En este documento mostraremos come assegnar directiones IP con i nostri servidores DHCP a equipos que nos interese, basandonos en ciertas condizioni como puede essere belongr a un grupo del DA, si disponen de un antivirus instalado, si tienen el S.O. aggiornato… podremos indicar se nos interessa darle una direzione IP de nuestros ámbitos o denegarle accesso a la red,

La prima cosa sarà aggiungere la funzione del server “Criteri di rete e servizi di accesso”,

Selezioneremo unicamente il servizio di ruolo “Server dei criteri di rete” e continuiamo con la procedura guidata di installazione.

Apriamo la console di gestione “Server dei criteri di rete” e potremo configurare manualmente o tramite una procedura guidata le politiche di NAP. All'interno del server NPS inizieremo cliccando “Configura NAP”,

In metodo di connessione di rete selezioneremo “Protocollo di configurazione dinamica degli host (Canale DHCP) e inseriamo un nome della direttiva, “Seguente”,

Non aggiungeremo clienti RAIUS, “Seguente”,

Se siamo interessati, possiamo aggiungere manualmente gli ambiti DHCP dei nostri server DHCP, in questo caso applicheremo la direttiva a tutti gli ambiti, “Seguente”,

Potremo aggiungere un gruppo di computer che abbiamo creato in precedenza per assegnare solo indirizzi IP ai membri di quel gruppo, potremmo utilizzare direttamente il gruppo “Computer del dominio” per restrigere l'accesso a un IP del nostro server DHCP solo ai computer del nostro Active Directory, “Seguente”,

Se abbiamo server di aggiornamenti potremo indicarli qui, “Seguente”,

Segniamo un validatore che applicheremo a questa direttiva, per richiedere condizioni extra sui computer, come può essere se dispongono di Antivirus installato, aggiornato il computer… potremo inoltre autocorreggere tali condizioni se non vengono rispettate sui dispositivi, e indicheremo se vogliamo dare loro accesso se rispettano o meno, “Seguente”,

Confermiamo che tutto è corretto & “Fine”,

Creeremo una GPO che applicheremo a tutti i dispositivi che ci interessano, dove avvieremo il servizio “Agente di protezione dell'accesso alla rete” in modo automatico in “Configurazione dell'attrezzatura” > “Politiche” > “Impostazioni di Windows” > “Configurazione della sicurezza” > “Servizi di sistema”

E abilitiamo il ‘Cliente di applicazione di quarantena di DHCP’ in “Configurazione dell'attrezzatura” > “Politiche” > “Impostazioni di Windows” > “Configurazione della sicurezza” > “Protezione dell'accesso alla rete” > “Configurazione del cliente NAP” > “Clienti di conformità”.

Facoltativamente, potremo modificare la configurazione del validatore di integrità di Windows predefinito o crearne uno personalizzato indicando se richiediamo nei client di avere attivato il firewall, antivirus, antispyware, aggiornamenti di Windows. Inoltre possiamo configurare nella politica se vogliamo rispettare tutte le condizioni o solo alcune.

Y por ultimo habilitaremos en nuestros rangos del servidor de DHCP la “Proteccion de acceso a redes”! y con esto tendiamo qualcosa di più sicura nuestra red de clients, donde sólo accederan a una IP los equipos que cumplan tutte las condizioni que nos interessan!