Panoramica di Autorità registrazione integrità

Per capire il ruolo dell'Autorità registrazione integrità in una distribuzione Protezione accesso alla rete, esaminare i concetti seguenti.

• Certificati di integrità
  
  Certificati X.509 rilasciati ai computer client di Protezione accesso alla rete che vengono utilizzati per fornire la prova di conformità con i requisiti di integrità della rete. Il computer client di Protezione accesso alla rete ottiene un certificato di integrità fornendo una dichiarazione del proprio stato di integrità, denominata rapporto di integrità, all'Autorità registrazione integrità. Il client di Protezione accesso alla rete esegue il monitoraggio continuo dello stato di integrità ed elimina il certificato di integrità se il client non è più conforme. I certificati di integrità possono essere utilizzati per autenticare i client di Protezione accesso alla rete quando questi iniziano comunicazioni con protezione IPsec con altri client di Protezione accesso alla rete in una Intranet. L'imposizione IPsec di Protezione accesso alla rete limita la comunicazione per i client di Protezione accesso alla rete basati su IPsec ignorando i tentativi di comunicazione in ingresso inviati da computer senza certificati di integrità.
  
  
• Autorità di certificazione di Protezione accesso alla rete
  
  Server che eseguono Servizi certificati Active Directory® e che ospitano certificati X.509 e li rilasciano ai client di Protezione accesso alla rete che vengono ritenuti conformi con i requisiti di integrità della rete. È necessario specificare una o più CA per il rilascio di certificati di integrità di Protezione accesso alla rete. Per ulteriori informazioni, vedere Configurare l'Autorità di certificazione di Protezione accesso alla rete e Verificare la configurazione dell'Autorità di certificazione.
  
  
• Criterio di richiesta per l'Autorità registrazione integrità
  
  Impostazioni che determinano come viene consentito ai client di comunicare con l'Autorità registrazione integrità durante la richiesta di certificati di integrità. È possibile personalizzare il criterio di richiesta per l'Autorità registrazione integrità personalizzando le impostazioni dei criteri di crittografia e dei criteri di trasporto. Non è necessario modificare le impostazioni del criterio di richiesta per l'Autorità registrazione integrità. È consigliabile utilizzare le impostazioni predefinite. Se si decide di modificare queste impostazioni, è importante configurare impostazioni identiche nei server Autorità registrazione integrità e nei computer client di Protezione accesso alla rete. Per ulteriori informazioni, vedere Informazioni sul criterio di richiesta dell'Autorità registrazione integrità, Configurare i criteri di crittografia dell'Autorità registrazione integrità e Configurare i criteri di trasporto dell'Autorità registrazione integrità.
  
  
• Internet Information Services (IIS)
  
  Insieme di servizi Internet installati automaticamente durante l'installazione dell'Autorità registrazione integrità. Il servizio IIS offre un'interfaccia HTTP/HTTPS che i client di Protezione accesso alla rete possono utilizzare per contattare il server Autorità registrazione integrità e richiedere certificati di integrità. Le richieste vengono elaborate mediante un'estensione ISAPI (Internet Server Application Programming Interface) che può essere offerta a utenti anonimi oppure limitata a utenti che sono stati autenticati nel dominio. Per ulteriori informazioni, vedere Informazioni sui requisiti di autenticazione dell'Autorità registrazione integrità e Verificare la configurazione di IIS.
  
  
• Server dei criteri di rete
  
  Implementazione Microsoft di un proxy e un server RADIUS (Remote Authentication Dial-In User Service). Se Server dei criteri di rete non è già in esecuzione nel server, verrà automaticamente installato durante l'installazione dell'Autorità registrazione integrità. È possibile configurare Server dei criteri di rete nel server Autorità registrazione integrità come proxy di Server dei criteri di rete o come server dei criteri di integrità di Protezione accesso alla rete. Se si configura Server dei criteri di rete come server dei criteri di integrità di Protezione accesso alla rete, è necessario configurare impostazioni e criteri di Protezione accesso alla rete, inclusi:
  
  
  • Criteri di richiesta di connessione: insieme di impostazioni e condizioni che convalidano le richieste di accesso alla rete e specificano la posizione in cui viene eseguita la convalida.
    
    
  • Criteri di rete: insieme di condizioni, vincoli e impostazioni che consentono di designare chi può connettersi alla rete.
    
    
  • Criteri di integrità: requisiti di integrità del sistema che definiscono quali istanze di Convalida integrità sistema vengono utilizzate per la convalida della configurazione dei computer che tentano di connettersi alla rete.
    
    
  • Istanze di Convalida integrità sistema: software server dei criteri di integrità di Protezione accesso alla rete corrispettivo di un Agente integrità sistema. Le istanze di Convalida integrità sistema definiscono i requisiti di configurazione dei computer che tentano di connettersi alla rete.
    
    

Se si configura Server dei criteri di rete come proxy RADIUS, è necessario verificare la connettività di rete verso i gruppi di server RADIUS remoti e convalidare la configurazione di tali server come server dei criteri di integrità di Protezione accesso alla rete. Per ulteriori informazioni, vedere Verificare la configurazione di Server dei criteri di rete.

• Elenco di controllo: distribuire l'imposizione IPsec di Protezione accesso alla rete con l'Autorità registrazione integrità
  
  
• Configurare l'Autorità registrazione integrità
  
  
• Risolvere i problemi relativi all'Autorità registrazione integrità
  
  
• Informazioni sull'imposizione IPsec di Protezione accesso alla rete