Procedure consigliate per il Server dei criteri di rete

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

È possibile usare questo argomento per informazioni sulle procedure consigliate per la distribuzione e la gestione del server dei criteri di rete (NPS).

Le sezioni seguenti forniscono procedure consigliate per diversi aspetti della distribuzione di NPS.

Contabilità

Di seguito sono riportate le procedure consigliate per la registrazione di NPS.

Esistono due tipi di contabilità o registrazione in NPS:

  • Registrazione eventi per NPS. È possibile usare la registrazione eventi per registrare gli eventi NPS nei registri eventi di sistema e sicurezza. Questo viene usato principalmente per il controllo e la risoluzione dei problemi relativi ai tentativi di connessione.

  • Registrazione delle richieste di autenticazione utente e contabilità. Le richieste di accounting e di autenticazione utente, ad esempio, possono essere registrate in file di log in formato testo o database oppure in una stored procedure di un database SQL Server 2000. La registrazione delle richieste viene usata principalmente per l'analisi della connessione e la fatturazione ed è utile anche come strumento di analisi della sicurezza, fornendo un metodo per tenere traccia dell'attività di un utente malintenzionato.

Per sfruttare al meglio la registrazione di NPS:

  • Attivare la registrazione (inizialmente) sia per i record di autenticazione che per i record contabili. Modificare queste selezioni dopo aver determinato cosa è appropriato per l'ambiente in uso.

  • Assicurarsi che la registrazione eventi sia configurata con una capacità sufficiente per gestire i log.

  • Eseguire regolarmente il backup di tutti i file di log perché non possono essere ricreati quando vengono danneggiati o eliminati.

  • Usare l'attributo RADIUS Class per tenere traccia dell'utilizzo e semplificare l'identificazione del reparto o dell'utente da addebitare per l'utilizzo. Anche se l'attributo Class generato automaticamente è univoco per ogni richiesta, i record duplicati possono esistere nei casi in cui la risposta al server di accesso viene persa e la richiesta viene reinviata. Potrebbe essere necessario eliminare richieste duplicate dai log per tenere traccia accurata dell'utilizzo.

  • Se i server proxy RADIUS e i server proxy RADIUS inviano periodicamente messaggi di richiesta di connessione fittizia a Server dei criteri di rete per verificare che il server dei criteri di rete sia online, usare l'impostazione ping user-name del registro. Questa impostazione configura NPS per rifiutare automaticamente queste richieste di connessione false senza elaborarle. Inoltre, NPS non registra le transazioni che coinvolgono il nome utente fittizio in alcun file di log, che semplifica l'interpretazione del registro eventi.

  • Disabilitare l'inoltro delle notifiche NAS. È possibile disabilitare l'inoltro dei messaggi di avvio e arresto dai server di accesso alla rete ai membri di un gruppo di server RADIUS remoto configurato in NPS. Per maggiori informazioni, consultare la sezione Disabilitare l'inoltro delle notifiche NAS.

Per maggiori informazioni, consultare la sezione Configurare la contabilità di server dei criteri di rete.

  • Per fornire failover e ridondanza con la registrazione di SQL Server, posizionare due computer che eseguono SQL Server in subnet diverse. Utilizzare la Crea procedura guidata pubblicazione di SQL Server per configurare la replica di database tra i due server. Per maggiori informazioni, consultare la sezione Documentazione tecnica di SQL Server e Replica di SQL Server.

Autenticazione

Di seguito sono riportate le procedure consigliate per l'autenticazione.

  • Usare metodi di autenticazione basati su certificati, ad esempio PEAP (Protected Extensible Authentication Protocol) e Extensible Authentication Protocol (EAP) per l'autenticazione avanzata. Non usare metodi di autenticazione solo password perché sono vulnerabili a un'ampia gamma di attacchi e non sono sicuri. Per l'autenticazione wireless sicura, è consigliabile usare PEAP-MS-CHAP v2, perché il server dei criteri di rete dimostra la propria identità ai client wireless usando un certificato server, mentre gli utenti dimostrano la propria identità con il nome utente e la password. Per maggiori informazioni sull'uso di Server dei criteri di rete nella distribuzione wireless, consultare la sezione Distribuire l'accesso wireless basato su password 802.1X.
  • Distribuire un'autorità di certificazione (CA) personalizzata con Servizi certificati Active Directory® quando si usano metodi di autenticazione basati su certificati sicuri, ad esempio PEAP e EAP, che richiedono l'uso di un certificato server nei server dei criteri di rete. È anche possibile usare la CA per registrare certificati computer e certificati utente. Per maggiori informazioni sulla distribuzione dei certificati server nei server Server dei criteri di rete e di Accesso remoto, consultare la sezione Distribuire certificati server per distribuzioni cablate e wireless 802.1X.

Importante

Server dei criteri di rete (NPS) non supporta l'uso dei caratteri ASCII estesi all'interno delle password.

Configurazione computer client

Di seguito sono riportate le procedure consigliate per la configurazione del computer client.

  • Configurare automaticamente tutti i computer client del membro di dominio 802.1X usando Criteri di gruppo. Per maggiori informazioni, consultare la sezione "Configurare la rete wireless (I edizione Enterprise E 802.11) Criteri" nell'argomento Distribuzione dell'accesso wireless.

Suggerimenti per l'installazione

Di seguito sono riportate le procedure consigliate per l'installazione di NPS.

  • Prima di installare NPS, installare e testare ognuno dei server di accesso alla rete usando metodi di autenticazione locali prima di configurarli come client RADIUS in NPS.

  • Dopo aver installato e configurato Server dei criteri di rete, salvare la configurazione usando il comando di Windows PowerShell Export-NpsConfiguration. Salvare la configurazione di NPS con questo comando ogni volta che si riconfigura NPS.

Attenzione

  • Il file di configurazione NPS esportato contiene segreti condivisi non crittografati per i client RADIUS e per i membri dei gruppi di server RADIUS remoti. Per questo motivo, assicurarsi di salvare il file in un percorso sicuro.
  • Il processo di esportazione non include le impostazioni di registrazione per Microsoft SQL Server nel file esportato. Se si importa il file esportato in un altro NPS, è necessario configurare manualmente la registrazione di SQL Server nel nuovo server.

NPS ottimizzazione delle prestazioni

Di seguito sono riportate le procedure consigliate per NPS ottimizzazione prestazioni.

  • Per ottimizzare i tempi di risposta per l'autenticazione e l'autorizzazione di NPS e ridurre al minimo il traffico di rete, installare NPS in un controller di dominio.

  • Quando vengono usati i nomi delle entità universali (UPN) o Windows Server 2008 e Windows Server 2003, NPS usa il catalogo globale per autenticare gli utenti. Per ridurre al minimo il tempo necessario per eseguire questa operazione, installare NPS in un server di catalogo globale o in un server che si trova nella stessa subnet del server di catalogo globale.

  • Dopo aver configurato gruppi di server RADIUS remoti e, in Criteri di richiesta connessione NPS, deselezionare la casella di controllo Informazioni di contabilità record sui server nel seguente gruppo di server RADIUS remoti, a questi gruppo sono ancora inviati messaggi di notifica avvio e interruzione server accesso rete (NAS). In questo modo, viene creato traffico di rete non necessario. Per eliminare questo traffico, disabilitare l'inoltro delle notifiche NAS per singoli server in ogni gruppo di server RADIUS remoto deselezionando la casella di controllo Inoltra notifiche di avvio e arresto della rete a questo server .

Uso di NPS in organizzazioni di grandi dimensioni

Di seguito sono riportate le procedure consigliate per l'uso di NPS in organizzazioni di grandi dimensioni.

  • Se si usano criteri di rete per limitare l'accesso per tutti i gruppi, ma determinati gruppi, creare un gruppo universale per tutti gli utenti a cui si vuole consentire l'accesso e quindi creare criteri di rete che concedono l'accesso a questo gruppo universale. Non inserire tutti gli utenti direttamente nel gruppo universale, soprattutto se si dispone di un numero elevato di loro nella rete. Creare invece gruppi separati membri del gruppo universale e aggiungere utenti a tali gruppi.

  • Usare un nome dell'entità utente per fare riferimento agli utenti quando possibile. Un utente può avere lo stesso nome dell'entità utente indipendentemente dall'appartenenza al dominio. Questa procedura offre scalabilità che potrebbe essere necessaria nelle organizzazioni con un numero elevato di domini.

  • Se il server dei criteri di rete (NPS) è stato installato in un computer diverso da un controller di dominio e NPS riceve un numero elevato di richieste di autenticazione al secondo, è possibile migliorare le prestazioni di NPS aumentando il numero di autenticazioni simultanee consentite tra NPS e il controller di dominio. Per maggiori informazioni, consultare la sezione Aumentare le autenticazioni simultanee elaborate da NPS.

Problemi di sicurezza

Di seguito sono riportate le procedure consigliate per ridurre i problemi di sicurezza.

Quando si amministra un NPS in modalità remota, non inviare dati sensibili o riservati (ad esempio, segreti o password condivisi) in rete in testo non crittografato. Esistono due metodi consigliati per l'amministrazione remota degli NPS:

  • Usare Servizi Desktop remoto per accedere a NPS. Quando si usa Servizi Desktop remoto, i dati non vengono inviati tra client e server. Solo l'interfaccia utente del server (ad esempio, l'immagine desktop del sistema operativo e la console NPS) viene inviata al client Servizi Desktop remoto, denominato Connessione a desktop remoto in Windows® 10. Il client invia input da tastiera e mouse, che viene elaborato localmente dal server con Servizi Desktop remoto abilitato. Quando gli utenti di Servizi Desktop remoto accedono, possono visualizzare solo le singole sessioni client, gestite dal server e indipendenti l'una dall'altra. Inoltre, Connessione desktop remoto fornisce la crittografia a 128 bit tra client e server.

  • Usare la sicurezza del protocollo Internet (IPsec) per crittografare i dati riservati. È possibile usare IPsec per crittografare la comunicazione tra NPS e il computer client remoto usato per amministrare NPS. Per amministrare il server in modalità remota, è possibile installare gli Strumenti di amministrazione remota del server per Windows 10 nel computer client. Dopo l'installazione, usare Microsoft Management Console (MMC) per aggiungere lo snap-in Server dei criteri di rete alla console.

Importante

È possibile installare gli strumenti di amministrazione server remoto per Windows 10 solo nella versione completa di Windows 10 Professional o Windows 10 Enterprise.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).