Controllo della protezioneProtezione dell'accesso di rete (Network Access Protection)
John Morello
Le informazioni contenute in questo articolo sono relative a una versione non definitiva di Windows Server "Longhorn" e sono soggette a modifiche.
Una delle minacce alla protezione più subdole che le organizzazioni di tutte le dimensioni oggi devono affrontare, sono i dispositivi non autorizzati all'interno del perimetro della rete. Per quanto si possa proteggere un'organizzazione contro i pericoli esterni che viaggiano su Internet, i rischi possono sempre provenire da un dipendente che diventa in buona fede un vettore di
malware trasmessi da un worm o trojan horse. Questo tipo di rischio è particolarmente sentito negli ambienti IT di organizzazioni di piccole e medie dimensioni, in cui i computer portatili personali e aziendali dei membri dello staff spesso coincidono e dove le tecnologie di controllo dell'accesso alla rete sono spesso troppo costose e troppo complesse da distribuire. In genere sono proprio queste organizzazioni che pagano il prezzo più alto in termini di tempi di inattività, quindi la protezione contro questo tipo di minacce è fondamentale.
La tecnologia NAP (Network Access Protection) di Microsoft consente alle organizzazioni di qualsiasi dimensione di controllare in modo proattivo l'integrità dei computer che si connettono alla rete e di garantirne costantemente l'integrità per l'intera durata della connessione. Con la tecnologia NAP è possibile costituire un'architettura flessibile basata sui criteri, per proteggere le organizzazioni dai computer non conformi connessi alla rete in modo intenzionale o involontario da dipendenti, fornitori e visitatori. La protezione NAP si fonda su quattro pilastri: convalida dei criteri, isolamento, monitoraggio/aggiornamento e conformità costante.
Panoramica sulla tecnologia NAP
Il primo servizio fondamentale fornito da NAP è la convalida dei criteri. La convalida dei criteri è il processo con cui NAP valuta un sistema a fronte di una serie di regole definite dall'amministratore e classifica lo stato di integrità del sistema.
Gli amministratori IT specificano una serie di elementi dei criteri che NAP utilizza come pietra di paragone quando i computer tentano di connettersi alla rete. I computer che soddisfano gli elementi di criteri vengono considerati integri, mentre quelli che non superano una o più verifiche (in base a quanto specificato dall'amministratore) vengono giudicati non integri. I criteri possono riguardare, ad esempio, la presenza di un software antivirus e antispyware, se un firewall è attivo e se il computer ha eseguito o meno gli aggiornamenti della protezione. Inoltre, poiché è possibile estendere le funzionalità di NAP, i produttori indipendenti di software possono creare plug-in propri per NAP che consentano di eseguire verifiche su applicazioni specifiche.
Un altro servizio fondamentale fornito da NAP è la limitazione della connettività di rete. In base ai criteri definiti da un amministratore, NAP può impostare stati di connettività di rete diversi per i computer. Se, ad esempio, un computer è giudicato non integro perché mancano degli aggiornamenti critici della protezione, NAP può collocare tale computer in una rete di quarantena, dove resterà isolato dal resto dell'ambiente finché non sarà tornato integro. Senza NAP, il client non integro avrebbe libero accesso alla rete dell'organizzazione. Se la mancanza degli aggiornamenti critici avesse poi già consentito a del malware di attaccare il computer, l'infezione si sarebbe diffusa al resto della rete con la partecipazione attiva del computer infetto. Nella Figura 1 viene illustrato un esempio generico dell'architettura.
Figura 1** Architettura NAP generica **(Fare clic sull'immagine per ingrandirla)
La semplice limitazione della connettività, tuttavia, non è un metodo efficiente per la gestione dei computer non integri (dopotutto, gli utenti devono pur lavorare). Dunque NAP fornisce anche servizi di monitoraggio e aggiornamento che i computer non integri in quarantena possono utilizzare per risolvere i problemi di integrità, senza l'intervento di un amministratore. Nell'esempio riportato sopra, la rete limitata consentirebbe al computer non integro di accedere solo alle risorse di rete specifiche necessarie per l'installazione degli aggiornamenti che mancano, come il computer Windows Server® Update Services (WSUS). In altre parole con la protezione NAP attiva, il computer non integro può accedere solo alle risorse di rete che gli consentiranno di tornare integro, mentre non viene consentito il traffico verso il resto della rete fino alla risoluzione del problema.
L'ultimo pilastro della tecnologia NAP è la conformità costante, che prevede l'applicazione continua dei criteri di integrità impostati per l'intera durata della connessione alla rete e non solo per la connessione iniziale. In base all'esempio, si consideri ciò che potrebbe accadere dopo l'aggiornamento del computer (a cui viene quindi concesso l'accesso senza limitazioni alla rete). Se il computer in un secondo momento smettesse di essere conforme a causa, ad esempio, della disattivazione di Windows Firewall, NAP rimetterebbe automaticamente in quarantena il computer. NAP consente inoltre agli amministratori di configurare il monitoraggio e aggiornamento automatici, con la correzione automatica dello stato di non conformità senza alcun intervento da parte dell'utente, anche molto tempo dopo la connessione iniziale alla rete.
NAP può utilizzare tecniche diverse per il controllo dell'accesso alla rete. Per le organizzazioni con switch di rete gestiti, è possibile utilizzare 802.1X per garantire il controllo degli accessi in base alle porte a livello dell'hardware di rete. NAP consente inoltre di utilizzare l'imposizione basata su IPSec, con cui le reti protette vengono create tramite associazioni IPsec e stratificate sulle reti fisiche. Con l'imposizione basata su IPSec, NAP controlla l'accesso all'area protetta creando e rimuovendo in modo dinamico i certificati utilizzati dal motore di IPSec. Infine, NAP può fornire l'imposizione basata su DHCP. In questo caso il server DHCP fornisce ai client non integri i lease IP dai pool limitati. Tali lease utilizzano suffissi DNS e route IP separati per controllare le risorse a cui può accedere un client limitato.
Il componente server di NAP è stato creato sulla prossima versione di Windows Server, nome in codice "Longhorn", in modo specifico nel nuovo NPS (Network Policy Server), il successore molto più avanzato del Servizio di Autenticazione Internet. Per le organizzazioni che utilizzano l'imposizione basata su 802.1X, l'hardware di rete deve supportare l'autenticazione 802.1X e le funzionalità dinamiche VLAN (nei siti di riferimento riportati in "Risorse per NAP" sono disponibili ulteriori informazioni sui produttori di hardware specifico). Per l'imposizione basata su DHCP, è necessario un servizio DHCP abilitato all'utilizzo di NAP, come quello disponibile in Windows Server "Longhorn". Sul client, il supporto di NAP è integrato in Windows Vista™. Il supporto di NAP sarà anche disponibile come componente aggiuntivo di Windows® XP, con un nuovo supplicant 802.1X che abiliterà l'imposizione basata su 802.1X su Windows XP.
Inoltre, NAP si integra con il Centro sicurezza PC Windows, oltre che con altri agenti di verifica dell'integrità di terze parti, e fornisce informazioni sull'integrità dei computer. Grazie a questa caratteristica, NAP è in grado di assumere decisioni relative alla convalida dei criteri in base ai dati esposti tramite il Centro sicurezza PC Windows.
NAP è una soluzione di gestione dei criteri di livello aziendale davvero completa, non è quindi possibile illustrare tutte le funzionalità e le strategie di distribuzione in un solo articolo. In questo articolo si concentrerà dunque l'attenzione sulle distribuzioni per organizzazioni di piccole e medie dimensioni, in cui l'attività dello staff di IT è già molto intensa e differenziata e in cui la distribuzione di NAP può essere semplificata per garantire un rapido ritorno dell'investimento richiesto per la distribuzione. Molte delle lezioni e la guida generica, tuttavia, possono essere ugualmente applicate a qualsiasi progetto NAP in organizzazioni di ogni dimensione. Il processo di esempio non è stato, tuttavia, pensato come una procedura dettagliata per l'installazione, ma piuttosto come una panoramica di carattere generale sulle principali aree di interesse per una corretta distribuzione di NAP basata su DHCP. Il collegamento a una guida di installazione più dettagliata è riportato nella barra laterale "Risorse per NAP".
Il problema di Contoso
Per analizzare meglio l'utilizzo di NAP per la risoluzione dei problemi particolari e delle esigenze di organizzazioni di piccole e medie dimensioni, si utilizzerà come esempio il caso di Contoso, Inc. Contoso è un'organizzazione fittizia di medie dimensioni con 250 computer distribuiti in tre uffici principali. La forza lavoro è estremamente mobile, con molti utenti che lavorano da casa oppure che si connettono all'ufficio principale da posizioni remote presso i clienti. Ne consegue che la metà del totale dei computer utilizzati in azienda è costituita da computer portatili e Tablet PC. Come molte altre organizzazioni, Contoso ha dovuto affrontare problemi di protezione sempre più complessi con l'aumento della mobilità della sua forza lavoro. I computer portatili di alcuni utenti hanno contratto del malware presso le sedi dei clienti o abitazioni private e si sono quindi connessi alla rete interna di Contoso.
Contoso ha adottato delle misure per tenere i computer remoti sempre aggiornati. Spesso, alcuni utenti lavorano presso le sedi dei clienti per periodi prolungati prima di tornare a uno degli uffici di Contoso. In queste situazioni i computer utilizzati dagli utenti restano spesso in arretrato di mesi per quanto riguarda gli aggiornamenti della protezione, con un conseguente aumento del rischio globale per il resto dei computer sulla rete di Contoso. Contoso necessita quindi di una soluzione che consenta di garantire che tutti i computer connessi alla rete, sia in locale che in remoto, restino protetti e integri.
NAP può aiutare Contoso a conseguire questo risultato? Basta ricordare i pilastri di NAP già annunciati. Grazie alla convalida dei criteri, NAP può verificare l'integrità di tutti i computer che si connettono alla rete di Contoso. La convalida dei criteri consente di determinare se le firme del programma antivirus di un computer sono aggiornate e se sono state applicate tutte le patch con gli aggiornamenti della protezione. Quando le routine di convalida dei criteri di NAP determinano che un computer non è integro, NAP può limitare la connettività di rete per tale host. In tal modo si evita che un computer utilizzato fuori degli uffici aziendali che ha contratto il malware diffonda il problema alle altre parti della rete. NAP limiterà la connettività in modo che il computer non integro possa accedere esclusivamente alle risorse di monitoraggio e aggiornamento definite dall'amministratore IT di Contoso. Il computer non integro, ad esempio, potrebbe accedere al server WSUS di Contoso e al server che ospita le firme del programma antivirus. Infine, NAP garantisce che dopo il ristabilimento dello stato di integrità del computer, tale stato verrà mantenuto con continuità. Nell'esempio illustrato qui, se l'host non integro fosse utilizzato da un telelavoratore su VPN e l'utente avesse disattivato il firewall dell'host, NAP risolverebbe automaticamente il problema. Non appena il firewall viene disattivato, l'infrastruttura di NAP mette in quarantena il computer, riattiva il firewall, rivaluta l'integrità del computer e, dopo averne rilevato l'integrità, ricolloca il computer sulla rete senza limitazioni. I quattro pilastri di NAP rispondono direttamente alle principali esigenze di protezione dell'ambiente informatico dinamico e mobile di Contoso.
Progetto di implementazione di NAP
Per molte organizzazioni di piccole e medie dimensioni, l'imposizione basata su DHCP per NAP è l'opzione di implementazione più facile e rapida, poiché l'imposizione DHCP non richiede alcuna modifica di rete aggiuntiva e alcun servizio ulteriore oltre a DHCP e NPS. Se è vero che le opzioni con l'imposizione IPSEC e 802.1X sono più flessibili, è anche vero che richiedono delle modifiche aggiuntive alla rete e la distribuzione di nuovi servizi. Per gli ambienti a minore complessità, l'utilizzo d DHCP garantisce i maggiori vantaggi di NAP con costi di implementazione molto più bassi e con un minore impegno dal punto di vista operativo.
Nell'ambiente di Contoso viene utilizzato come nucleo della distribuzione di NAP un computer che utilizza Windows Server "Longhorn". Poiché NAP richiede un NPS di Windows Server "Longhorn", non è possibile eseguirne la distribuzione sulle versioni precedenti di Windows Server. L'imposizione basata su DHCP per NAP richiede inoltre un server DHCP di Windows Server "Longhorn". Per consolidare i servizi, Contoso può distribuire sullo stesso server sia NPS che DHCP, che coesistono senza problemi. L'infrastruttura server NAP di base per Contoso risulta quindi abbastanza semplice: un singolo computer con Windows Server "Longhorn" esegue entrambi i componenti di criteri e imposizione.
Sul lato client, i computer di Contoso che utilizzano Windows Vista sono già dotati delle funzionalità necessarie per supportare NAP. La sola modifica necessaria sul lato client per i computer che utilizzano Windows Vista, consiste nell'attivazione della funzionalità NAP, che può essere eseguita tramite Criteri di gruppo. Per i computer di Contoso che utilizzano Windows XP, è necessario installare un pacchetto del client NAP separato. Sui computer con Windows XP che appartengono al dominio la funzionalità Centro sicurezza PC Windows è disattivata per impostazione predefinita. Se il criterio di NAP utilizza le informazioni sullo stato di Centro sicurezza PC per valutare l'integrità dei computer, per il corretto funzionamento di NAP è necessario che Centro sicurezza PC venga eseguito. Quindi, sui computer di Contoso che utilizzano Windows XP, gli amministratori hanno attivato Centro sicurezza PC tramite Criteri di gruppo. Oltre queste modifiche, il supporto di NAP non richiede alcun altro intervento sul lato client.
Distribuzione di NAP in Contoso
Dopo le modifiche necessarie di Criteri di gruppo descritte in precedenza, il passo successivo per la distribuzione di NAP in Contoso è l'installazione di Windows Server "Longhorn". Tutte le versioni di Windows Server "Longhorn" contengono i componenti di NAP necessari, dunque in Contoso è possibile utilizzare qualsiasi versione sia in grado di soddisfare le esigenze dell'azienda. Al termine dell'installazione, l'amministratore IT utilizzerà lo strumento Gestione server per aggiungere nuovi ruoli al computer. Per l'imposizione basata su DHCP utilizzata da Contoso, i ruoli richiesti sono NAS e Server DHCP. La procedura guidata di aggiunta dei ruoli facilita la gestione da parte dell'amministratore delle eventuali dipendenze e l'aggiunta di eventuali altre funzionalità necessarie sul server. Dopo l'aggiunta dei ruoli, è già possibile iniziare a configurare la protezione NAP di Contoso.
L'amministratore di Contoso utilizza lo strumento Gestione server per accedere allo snap-in DHCP per MMC (Microsoft Management Console) e aggiunge un nuovo ambito. La configurazione del server DHCP di Windows Server "Longhorn" provoca la sostituzione di tutti i servizi DHCP esistenti sui segmenti IP serviti. Una volta creato e popolato lo scopo con le opzioni corrette sulla rete di Contoso, è necessario attivare NAP. È possibile eseguire questa operazione nella scheda Network Access Protection delle proprietà dell'ambito (vedere la Figura 2).
Figura 2** Attivazione di NAP **(Fare clic sull'immagine per ingrandirla)
NAP passa i computer dall'accesso limitato alla rete all'accesso senza limitazioni entro lo stesso ambito, utilizzando un'opzione di ambito classe nuovo utente NAP. Questa serie speciale di opzioni di ambito (compresi server DNS, suffisso DNS predefinito e cosí via) si utilizza quando vengono forniti dei lease a client non integri. Ad esempio, se ai client integri viene fornito un suffisso DNS predefinito "contoso.com", ai client non integri viene fornito un suffisso "restricted.contoso.com", come illustrato nella Figura 3. Dopo aver configurato le opzioni di ambito DHCP, è possibile installare il server dei criteri di rete NPS e creare delle regole.
Figura 3** Accesso limitato **(Fare clic sull'immagine per ingrandirla)
Un criterio di NPS è costituito da quattro componenti principali. Convalida integrità sistema (SHV) definisce le verifiche da eseguire per valutare l'integrità di un computer. Nei gruppi di server di monitoraggio e aggiornamento è contenuto l'elenco dei sistemi a cui i computer non integri possono accedere per tornare integri (WSUS, ad esempio). Il componente del modello di convalida integrità sistema viene utilizzato per definire gli stati di integrità effettivi. Ad esempio, è possibile che in Contoso si definisca come "Conforme" un computer che supera la SHV di Protezione di Windows, anche se non supera un'altra verifica SHV prevista dal produttore del programma antivirus. Questi componenti vengono infine combinati in una serie di criteri di rete, che contengono la logica che determina ciò che accade ai computer in base allo stato di integrità corrispondente.
Le convalide integrità sistema sono degli elenchi di elementi che vengono controllati dall'agente NAP e di cui viene comunicato lo stato a NPS. Una distribuzione NAP predefinita comprende la SHV di Windows, che si connette a Centro sicurezza PC Windows e consente a NAP di controllare lo stato di tutti i componenti di protezione riferiti tramite Centro sicurezza PC. Sono compresi il firewall, l'antivirus, l'aggiornamento automatico e i componenti antispyware.
È opportuno ricordare che NAP è stato progettato per essere esteso e ampliato con SHV di terze parti ed eseguire così verifiche più dettagliate di singoli componenti (per ulteriori informazioni, vedere microsoft.com/windowsserver2003/partners/nappartners.mspx). Ad esempio, la SHV di Protezione di Windows consente a NAP di controllare se l'antivirus è attivato e aggiornato. Tuttavia, la SHV di Protezione di Windows non consente di eseguire verifiche più dettagliate sull'applicazione antivirus, come la frequenza di scansione del computer o altre opzioni specifiche dell'applicazione. Il produttore del programma antivirus, tuttavia, può creare SHV personalizzate che si connettano alla propria applicazione e consentano verifiche dell'applicazione specifiche e più approfondite rispetto alla SHV predefinita di Windows. Questa SHV potrebbe collaborare con la SHV di Windows e qualunque altra SHV esistente, poiché una distribuzione NAP può utilizzare simultaneamente più SHV (vedere la Figura 4).
Figura 4** SHV di Protezione di windows **
I gruppi di server di monitoraggio e aggiornamento vengono utilizzati per specificare a quali risorse può accedere un computer non integro. I gruppi contengono spesso delle risorse come i server WSUS o Systems Management Server (SMS), oltre ai server di aggiornamento dell'antivirus. È fondamentale inserire non solo i server, ma anche i server per la risoluzione dei nomi utilizzati dai client per trovarli. Poiché i client di Contoso vengono configurati tramite i Criteri di gruppo in modo da utilizzare il server denominato wsus.contoso.com per Aggiornamenti automatici, i gruppi di server di monitoraggio e aggiornamento devono contenere non solo l'indirizzo IP del server WSUS, ma anche quello del server DNS utilizzato dai client per convertire il nome completo dominio del server (FQDN) in un indirizzo IP numerico. Se non si consente l'accesso a queste risorse di risoluzione dei nomi (che possono essere sia DNS che WINS, a seconda della configurazione dei client), i client non saranno in grado di risolvere gli indirizzi IP delle risorse di monitoraggio e aggiornamento e, quindi, di accedervi. Nella Figura 5 vengono illustrate le impostazioni DNS e IP per l'esempio.
Figura 5** Nomi DNS e indirizzi IP **(Fare clic sull'immagine per ingrandirla)
I modelli di convalida integrità sistema vengono utilizzati per definire ciò che contraddistingue un computer integro. I modelli di convalida acquisiscono i risultati delle verifiche SHV e definiscono i computer come integri o non integri in base al superamento o meno di una o più di tali verifiche (vedere la Figura 6).
Figura 6** Controlli di conformità **(Fare clic sull'immagine per ingrandirla)
Nell'ambiente di Contoso (come in molte distribuzioni di piccole e medie dimensioni) sono definiti solo due stati. Viene definito integro un computer che supera tutte le verifiche SHV. Viene definito come non conforme un computer che non supera una o più di queste verifiche. Se necessario, le organizzazioni possono decidere di implementare logiche più complesse (creando, ad esempio, standard di conformità diversi per gli utenti n base al ruolo, al reparto, alla posizione geografica e cosí via), ma in tali casi è probabile che l'individuazione e la risoluzione dei problemi diventi più difficile e lunga.
Tutti i componenti vengono integrati nei criteri di rete. I criteri di rete vengono definiti dagli amministratori e istruiscono NPS su come trattare i computer in base al rispettivo stato di integrità. I criteri vengono valutati dall'alto in basso (come visualizzati nell'interfaccia utente di NPS) e l'elaborazione si interrompe quando viene trovata una corrispondenza per una regola dei criteri.
Anche in questo caso, la semplicità è lo scopo principale per la rete di Contoso, dunque sono necessari solo pochi criteri. Il primo criterio è Compliant-FullAccess. In base a questo criterio ai computer che superano tutte le verifiche SHV viene concesso l'accesso alla rete senza limitazioni. In particolare, quando viene valutata l'integrità di un computer che ha superato tutte le verifiche, NPS richiede al server DHCP di offrire al computer un lease IP con le opzioni di ambito "normali". Compliant-FullAccess viene posizionato, in genere, come primo criterio nell'ordine di elaborazione, poiché la maggior parte dei computer controllati è conforme. Se si posiziona questo criterio al primo posto, si ridurranno il carico e i tempi di elaborazione su NPS.
Il criterio successivo è Noncompliant-Restricted. Nell'ambiente di Contoso qualunque computer che non supera una o più verifiche SHV (creando quindi una corrispondenza al modello di convalida di non integrità del sistema ) conferma questo criterio. Quando viene rilevata una corrispondenza a questo criterio, NPS richiede al server DHCP di offrire al client un lease IP con le opzioni di ambito speciali "limitate" di NAP. I computer non conformi potranno dunque accedere solo alle risorse definite nel gruppo di server di monitoraggio e aggiornamento di Contoso.
Il terzo criterio viene utilizzato per compatibilità con le versioni precedenti. È importante ricordare che, per impostazione predefinita, il supporto di NAP è disponibile per Windows XP e versioni successive del sistema operativo (sebbene produttori di software indipendenti possano sviluppare client NAP per le versioni meno recenti di Windows e sistemi operativi diversi da Windows). Se Contoso utilizza ancora Windows 2000 nell'ambiente di produzione, potrà creare una regola (Downlevel-FullAccess nell'esempio) per consentire ai computer che non supportano NAP in modo predefinito di ottenere un accesso normale alla rete (con opzioni di ambito fornite dal server DHCP). Questo criterio deve essere valutato per ultimo e deve essere creato e attivato solo quando è necessario consentire l'accesso alla rete a computer di livello inferiore (vedere la Figura 7).
Figura 7** Impostazioni di accesso per i computer di livello inferiore **(Fare clic sull'immagine per ingrandirla)
Cosa accade se sulla rete di Contoso sono presenti delle risorse che non sono e non saranno mai compatibili con NAP, come le stampanti o altro hardware? Inoltre, cosa accade se in Contoso si utilizzano computer che supportano NAP ma che si desidera esentare dalle verifiche dei criteri, in modo temporaneo o definitivo? Una modo facile per esentare dei computer è in base all'indirizzo MAC. Per fornire a questi computer un bypass per i controlli di NAP, gli amministratori di Contoso possono creare un criterio nuovo (Exempt by MAC) e concedere l'accesso completo alla rete. Il criterio utilizza un'istruzione di condizione in cui la proprietà RADIUS del client di Identificativo stazione chiamante corrisponde all'indirizzo MAC dei dispositivi che necessitano di un bypass per NAP. Quando un computer conferma questa istruzione del criterio, NPS richiede a DHCP di offrire un lease con le opzioni di ambito "normali". Questo criterio deve essere riportato come primo nell'ordine di valutazione, per ridurre i tempi e il carico di elaborazione complessivi su NPS. Sui computer che corrispondono a questo criterio non deve essere eseguita alcuna valutazione di SHV, quindi non è necessario dedicare dei cicli di elaborazione in NPS per controllarli (vedere la Figura 8).
Figura 8** Bypass di alcuni computer **(Fare clic sull'immagine per ingrandirla)
Quando vengono utilizzati in combinazione, i criteri illustrati aiutano a garantire una rapida e precisa valutazione da parte del NPS di Contoso dei computer che si connettono alla rete. I criteri inoltre consentono di configurare le esenzioni necessarie per i computer di livello inferiore e per i dispositivi o i periodi per cui sono necessari dei bypass anche se supportano NAP.
Conclusioni
NAP è il frutto di un'ampia gamma di tecnologie e, specialmente negli scenari più complessi, richiede una pianificazione completa e delle verifiche accurate. In questo articolo si è concentrata l'attenzione su uno scenario meno complesso, ma sul sito Web di NAP sono disponibili guide più dettagliate per distribuzioni di ogni dimensione. Il sito Web contiene inoltre informazioni per una corretta pianificazione di implementazioni con 802.1X e IPSEC, spesso più adatte dell'imposizione basata su DHCP per le aziende.
NAP rappresenta una piattaforma potente ed estendibile per la valutazione dell'integrità dei computer che si connettono a una rete. Per le organizzazioni di piccole e medie dimensioni, l'imposizione basata su DHCP può garantire molti vantaggi con costi di implementazione e gestione ridotti. NAP è uno dei vantaggi principali offerti da Windows Server "Longhorn" e può aiutare le organizzazioni a migliorare protezione e conformità.
Risorse di NAP
- Protezione dell'accesso di rete (Network Access Protection)
- Configurazione della protezione dell'accesso alla rete con l'imposizione basata su DHCP in test di laboratorio
- Partner di NAP
- Webcast del white paper "Introduzione alla protezione dell'accesso alla rete"
John Morello lavora in Microsoft da sei anni ricoprendo diversi ruoli. Come consulente senior, ha progettato soluzioni di protezione per le aziende Fortune 100 nonché per i clienti della difesa e civili americani. Attualmente è Senior Program Manager presso il gruppo Windows Server e si dedica alle tecnologie di accesso remoto.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.