È possibile utilizzare la console Configurazione client di Protezione accesso alla rete per specificare i meccanismi di sicurezza utilizzati da un computer client per le comunicazioni con i server Autorità registrazione integrità. È inoltre possibile utilizzare la console Configurazione client di Protezione accesso alla rete per specificare i server Autorità registrazione integrità con cui un computer client può comunicare. Un computer client deve comunicare con un server Autorità registrazione integrità per ottenere un certificato di integrità, Per Protezione accesso alla rete con imposizione basata su IPSec (Internet Protocol Security) è richiesto un certificato di integrità.
Per specificare il meccanismo di sicurezza che un client deve utilizzare per le comunicazioni con un server Autorità registrazione integrità, è necessario configurare il criterio di richiesta. Il criterio di richiesta specifica l'algoritmo a chiave asimmetrica, l'algoritmo hash e il provider del servizio di crittografia che un computer client deve utilizzare quando inizializza una comunicazione con un server Autorità registrazione integrità. È possibile specificare un solo algoritmo a chiave asimmetrica, algoritmo hash e provider del servizio di crittografia in un computer client.
Quando si configura un algoritmo a chiave asimmetrica, un algoritmo hash o un provider del servizio di crittografia nel client, è necessario impostare un criterio di richiesta esattamente corrispondente nel server Autorità registrazione integrità. Se ad esempio si configurano i client in modo che eseguano la crittografia delle comunicazioni esclusivamente tramite l'algoritmo a chiave asimmetrica RSA (Rivest-Shamir-Adelman) con una lunghezza minima della chiave pari a 128, è necessario configurare i server Autorità registrazione integrità in modo che accettino le comunicazioni crittografate con lo stesso algoritmo a chiave asimmetrica e la stessa lunghezza minima della chiave. Se i server Autorità registrazione integrità non sono configurati in modo da utilizzare lo stesso criterio di richiesta, non saranno in grado di comunicare con i computer client. I computer client potrebbero essere ritenuti non conformi e la relativa connettività di rete potrebbe essere limitata. Se non si configurano le impostazioni del criterio di richiesta in un computer client, quest'ultimo avvia un processo di negoziazione con il server Autorità registrazione integrità utilizzando il meccanismo di protezione predefinito per la crittografia delle comunicazioni.
 | Importante |
|
Non modificare le impostazioni del criterio di richiesta, a meno che non siano state completamente verificate in un ambiente di prova sicuro. La modifica delle impostazioni del criterio di richiesta può causare una perdita della connettività di rete nei computer client. |
Per specificare i server Autorità registrazione integrità con i quali un computer client deve comunicare, è necessario configurare un gruppo di server trusted. Un gruppo di server trusted include uno o più server Autorità registrazione integrità. Se in un gruppo di server trusted sono inclusi più server Autorità registrazione integrità, è possibile specificare l'ordine in base a cui i computer client tenteranno di contattare i server. Questa impostazione risulta utile quando sono presenti numerosi server Autorità registrazione integrità in segmenti di rete o domini diversi e si desidera definire la priorità dei server ai quali un client tenta di accedere. È necessario configurare almeno un gruppo di server trusted. In caso contrario, un computer client non sarà in grado di contattare un server Autorità registrazione integrità per ottenere un certificato di integrità.
Configurare il criterio di richiesta del client Protezione accesso alla rete
Configurare gruppi di server trusted per client Protezione accesso alla rete