità sistema. Potrebbero essere necessari altri servizi se supportano un Agente integrità sistema installato. Tutti questi componenti interagiscono per monitorare costantemente lo stato di integrità dei computer client di Protezione accesso alla rete e fornire indicazioni su tale stato ai server Protezione accesso alla rete per la valutazione.
Agente Protezione accesso alla rete
Il servizio Agente Protezione accesso alla rete raccoglie e gestisce le informazioni relative all'integrità nel computer client. Elabora inoltre i rapporti di integrità di tutti gli Agenti integrità sistema installati e comunica l'integrità dei client ai client di imposizione. L'Agente Protezione accesso alla rete deve essere operativo per consentire ai computer client di richiedere o ricevere certificati di integrità.
 | Per verificare che il servizio Agente Protezione accesso alla rete sia avviato |
Fare clic sul pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione, Strumenti di amministrazione e infine fare doppio clic su Servizi.
Nell'elenco dei servizi fare doppio clic su Agente protezione accesso alla rete in Nome.
Verificare che lo stato di Servizio sia Avviato e che Tipo di avvio sia impostato su Automatico.
Se il servizio non è avviato, scegliere Automatico accanto a Tipo di avvio e quindi fare clic su Avvia.
Fare clic su OK per chiudere la finestra di dialogo Proprietà di Agente protezione accesso alla rete.
Chiudere la console Servizi.
 | Nota |
|
Se si riavvia il servizio Agente Protezione accesso alla rete, verranno automaticamente reinizializzati gli Agenti integrità sistema e il computer tenterà di acquisire un nuovo certificato di integrità. Ciò può rivelarsi utile durante la risoluzione dei problemi relativi a Protezione accesso alla rete. |
Client di imposizione IPsec di Protezione accesso alla rete
Il client di imposizione IPsec di Protezione accesso alla rete deve essere installato e attivato nei computer client. Il client di imposizione Protezione accesso alla rete richiede l'accesso a una rete e comunica lo stato di integrità di un computer client ad altri componenti dell'architettura client di Protezione accesso alla rete. Il client limita l'accesso a reti con protezione IPsec interagendo con l'archivio certificati di un computer client.
| Per verificare che il client di imposizione IPsec di Protezione accesso alla rete sia inizializzato |
Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori e quindi Prompt dei comandi.
Al prompt dei comandi digitare netsh nap client show state e premere INVIO. Questo comando visualizza lo stato di Protezione accesso alla rete del computer client.
Nell'output del comando, in Stato client di imposizione verificare che lo stato di Componente che applica Protezione accesso alla rete tramite IPsec sia Inizializzato = Sì.
Verificare la configurazione del client IPsec
Nei client di Protezione accesso alla rete è necessario configurare impostazioni che consentono la comunicazione con i componenti server Protezione accesso alla rete. È possibile configurare queste impostazioni mediante Criteri di gruppo, la console Configurazione client di Protezione accesso alla rete o la riga di comando. Per il metodo di imposizione IPsec le impostazioni dei client di Protezione accesso alla rete includono Criterio di richiesta e Gruppi di server trusted.
Criterio di richiesta
Non è necessario modificare le impostazioni predefinite del criterio di richiesta nei computer client di Protezione accesso alla rete. Se si modificano queste impostazioni, è importante verificare che impostazioni simili siano attivate nei server Protezione accesso alla rete. Per impostazione predefinita, un computer client idoneo per Protezione accesso alla rete inizia un processo di negoziazione con un server Protezione accesso alla rete utilizzando un meccanismo di sicurezza predefinito accettabile da entrambi per la crittografia delle comunicazioni. È consigliabile utilizzare le impostazioni predefinite del criterio di richiesta.
| Per visualizzare le impostazioni del criterio di richiesta |
Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori e quindi Prompt dei comandi.
Se per distribuire le impostazioni del client Protezione accesso alla rete si utilizzano i Criteri di gruppo, al prompt dei comandi digitare netsh nap client show group e quindi premere INVIO. Se per distribuire le impostazioni del client Protezione accesso alla rete si utilizzano criteri locali, al prompt dei comandi digitare netsh nap client show config e quindi premere INVIO. Tramite questi comandi vengono visualizzate le impostazioni di configurazione di Protezione accesso alla rete dei Criteri di gruppo e dei criteri locali nei computer client.
Nell'output del comando verificare che le impostazioni Provider del servizio di crittografia (CSP, Cryptographic Service Provider) e Algoritmo hash corrispondano a quelle configurate in Autorità registrazione integrità. Il provider del servizio di crittografia predefinito è Microsoft RSA SChannel Cryptographic Provider, keylength = 2048. L'algoritmo hash predefinito è sha1RSA (1.3.14.3.2.29).
Gruppi di server trusted
I gruppi di server trusted vengono configurati all'interno delle impostazioni di registrazione integrità del client in modo che i computer client di Protezione accesso alla rete possano contattare i siti Web utilizzati dall'Autorità registrazione integrità per l'elaborazione delle richieste di certificati di integrità. Se i gruppi di server trusted non sono configurati o sono configurati in modo errato, i computer client di Protezione accesso alla rete non saranno in grado di acquisire i certificati di integrità.
| Per verificare la configurazione dei gruppi di server trusted |
Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori e quindi Prompt dei comandi.
Se per distribuire le impostazioni del client Protezione accesso alla rete si utilizzano i Criteri di gruppo, al prompt dei comandi digitare netsh nap client show group e quindi premere INVIO. Se per distribuire le impostazioni del client Protezione accesso alla rete si utilizzano criteri locali, al prompt dei comandi digitare netsh nap client show config e quindi premere INVIO. Tramite questi comandi vengono visualizzate le impostazioni di configurazione di Protezione accesso alla rete dei Criteri di gruppo e dei criteri locali nei computer client.
Nell'output del comando, in Configurazione gruppo server trusted verificare che la configurazione sia corretta per le voci accanto a Ordine di elaborazione, Gruppo, Verifica Https e URL.
| Nota |
|
Un computer client di Protezione accesso alla rete tenta di ottenere un certificato di integrità dal primo URL di tutti i gruppi di server trusted configurati, a meno che tale server non sia contrassegnato come non disponibile. Per ulteriori informazioni, vedere Verificare la configurazione di IIS e Informazioni sui requisiti di autenticazione dell'Autorità registrazione integrità. |
Analizzare gli eventi dei client di Protezione accesso alla rete
L'analisi delle informazioni contenute negli eventi dei client di Protezione accesso alla rete può semplificare la risoluzione dei problemi e aiutare a capire la funzionalità dei client.
| Per analizzare gli eventi dei client di Protezione accesso alla rete in Visualizzatore eventi |
Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori e quindi Esegui.
Digitare eventvwr.msc e quindi premere INVIO.
Nell'albero sinistro passare a Visualizzatore eventi (locale)\Registri applicazioni e servizi\Microsoft\Windows\Protezione accesso alla rete\Operativo.
Fare clic su un evento nel riquadro centrale.
Per impostazione predefinita verrà visualizzata la scheda Generale. Fare clic sulla scheda Dettagli per visualizzare informazioni aggiuntive.
È inoltre possibile fare clic con il pulsante destro del mouse su un evento e quindi scegliere Proprietà evento per aprire una nuova finestra per analizzare gli eventi.