L'imposizione di Protezione accesso alla rete per i criteri IPsec (Internet Protocol security) relativi a Windows Firewall viene distribuita mediante un server dei certificati di integrità, un server Autorità registrazione integrità, un server che esegue Server dei criteri di rete e un client di imposizione IPsec. Il server dei certificati di integrità rilascia certificati X.509 ai client Protezione accesso alla rete ritenuti conformi. Tali certificati vengono quindi utilizzati per autenticare i client Protezione accesso alla rete quando avviano comunicazioni IPsec con altri client Protezione accesso alla rete in un'Intranet.
L'imposizione IPsec limita la comunicazione nella rete solo ai client conformi e costituisce l'implementazione più affidabile di Protezione accesso alla rete. Poiché questo metodo di imposizione si avvale di IPsec, è possibile definire requisiti per la comunicazione sicura per i singoli indirizzi IP o per i singoli numeri di porta TCP/UDP.
Requisiti
Per distribuire Protezione accesso alla rete con IPsec e Autorità registrazione integrità, è necessario configurare gli elementi seguenti:
-
Nel Server dei criteri di rete configurare il criterio di richiesta di connessione, i criteri di rete e il criterio di integrità di Protezione accesso alla rete. È possibile configurare questi criteri singolarmente, utilizzando la console Server dei criteri di rete, oppure utilizzare la procedura guidata Nuovi criteri di Protezione accesso alla rete.
-
Abilitare il client di imposizione di Protezione accesso alla rete per IPsec e il servizio Protezione accesso alla rete sui computer client idonei per Protezione accesso alla rete.
-
Installare Autorità registrazione integrità nel computer locale o in un computer remoto.
-
Installare e configurare Servizi certificati Active Directory® e Modelli di certificato.
-
Configurare Criteri di gruppo e qualsiasi altra impostazione richiesta per la distribuzione.
-
Configurare Convalida integrità sicurezza di Windows o installare e configurare altre istanze di Agente integrità sistema e Convalida integrità sistema in base alla distribuzione di Protezione accesso alla rete eseguita.
Se Autorità registrazione integrità non è installato nel computer locale, è inoltre necessario configurare gli elementi seguenti:
-
Installare Server dei criteri di rete nel computer che esegue Autorità registrazione integrità.
-
Configurare Server dei criteri di rete nel server remoto Autorità registrazione integrità come proxy RADIUS (Remote Authentication Dial-In User Service) per inoltrare le richieste di connessione al server locale che esegue Server dei criteri di rete.
Per ulteriori informazioni su Autorità registrazione integrità, aprire la console Autorità registrazione integrità e quindi premere F1 per accedere al contenuto della relativa Guida.