Protezione accesso alla rete è una tecnologia per la creazione, l'imposizione, il monitoraggio e l'aggiornamento dei criteri di integrità dei client, disponibile in Windows Vista®, Windows Server® 2008, Windows® 7 e Windows Server® 2008 R2. Con Protezione accesso alla rete è possibile creare criteri di integrità che definiscono ad esempio i requisiti software, i requisiti di aggiornamento della sicurezza e le impostazioni di configurazione necessarie per i computer che si connettono alla rete.
Protezione accesso alla rete consente di imporre criteri di integrità controllando e valutando l'integrità di computer client, limitando l'accesso alla rete ai computer client non conformi ai criteri di integrità ed eseguendo il monitoraggio e l'aggiornamento di computer client non conformi allo scopo di renderli conformi ai criteri di integrità prima di autorizzarne l'accesso completo alla rete. Protezione accesso alla rete impone i criteri di integrità ai computer client che tentano di connettersi a una rete e assicura l'imposizione della conformità in termini di integrità mentre un computer client è connesso a una rete.
Protezione accesso alla rete è una piattaforma estendibile contenente un'infrastruttura e un insieme di API (Application Programming Interface). Utilizzando l'insieme di API di Protezione accesso alla rete, è possibile aggiungere ai client di Protezione accesso alla rete e ai server che eseguono Server dei criteri di rete componenti che controllano l'integrità dei computer, impongono i criteri di integrità di rete ed eseguono il monitoraggio e l'aggiornamento automatici di computer non conformi per renderli conformi ai criteri di integrità.
La piattaforma Protezione accesso alla rete non offre da sola i componenti per la verifica o per il monitoraggio e l'aggiornamento dell'integrità dei computer. Altri componenti, noti anche come Agente integrità sistema e Convalida integrità sistema, offrono funzionalità di controllo e segnalazione sullo stato di integrità di computer client, di convalida dello stato di integrità di computer client rispetto ai criteri di integrità e forniscono infine impostazioni di configurazione per rendere conforme il computer client ai criteri di integrità.
Agente integrità sicurezza di Windows è incluso in Microsoft Windows Vista e Windows 7 come parte del sistema operativo. Il componente corrispondente Convalida integrità sicurezza di Windows è incluso in Windows Server 2008 e Windows Server 2008 R2 come parte del sistema operativo. Utilizzando l'insieme di API di Protezione accesso alla rete, altri prodotti possono implementare istanze di Agente di integrità sistema e di Convalida integrità sistema da integrare a Protezione accesso alla rete. Ad esempio, un fornitore di un software antivirus può utilizzare il set di API per la creazione di istanze personalizzate di Agente integrità sistema e di Convalida integrità sistema. Questi componenti possono essere integrati nelle soluzioni di Protezione accesso alla rete distribuite dai clienti del fornitore di software.
Un amministratore di rete o di sistema può distribuire Protezione accesso alla rete con Agente integrità sicurezza di Windows e Convalida integrità sicurezza di Windows inclusi nel sistema operativo. Può inoltre verificare se altri fornitori di software offrono istanze di Agente integrità sistema e di Convalida integrità sistema per i propri prodotti.
Panoramica di Protezione accesso alla rete
La maggior parte delle organizzazioni creano criteri di rete che determinano il tipo di hardware e di software che è possibile distribuire nella rete dell'organizzazione. Tali criteri spesso includono regole per la configurazione dei computer client prima di consentire la connessione alla rete. Numerose organizzazioni richiedono ad esempio l'esecuzione nei computer client di software antivirus con aggiornamenti recenti nonché l'installazione e l'attivazione di un firewall prima di connettersi alla rete dell'organizzazione. Un computer client configurato in base ai criteri della rete dell'organizzazione può essere visualizzato come conforme ai criteri, mentre un computer non configurato in base ai criteri di rete dell'organizzazione può essere visualizzato come non conforme ai criteri.
Protezione accesso alla rete consente di utilizzare iServer dei criteri di rete per la creazione di criteri che definiscono l'integrità del computer client. Protezione accesso alla rete consente inoltre di imporre i criteri di integrità del client creati e di aggiornare automaticamente o di eseguire il monitoraggio e l'aggiornamento di computer client idonei per Protezione accesso alla rete allo scopo di renderli conformi ai criteri di integrità del client. Protezione accesso alla rete consente il rilevamento costante dell'integrità del computer client per impedire casi in cui un computer client che risulta conforme quando si connette alla rete dell'organizzazione non sia più conforme nel corso della connessione.
Protezione accesso alla rete garantisce la protezione complementare del computer client e della rete dell'organizzazione verificando la conformità dei computer che si connettono alla rete ai criteri di rete dell'organizzazione e di integrità del client. Ciò consente di proteggere la rete da elementi dannosi introdotti da computer client, quali i virus, e di proteggere inoltre i computer client da elementi dannosi che possono essere introdotti dalla rete a cui si connettono.
Il monitoraggio e l'aggiornamento automatico di Protezione accesso alla rete riduce il tempo di inibizione dell'accesso alle risorse della rete dell'organizzazione per i computer client non conformi. Se è configurata la funzionalità di monitoraggio e aggiornamento automatici e i client sono in uno stato di non conformità, i componenti client di Protezione accesso alla rete sono in grado di aggiornare rapidamente il computer utilizzando le risorse fornite dall'utente su una rete di monitoraggio e aggiornamento, consentendo al client che ora risulta conforme di essere autorizzato più rapidamente da Server dei criteri di rete a connettersi alla rete.
Server dei criteri di rete e Protezione accesso alla rete
Server dei criteri di rete può essere utilizzato come server dei criteri di Protezione accesso alla rete per tutti i metodi di imposizione di Protezione accesso alla rete.
Quando il Server dei criteri di rete viene configurato come server dei criteri di Protezione accesso alla rete, Server dei criteri di rete valuta i rapporti di integrità inviati dai computer client idonei per Protezione accesso alla rete che richiedono la connessione alla rete. È possibile configurare criteri di Protezione accesso alla rete in Server dei criteri di rete per l'aggiornamento della configurazione dei computer client allo scopo di renderli conformi ai criteri di rete dell'organizzazione.
Integrità del computer client
Per integrità si intendono le informazioni relative a un computer client utilizzate da Protezione accesso alla rete per autorizzare o negare l'accesso del client a una rete. La valutazione dello stato di integrità del computer client indica lo stato di configurazione di un client rispetto allo stato richiesto dal criterio di integrità.
Misure esemplificative dell'integrità includono:
-
Lo stato operativo di Windows Firewall, ovvero l'attivazione o la disattivazione del firewall.
-
Lo stato di aggiornamento delle firme del software antivirus, ovvero se sono disponibili le firme più recenti.
-
Lo stato di installazione degli aggiornamenti per la sicurezza, ovvero se sul client sono installati gli aggiornamenti per la sicurezza più recenti.
Lo stato di integrità del computer client è incapsulato in un rapporto di integrità, rilasciato dai componenti client di Protezione accesso alla rete. I componenti client di Protezione accesso alla rete inviano il rapporto di integrità ai componenti del server di Protezione accesso alla rete per valutare la conformità del client e l'autorizzazione dell'accesso completo alla rete.
Nell'ambito di Protezione accesso alla rete la verifica della conformità di un computer ai requisiti di integrità definiti è denominata convalida dei criteri di integrità. Server dei criteri di rete esegue la convalida dei criteri di integrità per Protezione accesso alla rete.
Funzionamento dell'imposizione di Protezione accesso alla rete
Protezione accesso alla rete impone criteri di integrità utilizzando componenti sul lato client che esaminano e valutano l'integrità dei computer client, componenti sul lato server che limitano l'accesso alla rete per computer client ritenuti non conformi e componenti lato client e lato server che facilitano il monitoraggio e l'aggiornamento di computer client non conformi per l'accesso completo alla rete.
Principali processi di Protezione accesso alla rete
Per garantire la protezione dell'accesso alla rete, Protezione accesso alla rete utilizza tre processi: la convalida dei criteri, l'imposizione Protezione accesso alla rete e la restrizione alla rete e infine il monitoraggio e l'aggiornamento e la conformità costante.
Convalida dei criteri
Server dei criteri di rete consente di creare criteri di integrità relativi ai client utilizzando le istanze di Convalida integrità sistema che offrono a Protezione accesso alla rete la possibilità di rilevare, imporre ed eseguire il monitoraggio e l'aggiornamento delle configurazioni dei computer client.
Agente integrità sicurezza di Windows e Convalida integrità sicurezza di Windows offrono le funzionalità seguenti per computer idonei per Protezione accesso alla rete:
-
Un firewall è installato e attivato nel computer client.
-
Un software antivirus è installato e in esecuzione sul computer client.
-
Gli aggiornamenti antivirus più recenti sono installati sul computer client.
-
Un software antispyware è installato e in esecuzione sul computer client.
-
Gli aggiornamenti antispyware più recenti sono installati sul computer client.
-
Microsoft Update Services è attivato sul computer client.
Se i computer client idonei per Protezione accesso alla rete eseguono inoltre l'agente di Windows Update e sono registrati con un server Windows Server Update Services, Protezione accesso alla rete è in grado di verificare l'installazione degli aggiornamenti software più recenti per la sicurezza in base a uno dei quattro possibili valori corrispondenti alle classificazioni di gravità per i problemi di sicurezza di Microsoft Security Response Center.
Quando si creano criteri che definiscono lo stato di integrità del computer client, i criteri vengono convalidati dal Server dei criteri di rete. I componenti Protezione accesso alla rete lato client inviano un rapporto di integrità al server dei criteri di rete durante il processo di connessione alla rete. Server dei criteri di rete esamina il rapporto di integrità e lo confronta ai criteri di integrità.
Imposizione e restrizione alla rete di Protezione accesso alla rete
Protezione accesso alla rete nega l'accesso ai computer client non conformi oppure consente loro di accedere solo a una rete speciale con restrizioni denominata rete di monitoraggio e aggiornamento. Una rete di monitoraggio e aggiornamento offre ai computer client l'accesso a server di monitoraggio e aggiornamento, che garantiscono aggiornamenti software, e ad altri servizi principali di Protezione accesso alla rete, ad esempio server Autorità registrazione integrità, necessari per rendere conformi al criterio di integrità i client di Protezione accesso alla rete non conformi.
L'impostazione di imposizione Protezione accesso alla rete nel criterio di rete di Server dei criteri di rete consente di limitare l'accesso alla rete o di osservare lo stato di computer client idonei per Protezione accesso alla rete che non sono conformi al criterio di integrità della rete.
È possibile decidere di limitare l'accesso, rinviare le restrizioni di accesso oppure consentire l'accesso mediante le impostazioni dei criteri di rete.
Monitoraggio e aggiornamento
I computer client non conformi che vengono inseriti in una rete con restrizioni possono essere sottoposti al processo di monitoraggio e di aggiornamento. Il processo di monitoraggio e aggiornamento consiste nell'aggiornamento automatico di un computer client per soddisfare i criteri di integrità correnti. Una rete con restrizioni può contenere, ad esempio, un server FTP che aggiorna automaticamente le firme obsolete del software antivirus dei computer client non conformi.
Conformità costante
Protezione accesso alla rete è in grado di imporre la conformità di integrità a computer client già connessi alla rete. Questa funzionalità è utile per garantire la protezione costante di una rete con il variare dei criteri di integrità e dell'integrità dei computer client. Protezione accesso alla rete determina ad esempio che il computer client non è conforme se un criterio di integrità richiede l'attivazione di Windows Firewall e un amministratore lo disattiva inavvertitamente. Protezione accesso alla rete disconnette quindi il computer client dalla rete dell'organizzazione e lo connette al computer client della rete di monitoraggio e di aggiornamento finché Windows Firewall non viene nuovamente attivato.
È possibile utilizzare le impostazioni di Protezione accesso alla rete nei criteri di rete di Server dei criteri di rete per configurare il monitoraggio e l'aggiornamento automatico in modo che i componenti client di Protezione accesso alla rete tentino automaticamente di aggiornare il computer client quando non è conforme. Esattamente come le impostazioni di imposizione Protezione accesso alla rete, il monitoraggio e l'aggiornamento automatico viene configurato nelle impostazioni dei criteri di rete.