------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------70-411--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Module 7: Implementing Network Access Protection

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Network Access Protection:

Ademas de usar herramientas como cortafuegos, sistemas de deteccion de instrusos, antivirus, antimalware, .,
ahora vamos a implementar otra capa de seguridad.

Se suele decir que La seguridad de una red es igual a la del nodo mas debil. Con NAP vamos a intentar garantizar
cierto nivel de seguridad en todos los hosts que se van a conectar a nuestra red.
Estableceremos una serie de politicas de salud (Health Policies) de forma que los hosts pueden estar en 2
situaciones:
Compliant: Cumple con los requisitos de estas politicas
Non-compliant: no cumple con estos requisitos.
Non NAP-Capable: Son host de sistemas operativos antiguos o no son sistemas operativos de microsoft y no
soportan NAP. En estos casos, tenemos que definir que hacer con estos hosts.

Si un host en compliant, tendra acceso completo a la red.

Si un host es Non-compliant, tendremos que decidir si lo aislamos (Cuarantine) o lo derivamos a una red Restringida.
En la red restringida tendremos un conjunto de servidores que llamamos servidores de remediacion, que van a
permitir al host actualizarse para cumplir con las politicas. Entre otros servidores, tenemos en esta red de
remediacion los siguientes:
-

WSUS: Windows Server Update Services para que los hosts descarguen y apliquen las ultimas
actualizaciones del sistema operativo.

Servidor de firmas de virus: para que el host descargue las ultimas firmas y actualice el antivirus.

Proxy: para permitir el acceso a internet del host y que actualice aquellos aspectos que le fallan en la
politica de salud

Una vez se han actualizado, los host pueden solicitar de nuevo el acceso a la red. En la mayoria de los casos el
sistema NAP monitoriza de forma activa los hosts y les concede el acceso (Cuando ya son compliant) sin que lo
tengan que pedir de nuevo.
Podemos usar NAP para cualquier sistema operativo de microsoft desde Windows XP SP3 y Windows Server 2008

Con esta aplicacin podemos mover los archivos locales de actualizacin

Move content

Entre otros, los requisitos de saludos mas habituales son:

-

Firewal habilitado.

Actualizaciones de seguridad del sistema operativo instaladas.

Antivirus y antimalware habilitado y actualizado.

Puede aplicarse a productos de microsoft y a productos de terceros. NAP es un sistema extensible y los fabricantes
pueden desarrolar agentes NAP para sus productos.

NAP no puede:
-

Evitar que un usuario autorizado y que cumpla las politicas de salud haga cosas que no debe hacer

Evitar que hosts con sistemas operativos windows sp2 o inferiores, o de otros fabricante, accedan a la
red si se ha creado una excepcion para ellos. Si creamos una excepcion en las politicas de salud para ,por
ejemplo permitir que accedan iPADs, NAP ya no puede controlar estos dispositivos.

Si un host es Compliant, pero deja de cumplir los requisitos de salud, se le aisla de la red aunque previamente
hubiera tenido acceso.

Metodos de Refuerzo (Enforcement) NAP:

El sistema NAP nos permite usar varios metodos para forzar la seguridad de la red, es decir, para aislar los hosts NonCompliant

IPSec Enforcement: Es el mas robusto de todos los metodos. Puede usarse para el acceso desde el
exterior y para la comunicacin interna entre hosts dentro de la intranet. IPSec puede proteger
mediante autenticacion, cifrado y chequeo de integridad, las comunicaciones internas entre dos hosts.
Por ejemplo, NAP puede evitar que un host tenga comunicacin con un servidor de archivos (Carpeta

compartida) independientemente del usuario y los privilegios del usuario. Si cumple con los requisitos de
salud, se le permite la conexin y esta puede estar cifrada.
-

802.1X Enforcement: Si los host se conectan a la red mediante un AP o un switch que soporte
autenticacion 802.1X, NAP controla si cumple los requisitos de salud. Si el hosts es Non-compliant, se le
corta el acceso o se le deriva a una red de remediacion. Es un sistema de seguridad robusto, pero no
ofrece cifrado como IPSec y requiere el uso de hardware compatible con 802.1X.

VPN enforcement: Si los hosts se conectan a la red atraves de un servidor NAS (Network Access Server),
NAP puede chequear su estado de salud antes de permitirle el acceso. No requiere hardware especifico,
pero solo se puede hacer para conexiones desde el exterior.

DirectAccess enforcement: DirectAccess es un tipo de VPN de Microsoft en el que no se requiere de

interaccion del usuario para abrir la VPN. El usuario esta permanentemente conectado a la VPN siempre
que tenga acceso a internet. Solo valido para las conexin externas.

DHCP enforcement: Es el metodo menos seguro. Si un host no cumple requisitos de salud, el servidor
DHCP no le asigna una IP dentro de la red local. Puede asignarle una IP de la red de remediacion. Si el
usuario del hosts es administrador local de la maquina. Puede asignarse una IP de forma estatica y
obtener acceso a la red local.

Arquitectura de NAP:
-

Cliente NAP: Software que se instala en los hosts y que recopila la informacion de Salud de ese host.
Ultimas actualizaciones instaladas, antivirus actualizado, firewall habilitado, .. Lo envia al servidor NAP
en los que se denomina SoH (Statement of Health).

HRA (Health Registration Authority): El HRA recibe el SoH de los clientes NAP y lo compara con los
requisitos de saludos que tenemos en el Health Policy Server. Si cumple con los requisitos, el HRA pide a
la autoridad certificadora (CA) un cerfificado de salud para el cliente NAP.

HPS (Health Policy Server): Contiene las politicas de Salud.

El cliente NAP incluye una serie de procesos que se donominan SHAs (System Health Agents). Cada SHA comprueba
un aspecto de seguridad:
-

Actualizaciones del sistema operativo.

Cortafuegos de Windows habilitado.

Antivirus de Windows habilitado y actualizado.

Cada fabricante desarrolla sus propios SHAs

En el HRA tenemos el equivalente a los SHAs, pero en el lado del servidor. Se donominan SHVs (Sytem Health
Validators).
-

Un SHV que se conecta a windows update o a un WSUS y comprueba cuales son realmente las ultimas
actualizaciones.

Un SHV que se conecta a un servidor de firmas de antivirus (de Microsoft o de terceros) y verifical cual es
la ultima firma

Un SHV para comprobar si el Firewall (de Microsoft o de otros fabricante) esta habilitado o no.

Una policy Health es un conjunto de SHVs y cuales de ellos se tiene que complir para considerar que un cliente NAP
es compliant o no. La politica puede incluir excepciones, por ejemplo, cuando un host es non NAP-Capable.

IPSec Enforcement:
Es un tipo de refuerzo de NAP que se puede implementar para equipos dentro de la red local y tambien para
conexiones desde el exterior. El unico que se puede usar tanto para dentro como fuera de la red local.
IPSec es una suite de protocolos capa 3 que proporcionan:
-

Autenticacion

Cifrado

Integridad

Permite establecer conexiones seguras entre 2 equipos de la red. Habitualmente, el unico trafico cifrado en un
dominio es la replicacion del AD. Con IPSec pordemos cifrar todas las comunicaciones.
Podemos definir con IPSec 3 subredes:
-

Secure Network: Todos los equipos de esta red son NAP capable, tiene certificados de salud y exigen
cetificados de salud para la conexin con otro Host. Aqu podemos tener servidores de archivos,
servidores de impresin, Clientes criticos

Boundary Network: Todos los equipos de esta red son NAP capable, tienen certificados de salud, aunque
no los exigen para la conexin con otro host. Pueden comunicarse con los hosts de la Secure Network
(Por que tienen los certificados que les exigen) y con los de la Restricted Network (No exigen certificados
para que otro host se conecte con ellos). Aqu tenemos servidores de aceso como VPN o DCHP

Restricted Network: Los equipos de esta red son Non NAP-Capable o NAP-Capable pero sin certificado.

Podemos usar IPSec para proteger las comunicaciones:

-

Todos los hosts del dominio

Para una subred dentro del dominio

Para determinados servicios en base a direcciones IP y puertos, tanto TCP como UDP.

Por ejemplo, podemos proteger la conexin con un servidor de archivos (SMB) que contiene documentos
confidenciales, Pero dejar sin cifrado una conexin al mismo servidor por puerto 80.
Consideraciones para IPSec Enforcement:
-

Es el mas complejo. Requiere de HRA y CA (Certification authority).

Se puede usar para la red local y para el acceso desde el exterior

No requiere hardware especifico

Es el mas robusto

Podemos usarlo para IPv4 e IPv6

802.1X Enfrocement:
Podemos restringir el acceso de hosts Non-compliant en switches o puntos de acceso que soporten el protocolo
802.1X.
La limiacion de acceso se lleva a cabo mediante un perfil de red, como puede ser una VLAN separada para los NONcompliant o un SSID sin conexin al resto de la red.
No es necesario contar con HRA y CA, pero si con clientes que soporten PEAP.

Consideraciones para usar 802.1X Enfrocement:

-

Es robusto y no requiere de servidores certificados ni HRA.

Solo puede usarse para la red local

Requiere hardware especifico.

No podemos filtrar las conexiones por IP o puertos

VPN/DirectAccess Enforcement:
-

La restriccion de acceso se hace en los NAS (Network Access Server), como pueden ser el RRAS
actuando como servidor VPN

No requiere HRA, CAs ni hardware especifico.

No permite filtrar por IPs o por puertos al acceso a servicios dentro de la red.

DHCP Enforcement:
La resticcion se basa en asignar o no una dirreccion IP valida a un host si es compliant o no.
Consideraciones para usar DHCP Enforcement:
-

Es el metodo mas debil. Si se asigna una IP estatica al host tendra acceso a la red.

No habilita cifrado.

No requiere HRA, Cas ni hardware especifico.

Solo para acceso local

System Health validators (SHV):

Los SHV son la contraparte de los SHAs en el lado del servidor:
-

Cliente NAP: SHA

Servidor NAP: SHV

Por cada SHA en el cliente hay un SHV en el servidor. El SHC recibe el SoH del SHA y lo compara con los requisitos de
las politicas. Tras la comparacion, el SHV devuelve un SoHR (Statement os Health Response) al agente. En esa
respuesta informa al cliente NAP de que requisitos debe cumplir para ser compliant.

Health Policy:
Una politica de Salud es un conjunto de SHVs y otras configuraciones. Por ejemplo, una politica podria ser: para
que un host sea compliant, debe tener el firawall activado y las actualizaciones de seguridad
Otra podria ser: para que sea compliant, debe tener el firewall activado O las actualizaciones de seguridad
Si un host es compliant, tendra acceso completo a la red.
Si un host es Non-compliant hay varias opciones:
-

Rechazar su conexin

Redirigir a la red restringida con los servidores de remediacion.

Permitir su conexin independientemente de su estado de salud (SoH)

Remediation Servers:
Servidores que se encuentran en la red restringida y que permiten que un host non-compliant se actualice para
pasar a ser compliant.
-

Servidor WSUS.

Servidor de firmas antivirus

Configuracion de NAP:
Algunos SHVs requieren que los clientes este habilitado el Windows Security Center. Por ejemplo, el SHV del firewall
con seguridad avanzada de Microsoft. De esta forma, el agente NAP puede cambiar el estado del firewall si no
cumple con las politicas y puede avisar al usuario de esa falta de cumplimiento.
Windows Security Center no esta en windows Server.
Tendremos que habilitar el NAP Service en el cliente.

Configuracion de NAP por DHCP

Activar Centro de seguridad (GPO local)
Atencion! Solo se puede activar el centro de seguridad en equipos unidos a un dominio

Primero activamos a nivel de politica el centro de seguridad

Despues configuramos el Servicio del agente NAP

Y ahora hay que reiniciar para que se apliquen los cambios por es una politica de equipo local.

Ahora nos vamos al servidor que va a controlar el acceso a la red del cliente mediante DHCP y NAP

Configuramos el ambito en el DCHP

Ahora instalamos el ROL para NAP

Elegimos las opciones que queramos del NAP y vamos a crear la politica de salud para los que son compliant y los
non-compliant

Ahora para los Non-Compliants

Asi queda

Ahora creamos las politicas de red

Cuidado con la autenticacion hay que elegir solo comprobar salud de la maquina ya que el DCHP no pide usuario y
contrasea

Ahora para los non-compliant

Se deja en acceso concedido para luego limitar la conexin

Importante para el examen grupo de remediacion y auto remediacion

Ahora vamos a terminar de configurar el DCHP

Ahora creamos las politicas del DCHP

Cuidado la opcion de NAP solo esta en el criterio user class

Ahora configurar en el cliente para decirle que tipo de enforcement estamos usando desde una mmc

Aqu vemos los SHA

Como es de DCHP la que estamos configurando habilitamos el SHA

Reiniciamos para que se aplique la configuracion

Ya hemos terminado ahora si el cliente tiene el firewall activado el DCHP le dara ip, si no, el NAP le habilitara el
firewall automaticamente

Ejercicio: Configurar el Servicio NAP para que los equipos (LON-CL1) non comliant los derive a una red que se llame
remediation.adatum.com con un rango de Ips 192.168.30.201-210
Necesitamos una tarjeta de red en la red para el que el DCHP pueda entregar ips en la subred de mediacion
Primero quitamos la autoremediacion y despues creariamos el scope

IPSec:
IPSec es una suite de protocolos de seguridad. Es un estandar desarrollado por el IETF (Internet Engineering Task
Force)
Cualquier sistema operativo actual tiene soporte para IPSec.
Aporta:
-

Confidencialidad mediante cifrado

Autenticacion

Chequeo de integridad

Incluye funcionalidad como el intercambio de claves. De esta forma ayuda a que la principal vulnerabilidad de los
algoritmos simetricos sea mas dificil de explotar.

IPSec puede funcionar en dos modos:

-

AH (Authentication Header): Solo se utilizan metodos de autenticacion (de un unico extremo o mutua).
No se aplica cifrado a la carga.

ESP (Encryption/Encapsulation Security Payload): Se aplica cifrado a la carga para conseguir

confidencialidad e integridad.

Es un protocolo de capa 3, lo que significa que es transparente para los servicios.

Por ejemplo, en SSL para HTTPS, solo se cifra el trafico que va por el puerto 443. Si ademas queremos cifrar el trafico
FTP, tendriamos que habilitar FTPS. Si queremos cifrar el correo electronico POP3, tendriamos que habilitar POPS.

Con IPSec todos los servicios van protegidos.

Usando IPSec podemos proteger las conexiones desde el exterior mediante VPNs y las conexiones internas entre
pares de hosts. Se suele usar para cifrar las conexiones de equipos cliente con servidores, pero no entre DC.
IPSec tiene dos modos de comunicacin:
-

Modo transporte:Se utiliza para las VPNs L2TP (Layer 2 tunnelling protocol) en las VPNs de acceso
remoto

Modo tunel: Se utiliza para crear VPNs sitio a sitio

Requisitos para implementar IPSec:

-

PKI (Public Key Infraestructure) para la emision de certificados.

AD DS que proporciona la infraestructura para la distribucion de los certificados generados en la PKI. El

proceso de solicitar un certificado, que se genere en la CA, Se distribuya a quien lo ha solicitado y se
instale, se denomina Enrollment.

Dos o mas Host que pertenecen al mismo dominio

Autenticacion:
-

Si estamos en un dominio, podemos usar Kerberos v5.

Certificados emitidos por una CA confiable.

Clave Pre-compartida. Ofrece el minimo nivel de seguridad porque la clave se almacena en plano. Se
puede usar para hacer pruebas, pero nunca en produccion.

Cifrado:
-

DES (Data Encryption System): Usa una clave de cifrado de 56 bits y no se considera seguro.

3DES: Usa 3 claves de 56 bits. Cifra con la primera descifra con la segunda y vuelve a cifrar con la tercera
no se considera seguro.

AES (Advances Encryption Standar): Tiene claves de 128, 192 y 256 bits

Integridad:
Usa los mismo algoritmos que para el cifrado. IPSec soporta otros algoritmos como RSA o SHA-1.

Para consguir autenticacion, cifrado e integridad entre dos extremos, estos deben ponerse de acuerdo en las
opciones que van a elegir en cada categoria. El conjunto de algoritmos que selecciona cada extremo para la conexin
se denomina asociacion de seguridad (Security Association, SA).

Ejemplo IPSec:
Host1: Kerberos v5 + 3DES
Host2: Certificados +AES
Si las SAs en cada extremo no coninciden, no habra comunicacin segura mediante IPSec.

IPSec Enforcement:
El metodo de Enforcement mas robusto en NAP es IPSec Enforcement
Este metodo exige algunos Requisitos:
-

CA (Certificate Authority): emite certificados.

HRA (Health Resgistry Authority): Recibe los SoH de parte de los agentes NAP y pide a la CA un
certificado para el cliente.

NPS para guardar las Health Policies.

Cliente NAP que soporte IPSec Enforcement.

Dependiendo del estado de salud de los clientes, IPSec divide la red en 3 zonas o subredes
-

Secure Network: tienen su certificado de salud y a cualquier host que quiera comunicar con ellos
tambien le exige el certificado de salud.

Boundary Network: Tienen certificado de salud, aunque no lo exigen a aquien quiera comunicar con
ellos.

Restricted Network: Los host no soportan NAP o si lo soportan, pero no tienen certificado de salud.

Comunicaciones posibles entre estas 3 redes:

Secure <-> Secure

Secure <-> Boundary

Boundary <-> Boundary

Boundary <-> Restricted

Restricted <-> Restricted

Proceso de IPSec Enforcement:

Ya tenemos toda la red con los requisitos para IPSec Enfocement implementada y un host quiere conectarse con la
red Secure Network:

1- El host que quiere acceder a la red esta inicialmente en la restricted Network.

2- Accede a la red restringida y obtiene una direccion IP. El DHCP esta en la Boundary Network.
3- El cliente NAP envia el SoH al HRA. El HRA esta en la Boundary Network. Envia el SoH usando HTTP o HTTPS.
4- El HRA reenvia el SoH al NPS (Servidor NAP), que esta en la Secure Network. Esta comunicacin se lleva a
cabo usando mensajes RADIUS.
5- El NPS recibe el SoH y lo pasa a los SHVs.
6- Los SHVs analizan el SoH y devuelven una respuesta (SoHR) al NPS. El analisis se hace comparando con las
Health Policies definidas en la red
7- El SoHR se devuelve al HRA.
8- El HRA devuelve el SoHR al cliente NAP.
a. Si el cliente es Compliant, el HRA solicita un certificado para el cliente y se lo envia. La CA esta en la
Secure Network. Cuando el cliente recibe el certificado, pasa a la Secure Network.
b. Si el cliente es Non compliant, el SoHR lleva instrucciones de como remediar su situacion. El cliente
sigue en la Restricted Network hasta que remedie su estado. En esta red estaran los Remediation
Servers

NAP Compliant proceso

1- Negro
2- Verde
3- Azul (Certificado tipo X.509)

Visor de eventos NAP

Abrir consola NAP en cliente

Napclcfg

Configuracion de NAP Tracing en el cliente

Si habilitamos el Tracing en el cliente NAP se generaran archivos de log en %systemroot%/system32/logfiles:

- IASNAP.log: Informacion detallada sobre el proceso NAP
- IASSAM.log: Autenticacion y autorizacion

Tambien se puede habilitar desde linea de comandos

Netsh nap client set tracing state=enable level=advanced

Desactivar modo traza

Netsh nap client set tracing state=disable

Mostrar informacion
Netsh nap client show state

Ejercicio configurar VPN enforcement para que los host que van a conectarse a la red local desde internet usando
una vpn tengan que cumplir con las politicas de salud definidas por la empresa. Esta politica de salud establece que
los hosts deben tener el firewall activado. La autentificacion de la VPN sera EAP.

LON-DC1: DC y CA (vmnet2)
LON-RTR: RRAS y NPS

LON-CL1 Cliente NAP y VPN (vmnet3)

Autoridad Certificadora:
Es un servidor que emite certificados. Los certificados son de muchos tipos y para diferentes usos:
-

Certificados de equipo. Autenticar un servidor

Certificados de Usuario. Autenticar un usuario

Certificados de Servicio. Autenticar un servicio, como IIS para SSL

Certificados de salud. Para clientes NAP compliant

Si se usan para autenticacion, un certificado demuestra que el usuario, equipo, servicio, , es quien dice ser. La CA
es quien garantiza la identidad del certificado.
La autoridad certificadora debe ser confiable para los que los destinatarios acepten los certificados que emiten.

En Microsoft hay dos tipos de Cas:

-

Enterprise: Integrada en el directorio activo

Stand-alone: No integrada en el directorio activo

Si es Enterprise, podemos configurar todos los equipos y usuarios del dominio para que soliciten de forma
automatica su certificado y la CA se lo entregue (auto-enrollment)

Instalacion del Rol AD CS

Una vez instalado el rol ya no se puede cambiar el nombre, despromocionar o casi cualquir cosa
Configuracion del AD CS
IMPORTANTE!

Y asi se veria en la herramientas

Cambiar propiedades de las plantillas (dar permisos para que usuarios soliciten certificados)

Para que se aplique hay que reiniciar el servicio AD CS

Ahora configuramos una GPO para que todas los equipos del dominio pidan su certificado.

Y la enlazamos al dominio

Ahora desde una mmc vamos a ver si al propio servidor le esta dando certificado

Como es un certificado de equipo

Y ya vemos los certificados que nos ha dado la CA

Y vemos que ya tiene los certificados instalados

Ahora metemos LON-RTR en el dominio para que le genere su certificado

Vemos que la autoridad certificadora aparece

Vamos a solicitar un nuevo certificado de equipo para LON-RTR

Y ya lo tendriamos

Hacemos lo mismo con LON-CL1

IMPORTANTE PARA EL EXAMEN DIFERENCIA ENTRE SHV de windows vista en adelante a XP

A partir de windows Vista Se puede solicitar Spyware

En windows XP no aparece esta opcion

Vamos a instalar el ROL NPS en LON-RTR

Configuramos el NPS en LON-RTR solo chequeo de firewall

Lo primero registramos NPS en el DA
Hay que pedir un certificado de usuario para hacer login en la VPN

Configuracion de las politicas de salud

Ahora politica de RED

Primero la compliant como condicion ponemos la Health policy compliant que creamos antes

El check en Perform machine health check only sirve para que una vez conectado a la VPN siga comprobando que
cumple los requisitos del NAP y echarlo en cuanto NO los cumpla.

Y como es compliant dejamos el forzado de NAP en permitir full network access

Ahora para los non Compliant

Y asi quedan las 2

Ahora creamos la politica de conexin

GRE antiguo no seguro

ESP El mas seguro IPSec escapsula trafico
L2TP seguro se suele combinar con IPSec
PPTP No muy seguro aun se usa
SSTP utilizan puertos especificos 443 y obliga a certificado de servidor web

El propio servidor va autenticar por esta esta metido en dominio si no estubiera tendriamos que configurar un
servidor RADIUS

Al aadir el PEAP estamos configurando la autenticacion de la maquina con certificado de equipo tambien forzamos
NAP

Y ahora ponemos tambien EAP-MSCHAP v2 para autenticar tambien al usuario con certificado de usuario

Y ya estaria

Ahora vamos a configurar el RTR como VPN

Volver a comprobar las politicas de conexin en el NPS porque automaticamente activa una nueva despues de
configurar el VPN

Vamos a crear una regla en el firewall para permitir el ping en LON-RTR

Vamos a configurar el NAP en el cliente NAPCLCFG.MSC (Se puede hacer por politicas)

Comprobamos que el servicio esta iniciado en el Cliente

Tambien comprobamos si es Security center esta habilitado para que la autoremediacion funcione por GPO o
gpedit.msc

Ahora vamos a crear la conexin a la VPN en el cliente

Modificamos la configuracion de autenticacion de la VPN para que pida certificado de equipo

Quitamos fast reconnect para que no almacene las contraseas en cache

Si apagamos el firewall nos echa automaticamente de la VPN.

Para configurar el NAP en los clientes por GPO

Primero activar el servicio

Y el forzado de NAP

Modulo 7 q9 IPv4 y el ambito contoso newyork

Hemos creado una CA Enterprise para la emision de certificados.

-

Nos permite distribuir certificados usando el AD

Los equipos y usuarios pueden solicitar y recibir de forma automatica certificados (GPO)

La CA se convierte en confiable (trusted) de forma automatica

Para abrir la consola del la entidad certificadora

Certsrv.msc

Marcando esta opcion seguiremos monitorizando al equipo una vez este dentro de la VPN y si deja de ser compliant
se le sacara fuera de la VPN