Exportar (0) Imprimir
Expandir Tudo
10 de 15 pessoas classificaram isso como útil - Avalie este tópico

Proteção de Acesso à Rede

Atualizado: janeiro de 2008

Aplica-se a: Windows Server 2008

A Proteção de Acesso à Rede (NAP) é um novo conjunto de componentes de sistema operacional incluído no Windows Server® 2008 e no Windows Vista® que fornece uma plataforma para ajudar a assegurar que os computadores clientes em uma rede particular atendam a requisitos definidos pelo administrador, visando à integridade do sistema. As diretivas de NAP definem a configuração necessária e o status de atualização para o sistema operacional e componentes de software críticos de um cliente. Por exemplo, os computadores podem precisar ter instalados software antivírus com as assinaturas mais recentes e atualizações do sistema operacional, além de um firewall baseado em host habilitado. Ao impor a conformidade com requisitos de integridade, a NAP pode ajudar os administradores de rede a atenuar alguns dos riscos causados pela configuração incorreta de computadores clientes, que podem estar expostos a vírus e outros tipos de software mal-intencionado.

O que a Proteção de Acesso à Rede faz?

A NAP impõe requisitos de integridade monitorando e avaliando a integridade de computadores clientes quando esses computadores tentam se conectar ou comunicar em rede. Se os computadores clientes forem determinados como incompatíveis com requisitos de integridade, podem ser colocados em uma rede restrita que contém recursos para ajudar a atualizar computadores clientes para compatibilizá-los com diretivas de integridade.

Quem estaria interessado neste recurso?

A NAP interessa aos administradores de redes e de sistemas que desejam impor requisitos de integridade do sistema para computadores clientes conectados a redes às quais eles ofereçam suporte. Com a NAP, os administradores de rede podem:

  • Assegurar a integridade de computadores desktop da rede local (LAN) configurados para DHCP ou que se conectem via dispositivos de autenticação 802.1X, ou ainda que possuam diretivas de segurança do protocolo IPsec da NAP aplicadas às suas comunicações.

  • Impor requisitos de integridade para laptops móveis quando se reconectam à rede da empresa.

  • Verificar a conformidade diretivas e requisitos de integridade de computadores domésticos não gerenciados que se conectam à rede da empresa através de servidores de VPN que executem Roteamento e Acesso Remoto.

  • Determinar a integridade e restringir o acesso de laptops levados a uma organização por visitantes e parceiros.

Dependendo das suas necessidades, os administradores podem configurar uma solução dirigida a um ou todos esses cenários.

A NAP também inclui um conjunto de interface de programação de aplicativos (API) para que desenvolvedores e fornecedores criem seus próprios componentes para validação de diretivas de rede, compatibilidade contínua e isolamento de redes.

Há considerações especiais?

As implantações de NAP exigem servidores com Windows Server 2008. Além disso, são necessários computadores clientes com Windows Vista, Windows Server 2008 ou Windows XP com Service Pack 3 (SP3). O servidor central que executa a análise de determinação da integridade para a NAP é um computador com Windows Server 2008 e Servidor de Diretivas de Rede (NPS). O NPS é uma implementação do Windows para servidor e proxy Remote Authentication Dial-in User Service (RADIUS). O NPS substitui o Serviço de Autenticação da Internet (IAS) no Windows Server 2003. Os dispositivos de acesso e servidores NAP atuam como clientes RADIUS para um servidor RADIUS baseado em NPS. O NPS autentica e autoriza uma tentativa de conexão de rede e, com base em diretivas de integridade do sistema configuradas, determina a compatibilidade de integridade do computador e como limitar o acesso à rede de computadores incompatíveis.

Que nova funcionalidade este recurso oferece?

A plataforma NAP é uma nova tecnologia de validação de integridade e imposição incluída nos sistemas operacionais Windows Server 2008 e Windows Vista.

noteObservação
A estrutura da NAP não é igual à do Controle de Quarentena de Acesso à Rede, que é um recurso fornecido com o Windows Server 2003 e o Internet Security and Acceleration (ISA) Server 2004. O Controle de Quarentena de Acesso à Rede pode fornecer proteção adicional para conexões de acesso remoto (dial-up e VPN). Para obter mais informações sobre o Controle de Quarentena de Acesso à Rede no Windows Server 2003, consulte o texto sobre Controle de Quarentena de Acesso à Rede no Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=56447). (Essa página pode estar em inglês.) Para obter mais informações sobre esse recurso no ISA Server 2004, consulte o texto sobre Clientes VPN móveis e controle de quarentena no ISA Server 2004 Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449). (Essa página pode estar em inglês.)

Por que essa funcionalidade é importante?

Um dos maiores desafios dos negócios hoje é a crescente exposição de dispositivos clientes a software mal-intencionado, como vírus e worms. Esses programas podem entrar em sistemas host desprotegidos ou incorretamente configurados e usar esses sistemas como ponto de apoio para propagação a outros dispositivos na rede corporativa. Os administradores de rede podem usar a plataforma NAP para proteger sua rede assegurando que os sistemas clientes mantenham configurações corretas e atualizações de software para ajudar a protegê-los contra software mal-intencionado.

Principais processos de NAP

Vários processos-chave são exigidos para que a NAP funcione corretamente: validação de diretiva, imposição de NAP e restrição à rede, correções e monitoramento contínuo para assegurar a compatibilidade.

Validação de diretiva

Os validadores da integridade do sistema (SHVs) são usados pelo NPS para analisar o status de integridade de computadores clientes. Os SHVs são incorporados em diretivas de rede que determinam ações a serem adotadas com base no status de integridade de clientes, como conceder total acesso de rede ou restringir o acesso à rede. O status de integridade é monitorado por componentes de NAP no cliente chamados de agentes de integridade do sistema (SHAs). A NAP usa SHAs e SHVs para monitorar, impor e atualizar configurações do computador cliente.

O Agente de Integridade da Segurança do Windows e o Validador da Integridade da Segurança do Windows são incluídos nos sistemas operacionais Windows Server 2008 e Windows Vista e impõem as seguintes configurações para computadores compatíveis com NAP:

  • O computador cliente tem software de firewall instalado e habilitado.

  • O computador cliente tem software antivírus instalado e em execução.

  • O computador cliente tem atualizações de antivírus mais recentes instaladas.

  • O computador cliente tem software anti-spyware instalado e em execução.

  • O computador cliente tem atualizações de anti-spyware mais recentes instaladas.

  • O Microsoft® Update Services está habilitado no computador cliente.

Além disso, se os computadores clientes compatíveis com NAP estiverem executando o Windows Update Agent e estiverem registrados em um servidor WSUS (Windows Server Update Service), a NAP poderá verificar se as atualizações mais recentes de segurança do software estão instaladas com base em um dos quatro valores possíveis que correspondem às classificações de severidade de segurança da Microsoft Security Response Center (MSRC).

Imposição de NAP e restrição da rede

A NAP pode ser configurada para impedir que computadores clientes incompatíveis acessem a rede ou permitir que acessem somente uma área restrita dessa rede. Uma área restrita deve conter serviços-chave de NAP, como servidores de Autoridade de Registro de Integridade (HRA) e servidores de atualizações, de modo que clientes NAP incompatíveis possam atualizar suas configurações para cumprir os requisitos de integridade.

As configurações de imposição de NAP permitem limitar o acesso à rede de clientes incompatíveis ou apenas observar e registrar o status de integridade de computadores clientes compatíveis com NAP.

Você pode optar por restringir o acesso, adiar a restrição de acesso ou permitir acesso com o uso das seguintes configurações:

  • Permitir acesso total à rede. Esta é a configuração padrão. Os clientes que correspondem às condições da diretiva são considerados compatíveis com os requisitos de integridade e obtêm acesso irrestrito à rede, se a solicitação de conexão for autenticada e autorizada. O status de compatibilidade de integridade de computadores compatíveis com a NAP é registrado.

  • Permitir acesso total à rede por tempo limitado. Os clientes que correspondem às condições da diretiva obtêm acesso irrestrito, temporariamente. A imposição de NAP é retardada até as data e hora especificadas.

  • Permitir acesso limitado. Os computadores clientes que correspondem às condições da diretiva são considerados incompatíveis com os requisitos de integridade da rede e colocados na rede restrita.

Remediação

Os computadores clientes incompatíveis colocados em uma rede restrita podem sofrer correções. Correção é o processo de atualizar automaticamente um computador cliente para que atenda aos requisitos de integridade atuais. Por exemplo, uma rede restrita pode conter um servidor File Transfer Protocol (FTP) que fornece assinaturas de antivírus atuais de modo que computadores clientes incompatíveis possam atualizar suas assinaturas desatualizadas.

Você pode usar as configurações de NAP nas diretivas de rede NPS para configurar a correção automática, de forma que os componentes do cliente NAP tentem atualizar automaticamente o computador cliente quando ele estiver incompatível com os requisitos de integridade de rede. Você também pode usar a seguinte configuração de diretiva de rede para definir as correções automáticas:

  • Correção automática. Se a opção Habilitar correção automática de computadores cliente estiver selecionada, a correção automática estará habilitada e computadores compatíveis com NAP que não atendam aos requisitos de integridade tentarão atualizar-se automaticamente.

Monitoramento contínuo para assegurar a compatibilidade

A NAP pode impor a compatibilidade de integridade em computadores clientes compatíveis já conectados à rede. Essa funcionalidade é útil para assegurar que uma rede esteja continuamente protegida quando houver mudança nas diretivas de integridade e na integridade dos computadores clientes. Por exemplo, se a diretiva de integridade exigir que o Firewall do Windows seja ativado mas um usuário o tiver desativado inadvertidamente, a NAP pode determinar se o computador cliente está em estado compatível. A NAP colocará o computador cliente na rede restrita até que o Firewall do Windows seja reativado.

Se a correção automática estiver habilitada, computadores clientes NAP podem habilitar automaticamente o Firewall do Windows sem intervenção do usuário.

Métodos de imposição NAP

Com base no estado de integridade de um computador cliente, a NAP pode permitir acesso total à rede, limitar o acesso a uma rede restrita ou negar o acesso à rede. Os computadores clientes classificados como incompatíveis com as diretivas de integridade também podem ser automaticamente atualizados para que atendam a esses requisitos. O modo como a NAP é imposta depende do método de imposição escolhido. A NAP impõe diretivas de integridade para:

  • Tráfego protegido por IPsec

  • Controle de acesso de rede com fio e sem fio baseada na porta 802.1X

  • Redes virtuais privadas (VPN) com serviço de Roteamento e Acesso Remoto

  • Concessão e renovação de endereço IPv4 do protocolo DHCP

  • Conexões com um servidor Gateway de Serviços de Terminal (TS Gateway)

As seções a seguir descrevem esses métodos de imposição.

Imposição de NAP para comunicações IPsec

A imposição de NAP para tráfego protegido por IPsec é implantada com um servidor de certificados de integridade, um servidor HRA, um servidor NPS e um cliente de imposição IPsec. O servidor de certificados de integridade emite certificados X.509 para clientes NAP considerados compatíveis com os requisitos de integridade da rede. Esses certificados são usados para autenticar os clientes NPA quando eles iniciam comunicações protegidas por IPsec com outros clientes NPA na intranet.

A imposição IPsec confina a comunicação da rede com clientes compatíveis e oferece a forma mais segura de imposição de NAP. Como esse método de imposição usa o IPsec, você pode definir requisitos de comunicações protegidas por endereço IP ou por número de porta TCP/UDP.

Imposição NAP para 802.1X

A imposição de NAP para controle de acesso à rede baseado na porta 802.1X é implantada com um servidor NPS e um componente cliente de imposição EAPHost. Com a imposição baseada na porta 802.1X, o servidor NPS instrui um switch de autenticação 802.1X ou um ponto de acesso de rede sem fio compatível com 802.1X a colocar clientes incompatíveis com 802.1X em uma rede restrita. O NPS limita o acesso de rede do cliente à rede restrita instruindo o ponto de acesso a aplicar filtros IP ou um identificador virtual de LAN à conexão. A imposição 802.1X oferece forte restrição de rede para todos os computadores que acessam a rede através de dispositivos de acesso de rede compatíveis com 802.1X.

Imposição de NAP para VPN

A imposição de NAP para VPN é implantada com um componente servidor de imposição de VPN e um componente cliente de imposição de VPN. Usando a imposição de NAP para VPN, os servidores VPN podem impor diretivas de integridade quando os computadores clientes tentam se conectar à rede usando uma conexão VPN de acesso remoto. A imposição de VPN oferece acesso à rede limitado e seguro a todos os computadores que acessam a rede por meio de uma conexão VPN.

Imposição de NAP para DHCP

A imposição de DHCP é implantada com um componente servidor de imposição de NAP, um componente cliente de imposição de DHCP e um NPS. Quando a imposição de DHCP é usada, os servidores DHCP e o NPS podem impor a diretiva de integridade quando um computador tentar conceder ou renovar um endereço IP versão 4 (IPv4). O NPS limita o acesso de rede do cliente à rede restrita instruindo o servidor DHCP a atribuir uma configuração de endereço IP limitado. Entretanto, se os computadores clientes estiverem configurados com um endereço IP estático ou tiverem outra configuração para descartar a configuração do endereço IP, a imposição do DHCP não é eficaz.

Imposição NAP para TS Gateway

A imposição de NAP para TS Gateway é implantada com um componente servidor de imposição de TS Gateway e um componente cliente de imposição de TS Gateway. Usando a imposição de NAP para TS Gateway, o servidor TS Gateway pode impor a diretiva de integridade em computadores clientes que tentam se conectar a recursos corporativos internos através do servidor TS Gateway. A imposição de TS Gateway oferece acesso à rede limitado e seguro a todos os computadores que acessam a rede via conexão TS Gateway.

Técnicas combinadas

Cada método de imposição de NAP tem vantagens diferentes. Combinando métodos de imposição, você pode combinar as vantagens desses diferentes métodos. Entretanto, quanto mais métodos de imposição NAP você implantar, mais complexo será o gerenciamento da NAP.

A estrutura de NAP também fornece um conjunto de APIs que permitem que empresas que não a Microsoft integram seu software na plataforma NAP. Usando as APIs NAP, os desenvolvedores e fornecedores de software podem fornecer soluções ponto a ponto que validam a integridade e corrigem clientes incompatíveis.

Como devo me preparar para implantar este recurso?

As preparações necessárias à implantação da NAP dependem do método ou dos métodos de imposição escolhidos e dos requisitos de integridade que você pretende impor quando os computadores clientes se conectarem ou comunicarem em sua rede.

Se você for um administrador de rede ou de sistema, pode implantar NAP com o Agente de Integridade da Segurança do Windows e o Validador da Integridade da Segurança do Windows. Além disso, poderá verificar com outros fornecedores de software se eles fornecem SHAs e SHVs com seus produtos. Por exemplo, se um fornecedor de software antivírus desejar criar uma solução de NAP que inclua um SHA e um SHV, pode usar a API para criar esses componentes. Esses componentes poderão ser integrados às soluções NAP implantadas pelos clientes desse fornecedor.

Além de SHAs e SHVs, a plataforma NAP usa uses diversos componentes no cliente e no servidor para detectar e monitorar o status de integridade do sistema de computadores clientes quando eles tentam se conectar ou comunicar em uma rede. Alguns componentes comuns usados para implantar NAP são ilustrados na figura a seguir:

Arquitetura da Proteção de Acesso à Rede (NAP)

Componentes do cliente NAP

Um cliente compatível com NAP é um computador que tem os componentes NAP instalados e pode verificar seu estado de integridade enviando declarações de integridade (SoH) ao NPS. Veja a seguir componentes de clientes NAP comuns.

Agente de integridade do sistema (SHA). Monitora e reporta o estado de integridade do computador cliente para que o HPS possa determinar se as configurações monitoradas pelo SHA estão atualizadas e definidas corretamente. Por exemplo, o Agente de Integridade da Segurança do Windows (WSHA) pode monitorar o Firewall do Windows, verificar se um software antivírus está instalado, habilitado e atualizado, se um software anti-spyware está instalado, habilitado e atualizado, se o Microsoft Update Services está habilitado e se o computador tem as atualizações de segurança mais recentes desse produto. Também pode haver SHAs disponíveis de outras empresas que oferecem funcionalidade adicional.

Agente NAP. Coleta e gerencia informações sobre integridade. O agente NAP também processa SoHs de SHAs e informa a integridade do cliente a clientes de imposição. Para indicar o estado geral de integridade de um cliente NAP, o agente NAP usa uma SoH do sistema.

Cliente de Imposição de NAP (NAP EC). Para usar a NAP, pelo menos um cliente de imposição de NAP deverá estar instalado e habilitado nos computadores clientes. Os clientes de imposição de NAP individuais são específicos do método de imposição e estão descritos anteriormente. Os clientes de imposição de NAP integram-se com tecnologias de acesso de rede, como IPsec, controle de acesso de rede com fio e sem fio baseada na porta 802.1X, VPN com serviço de Roteamento e Acesso Remoto, DHCP e TS Gateway. Um cliente de imposição de NAP solicita acesso a uma rede, comunica o status da integridade de um computador cliente ao servidor NPS e comunica o status restrito do computador cliente a outros componentes da arquitetura do cliente NAP.

Declaração de integridade (SoH). Uma declaração de um SHA que informa o status de integridade. Os SHAs criam SoHs e os enviam ao agente de NAP.

Componentes do servidor NAP

Veja a seguir componentes de servidores NAP comuns.

Servidor de diretivas de integridade de NAP. Um servidor com NPS que está atuando na função de servidor de avaliação de integridade da NAP. O servidor de diretivas de integridade da NAP tem diretivas de integridade e de rede que definem requisitos de integridade e configurações de imposição para computadores clientes que solicitam acesso à rede. O servidor de diretivas de integridade da NAP usa NPS para processa mensagens de solicitação de acesso RADIUS contendo a SoH do sistema enviada pelo Cliente de Imposição de NAP e as transfere ao servidor de administração NAP para avaliação.

Servidor de administração NAP. Fornece uma função de processamento similar ao agente NAP no cliente. Ele é responsável por coletar SoHs dos pontos de imposição de NAP, distribuir SoHs aos validadores da integridade do sistema (SHVs) apropriados e coletar respostas da SoH (SoHRs) dos SHVs e transferi-las ao serviço NPS para avaliação.

Validadores da integridade do sistema (SHVs). Software servidor correspondente aos SHAs. Cada SHA no cliente tem um SHV correspondente no NPS. Os SHVs verificam a SoH feita por seu SHA correspondente no computador cliente. SHAs e SHVs correspondem um ao outro, juntamente um servidor de requisitos de integridade correspondente (se aplicável) e, talvez, um servidor de atualizações. O SHV pode também detectar que nenhuma SoH foi recebida (por exemplo, o SHA nunca foi instalado, foi danificado ou removido). Quer a SoH atenda ou não à diretiva definida, o SHV enviará uma mensagem de resposta de declaração de integridade (SoHR) ao servidor de administração NAP. Uma rede pode ter mais de um tipo de SHV. Se esse for o caso, o servidor com NPS deverá coordenar a saída de todos os SHVs e determinar se limitará o acesso de um computador incompatível. Se sua implantação usar diversos SHVs, você precisa entender como eles interagem e planejar cuidadosamente ao configurar diretivas de integridade.

Servidor de Imposição de NAP (NAP ES). Vinculado a um Cliente de Imposição de NAP para o método de imposição de NAP em uso. O NAP ES recebe a lista de SoHs do Cliente de Imposição de NAP e a as transfere ao NPS para avaliação. Com base na resposta, ele fornece a um cliente compatível com NAP acesso limitado ou ilimitado à rede. Dependendo do tipo de imposição de NAP, o NAP ES pode ser um componente de um ponto de imposição de NAP.

Ponto de imposição NAP. Um servidor ou dispositivo de acesso à rede que use NAP ou possa ser usado com NAP para solicitar a avaliação do estado de integridade de um cliente NAP e fornecer acesso ou comunicação restrita com rede. Um ponto de imposição de NAP pode ser uma autoridade de registro de integridade (imposição IPsec), um switch de autenticação ou ponto de acesso sem fio (imposição 802.1x), um servidor com Roteamento e Acesso Remoto (imposição VPN), um servidor DHCP (imposição DHCP) ou servidor TS Gateway (imposição TS Gateway).

Servidor de requisitos de integridade. Um componente de software que se comunica com um SHV para fornecer informações usadas na avaliação de requisitos de integridade do sistema. Por exemplo, um servidor de requisitos de integridade pode ser um servidor de assinaturas antivírus que forneça a versão do arquivo de assinaturas atual para validação de uma SoH de antivírus cliente. Os servidores de requisitos de integridade têm correspondência com SHVs, mas nem todos os SHVs precisam de um servidor de requisitos de integridade. Por exemplo, um SHV pode apenas instruir clientes compatíveis com NAP para que verifiquem configurações de sistema locais para assegurar que um firewall baseado em host esteja habilitado.

Servidor de atualizações. Hospeda as atualizações que os SHAs podem usar para tornar compatíveis os computadores clientes incompatíveis. Por exemplo, um servidor de atualizações pode hospedar atualizações de software. Se a diretiva de integridade exigir que os computadores clientes de NAP tenham as atualizações de software mais recentes instaladas, o Cliente de Imposição de NAP impedirá o acesso à rede dos clientes que não possuam tais atualizações. Os servidores de atualizações devem ser acessíveis aos clientes com acesso de rede restrito, para que os clientes obtenham as atualizações necessárias à compatibilidade com as diretivas de integridade.

Resposta de declaração de integridade (SoHR). Contém os resultados da avaliação da SoH do cliente pelo SHV. A SoHR inverte o caminho da SoH e é enviada de volta ao SHA do computador cliente. Se o computador cliente for considerado incompatível, o SoHR conterá instruções de correção que os SHAs usarão para compatibilizar a configuração do computador cliente com os requisitos da diretiva de integridade.

Assim como cada tipo de SoH contém informações sobre o status da integridade do sistema, cada mensagem de SoHR contém informações sobre como tornar-se compatível com os requisitos do sistema.

Referências adicionais

Para obter mais informações sobre NAP, consulte o texto sobre Proteção de acesso à rede (http://go.microsoft.com/fwlink/?LinkId=56443). (Essa página pode estar em inglês.)

Para obter informações sobre outros recursos de Serviços de Acesso e Diretiva de Rede, consulte o tópico Diretiva de Rede e função Serviços de Acesso.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.