Un'infrastruttura di Protezione accesso alla rete include computer client di Protezione accesso alla rete, punti di imposizione Protezione accesso alla rete e server criteri di integrità Protezione accesso alla rete. I componenti facoltativi includono server di monitoraggio e aggiornamento e server dei requisiti di integrità.

Computer client di Protezione accesso alla rete

Per accedere alla rete, un client di Protezione accesso alla rete raccoglie innanzitutto informazioni sulla relativa integrità da un software installato localmente denominato Agente integrità sistema. Ogni Agente integrità sistema installato nel computer client fornisce informazioni sulle impostazioni correnti o l'attività per il cui monitoraggio è stato progettato. Le informazioni ottenute dagli Agenti integrità sistema vengono raccolte dall'Agente Protezione accesso alla rete, un servizio in esecuzione sul computer locale. Il servizio Agente integrità sistema riepiloga lo stato di integrità del computer e passa queste informazioni a uno o più client di imposizione Protezione accesso alla rete. Un client di imposizione è un software che interagisce con i punti di imposizione Protezione accesso alla rete per l'accesso o la comunicazione sulla rete.

Punti di imposizione Protezione accesso alla rete

Un punto di imposizione Protezione accesso alla rete è un server o un dispositivo hardware che fornisce un livello di accesso alla rete al computer client di Protezione accesso alla rete. Ogni tecnologia di imposizione Protezione accesso alla rete utilizza un punto di imposizione Protezione accesso alla rete di tipo diverso. Vedere la tabella seguente.

Metodo di imposizione di Protezione accesso alla rete Punto di imposizione Protezione accesso alla rete

IPSec (Internet Protocol Security)

Autorità registrazione integrità e Server dei criteri di rete

802.1X

Commutatore (cablato) o punto di accesso wireless

VPN

RRAS

DHCP

DHCP e Server dei criteri di rete

Gateway Desktop remoto

Gateway Desktop remoto e Server dei criteri di rete

Quando un punto di imposizione Protezione accesso alla rete esegue Windows Server 2008 o Windows Server 2008 R2, è denominato server di imposizione Protezione accesso alla rete. Tutti i server di imposizione Protezione accesso alla rete devono eseguire Windows Server 2008 o Windows Server 2008 R2. In server Protezione accesso alla rete con imposizione 802.1X il punto di imposizione Protezione accesso alla rete è un commutatore o un punto di accesso wireless conforme a IEEE 802.1X. Anche i server di imposizione Protezione accesso alla rete per i metodi di imposizione IPsec, DHCP e Gateway Desktop remoto devono eseguire Server dei criteri di rete configurato come proxy RADIUS o come server criteri di integrità Protezione accesso alla rete. Per l'imposizione Protezione accesso alla rete e VPN non è necessario che Protezione accesso alla rete sia installato nel server VPN.

Server criteri di integrità Protezione accesso alla rete

Un server criteri di integrità Protezione accesso alla rete è un computer che esegue Windows Server 2008 o Windows Server 2008 R2 con il servizio ruolo Server dei criteri di rete installato e configurato per la valutazione dell'integrità dei computer client di Protezione accesso alla rete. Tutte le tecnologia di imposizione Protezione accesso alla rete richiedono almeno un server criteri di integrità. Un server criteri di integrità Protezione accesso alla rete utilizza le impostazioni e i criteri utente per valutare le richieste di accesso alla rete che vengono inviate dai computer client di Protezione accesso alla rete.

Server di monitoraggio e aggiornamento di Protezione accesso alla rete

I server di monitoraggio e aggiornamento di Protezione accesso alla rete forniscono aggiornamenti e servizi ai computer client non conformi. A seconda della struttura della rete di monitoraggio e aggiornamento, è possibile che sia disponibile un server di monitoraggio e aggiornamento anche per i computer conformi. Di seguito sono indicati alcuni esempi di server di monitoraggio e aggiornamento di Protezione accesso alla rete:

  • Server delle firme del software antivirus. Se i criteri di integrità prevedono che i computer dispongano di una firma recente del software antivirus, i computer non conformi devono disporre dell'accesso a un server per ottenere tali aggiornamenti.

  • Windows Server Update Services. Se i criteri di integrità prevedono che i computer dispongano degli aggiornamenti di sicurezza recenti o di altri aggiornamenti software, è possibile fornirli inserendo WSUS sulla rete di monitoraggio e aggiornamento.

  • Server dei componenti di System Center. I punti di gestione di System Center Configuration Manager, i punti di aggiornamento software e i punti di distribuzione ospitano gli aggiornamenti software necessari per assicurare la conformità dei computer. Quando si distribuisce Protezione accesso alla rete con Gestione configurazione, i computer che supportano Protezione accesso alla rete richiedono l'accesso ai computer che eseguono tali ruoli del sistema del sito per scaricare i relativi criteri client, eseguire l'analisi di conformità relativa agli aggiornamenti software e scaricare gli aggiornamenti software necessari.

  • Controller di dominio. È possibile che i computer non conformi richiedano l'accesso a server di dominio sulla rete non conforme per finalità di autenticazione, per scaricare criteri da Criteri di gruppo o per gestire le impostazioni di profilo del dominio.

  • Server DNS. I computer non conformi devono disporre dell'accesso al DNS per la risoluzione dei nomi host.

  • Server DHCP. I computer non conformi devono disporre dell'accesso a un server DHCP in caso di modifica del profilo IP del client sulla rete non conforme o in caso di scadenza del lease DHCP.

  • Server di risoluzione dei problemi. Quando si configura un gruppo di server di monitoraggio e aggiornamento, è possibile specificare un URL di risoluzione dei problemi con istruzioni su come rendere i computer conformi ai criteri di integrità. È possibile fornire un URL diverso per ogni criterio di rete. Questi URL devono essere accessibili sulla rete di monitoraggio e aggiornamento.

  • Altri servizi. È possibile fornire l'accesso a Internet alla rete di monitoraggio e aggiornamento per consentire ai computer non conformi di accedere a servizi di monitoraggio e aggiornamento come Windows Update e altre risorse Internet.

Server dei requisiti di integrità di Protezione accesso alla rete

Un server dei requisiti di integrità è un computer che fornisce i requisiti dei criteri di integrità e informazioni per la valutazione dell'integrità a una o più istanze di Convalida integrità sistema. Se lo stato di integrità segnalato dai computer client di Protezione accesso alla rete può essere convalidato da Server dei criteri di rete senza consultare altri dispositivi, non è necessario un server dei requisiti di integrità. Ad esempio, WSUS non è considerato un server dei requisiti di integrità quando viene utilizzato con Convalida integrità sicurezza di Windows. Sebbene un amministratore possa utilizzare WSUS per specificare gli aggiornamenti di cui devono disporre i computer client, è il computer client che segnala se tali aggiornamenti sono stati installati. In questo scenario, WSUS è un server di monitoraggio e aggiornamento e non un server dei requisiti di integrità.

Un server dei requisiti di integrità viene utilizzato se si distribuisce Protezione accesso alla rete con Convalida integrità sistema di Gestione configurazione. Convalida integrità sistema di Gestione configurazione contatta un server di catalogo globale per convalidare lo stato di integrità del client controllando il riferimento allo stato di integrità pubblicato in Servizi di dominio Active Directory. Pertanto, un controller di dominio è un server dei requisiti di integrità se è stato distribuito Convalida integrità sistema di Gestione configurazione. È possibile che anche altre istanze di Convalida integrità sistema utilizzino i server dei requisiti di integrità.

Ulteriori riferimenti


Argomenti della Guida