Windows Vista: Enterprise Networking with Windows Vista

Artigo
08/19/2016

Windows Vista

Enterprise Networking com Windows Vista

Jason Leznek

Visão geral:

A Next-Generation TCP/IP Stack
Ferramentas de rede concentradas no usuário
Melhorias na segurança de rede
Simplificação do gerenciamento de rede

Qual foi a última vez que você tentou trabalhar o dia inteiro desconectado da rede de sua empresa? Pense nisso - sem acesso a emails. Sem navegar na Internet. Sem poder utilizar

impressoras ou compartilhar arquivos. Sem acesso aos dados essenciais dos bancos de dados de vendas. Você não conseguiria trabalhar de jeito algum.

A conectividade de rede é importante para que as pessoas, em sua grande maioria, possam trabalhar. Do mesmo modo, há mais expectativas dos usuários em relação à mobilidade, à capacidade de conectar seus laptops de propriedade da empresa a quase todas as redes públicas ou domésticas em qualquer lugar. Você estremece quando se trata de ramificações de segurança?

Os engenheiros da equipe de sistema de rede do Windows Vista™ sabem avaliar a importância da conectividade e têm trabalhado com afinco na produção do melhor conjunto de inovações do sistema de rede desde o Windows® 95. Com o Windows Vista, o sistema de rede ficou mais fácil de usar, mais seguro, mais fácil de gerenciar e escalonável às maiores redes.

Já faz cinco anos que o Windows XP foi lançado. Muitas mudanças ocorreram desde então, entre as quais o aumento da necessidade de recursos de rede sem fio em qualquer lugar que os usuários estejam; normas governamentais ou do setor, como as leis Sarbanes-Oxley e HIPAA; e a necessidade de reduzir custos e utilizar os investimentos atuais de maneira mais eficiente. Os usuários pressupõem que os recursos de rede já estão disponíveis e ficam frustrados com o menor indício de problemas de conectividade. Por fim, os usuários ganharam mobilidade jamais vista antes e não podem manter conexão apenas com a rede da empresa - precisam se conectar a praticamente qualquer rede no perímetro urbano.

Comece com a pilha

O Windows Vista inclui uma implementação atualizada da pilha do TCP/IP, que oferece melhorias significativas que resolvem vários problemas importantes do sistema de rede, proporcionando melhor desempenho e transferência, uma arquitetura Wi-Fi nativa e APIs para inspeção de pacotes de rede.

A maximização do uso de rede requer definições complexas das configurações de TCP/IP. O Windows Vista elimina a necessidade de fazer isso manualmente por meio da detecção das condições da rede e da otimização automática do desempenho. Em redes com grande perda, como as redes sem fio, o Windows Vista pode melhorar a recuperação da perda de um ou de vários pacotes. Assim, é possível aumentar ou diminuir a janela de recebimento do TCP de maneira dinâmica a fim de utilizar totalmente o link. Os usuários que transferem arquivos através de uma WAN de alta velocidade/alta latência ou que fazem o download de arquivos da Internet devem notar que as transferências serão bem mais rápidas.

O Windows Vista também inclui uma arquitetura nativa de rede (WiFi Nativa) como parte de sua pilha principal de sistema de rede. Os benefícios incluem implantação flexível em várias marcas e modelos de hardware, experiências semelhantes entre os usuários em qualquer hardware e unidades NIC sem fio de terceiros mais confiáveis. O sistema de rede sem fio no Windows Vista pode ter gerenciamento centralizado, oferecer suporte aos mais recentes protocolos de segurança e proporcionar ao usuário uma experiência de rede sem interrupções.

A WFP (Windows Filtering Platform) é uma nova arquitetura na Next Generation TCP/IP Stack que fornece APIs que podem ser usadas por desenvolvedores de software de terceiros para que eles participem das decisões de filtragem que ocorrem em várias camadas da pilha do protocolo TCP/IP sem precisar gravar seus próprios aplicativos no modo kernel. A plataforma também fornece suporte a recursos de firewall de ponta, como a comunicação autenticada e a configuração dinâmica de firewall baseada no uso dos aplicativos da API do Windows Sockets (diretiva baseada em aplicativo).

Maior autonomia ao usuário

O Centro de compartilhamento e de rede é um local único no qual os usuários verificam o status da rede - se estão conectados, a quais unidades estão ligados e se estão na rede local ou na Internet (consulte a Figura 1). Além disso, podem ver o status dos vários serviços de rede em seus computadores. O computador está detectável na rede local? Há pastas ou impressoras compartilhadas? O usuário também pode criar ou usar uma conexão de rede existente, seja uma rede ad hoc ou de infra-estrutura sem fio, VPN ou conexão de banda larga doméstica.

Figura 1 Centro de compartilhamento e de rede

Figura 1** Centro de compartilhamento e de rede **(Clique na imagem para aumentar a exibição)

O Windows Vista também é capaz de diagnosticar e resolver vários problemas de conectividade sem que o usuário precise entrar em contato com o suporte técnico. O Network Diagnostics Framework proporciona ao Windows Vista a capacidade de identificar a causa principal do problema de conectividade com base no contexto da ação do aplicativo. Por exemplo, se o usuário não conseguir acessar um site na Internet, o Network Diagnostics tentará rastrear o problema, desde identificar se há alguma conexão sem fio ativa e um endereço IP válido, até acessar o servidor DNS, descobrir o servidor proxy e obter resposta do servidor da Web.

Se o problema for detectado, o usuário receberá uma mensagem identificando claramente o problema e como resolvê-lo (consulte a Figura 2). Às vezes, a solução é tão simples como clicar em uma resposta. Em outros casos, o usuário tem de fazer uma alteração na configuração e a caixa de diálogo o levará ao local exato. Às vezes, o usuário simplesmente não pode executar a ação correta por falta de conhecimento ou privilégios administrativos. Nesse caso, informações mais detalhadas são registradas no Event Viewer, de modo que o suporte técnico possa trabalhar na solução do problema rapidamente, em vez de passar horas à procura de uma resolução.

Figura 2 Como solucionar um problema de conectividade

Figura 2** Como solucionar um problema de conectividade **(Clique na imagem para aumentar a exibição)

O Windows Vista conta com APIs de reconhecimento de rede que os aplicativos podem chamar para obter o status da conectividade. Desse modo, os aplicativos se mantêm informados das alterações na conectividade e podem identificar o tipo de rede - domínio, pública ou privada - à qual o computador está conectado no momento. Quando o Windows Vista acessa o Controlador de domínio em toda a rede, ele é alternado para o perfil de Domínio automaticamente. Nenhuma outra rede pode ser colocada nessa categoria. Todas as outras redes são classificadas como públicas, a menos que um usuário ou aplicativo as identifique como privadas. As redes que representam conexões diretas à Internet ou que estão em locais públicos, como aeroportos e cafés, devem permanecer como públicas. Somente as redes localizadas atrás de um dispositivo de gateway devem ser identificadas como privadas ou redes de pequenas empresas.

Com o Reconhecimento de rede, aplicativos como Firewall do Windows e Segurança avançada (descritos posteriormente) podem ter diferentes configurações com base no tipo de rede ao qual estão conectados, bem como alternar automaticamente entre as configurações perante alterações no tipo de rede. Por exemplo, o administrador pode ter configurado o firewall para abrir portas específicas para software de gerenciamento de desktop enquanto o computador estiver conectado à rede de domínio, mas essas mesmas portas deverão ser fechadas automaticamente quando o usuário estiver trabalhando em um ponto de acesso público.

A Diretiva de grupo também reconhece redes no Windows Vista: ele sabe automaticamente quando o computador está na rede de domínio e começa a processar quaisquer configurações de Diretiva de grupo sem precisar esperar pelo próximo ciclo de atualização. Isso significa que o Windows Vista verificará automaticamente as novas configurações da Diretiva de grupo quando se conectar à rede de domínio, mesmo se estiver saindo do modo de hibernação. Isso permite que os administradores implantem configurações de segurança de maneira mais rápida quando o tempo é um fator essencial.

Segurança de rede

Há vários tipos de ameaças - usuários que acessam redes sem fio que não são o que aparentam, PCs convidados e com problemas conectados a uma rede corporativa e recursos não gerenciados tentando acessar recursos aos quais não devem ter acesso. Isso é o suficiente para manter um administrador de rede ocupado o dia todo e preocupado a noite inteira. O Windows Vista pode ajudar em todas essas situações, com recursos de segurança de rede avançados, abrangentes e fáceis de configurar.

A arquitetura Wi-Fi nativa no Windows Vista oferece amplo suporte aos mais recentes protocolos de segurança, incluindo WPA (Wi-Fi Protected Access) 2 Enterprise and Personal, PEAP-TLS e PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol com Transport Layer Security e Microsoft Challenge Handshake Authentication Protocol). Esse amplo suporte assegura interoperabilidade entre o Windows Vista e praticamente todas as infra-estruturas sem fio. Os recursos da placa de rede sem fio são examinados pelo Windows Vista e o protocolo mais seguro é escolhido por padrão durante a conexão ou criação de redes sem fio. Usando a nova estrutura EAP-HOST, o Windows Vista é capaz de oferecer suporte a mecanismos de autenticação personalizados definidos por uma organização ou fornecedor de hardware.

O Windows Vista inclui várias melhorias ao comportamento do cliente sem fio para mitigar os ataques comuns aos dispositivos sem fio. O cliente estabelecerá conexão automática somente com redes solicitadas ou identificadas explicitamente pelo usuário como redes preferenciais e não estabelecerá conexão automática com redes ad hoc. O cliente também fornecerá um aviso se o usuário estiver prestes a iniciar uma conexão com uma rede não protegida. Além disso, o cliente investigará ativamente à procura de poucas redes preferenciais e somente mediante instruções do usuário, o que dificulta aos invasores a identificação da rede à qual o cliente está tentando se conectar e a criação de uma rede não autorizada com o mesmo nome.

O cliente sem fio nativo do Windows Vista oferece suporte a um recurso SSO (Sign-on único) que executa a autenticação de rede de Camada 2 no momento apropriado devido à configuração de segurança da rede, ao mesmo tempo em que se integra à experiência de logon do usuário do Windows. Quando o perfil de sign-on único estiver configurado, o logon na rede terá precedência sobre o logon do Windows. Esse recurso permite cenários como atualizações da Diretiva de grupo, execução de scripts de logon e inicializações sem fio, que requerem conectividade de rede antes de efetuar logon.

O Firewall do Windows com Segurança avançada traz um novo nível de segurança de rede à plataforma Windows, fornecendo suporte para a filtragem de entrada e saída, bem como Windows Service Hardening. Se for detectado um comportamento ruim em um serviço do Windows, de acordo com o que foi definido pelas regras de rede do Windows Service Hardening, o firewall o bloqueará. O Firewall do Windows com Segurança avançada também oferece suporte a Bypass autenticado, permitindo que determinados computadores autenticados com IPsec ignorem as regras do firewall para tarefas como gerenciamento remoto.

Uma das mudanças mais importantes no Firewall do Windows é sua integração com o IPsec. No passado, os administradores precisavam contar com duas ferramentas separadas, um firewall e uma ferramenta de implantação e gerenciamento de Ipsec, para criar um conjunto de regras de segurança de rede em camadas. Com o Windows Vista, os administradores podem criar regras simples de segurança de rede capazes de combinar regras de porta de firewall e de IPsec a fim de proteger a rede contra acesso não autorizado. A integração apresenta uma maneira simples de impor comunicações de rede autenticadas, de ponta a ponta, proporcionando acesso escalonável e em camadas a recursos de rede confiáveis e/ou protegendo a confidencialidade e a integridade dos dados.

O administrador pode isolar a rede corporativa de modo lógico em zonas que podem ser acessadas por qualquer computador (inclusive convidados) ou apenas pelos computadores autenticados ao domínio (Isolamento de domínio). O administrador pode isolar ainda mais servidores específicos que devem ser acessados somente por um determinado conjunto de usuários ou computadores, por exemplo, o servidor de aplicativos de RH pode ficar restrito aos computadores do grupo de RH (Isolamento de servidor) conforme mostrado na Figura 3.

Figura 3 Server and Domain Isolation

Figura 3** Server and Domain Isolation **

Vírus ou worms podem entrar em redes privadas através de um laptop e infectar rapidamente outros computadores. O Windows Vista, ao conectar-se a uma infra-estrutura de rede baseada no Windows Server com o codinome "Longhorn" (a próxima versão do Windows Server), oferecerá suporte à NAP (Proteção de acesso a rede) para reduzir os riscos de conexão direta entre computadores com problemas e redes privadas ou através de uma conexão VPN. Se um computador que executa o Windows Vista estiver sem atualizações de segurança, assinaturas de vírus ou não atender aos requisitos de segurança corporativa, a NAP bloqueará o acesso total do computador à rede. Então, o computador será conectado a uma rede restrita na qual poderá baixar e instalar as atualizações, as assinaturas de antivírus ou as definições de configuração necessárias para atender aos atuais requisitos de integridade.

Simplificação do gerenciamento de rede

Os recursos de rede do Windows Vista foram desenvolvidos para oferecer suporte a altos níveis de capacidade de gerenciamento a fim de ajudar a reduzir o custo de implantação de redes sem fio e diretivas de segurança de rede, bem como para oferecer qualidade de serviço a aplicativos e usuários. O Windows Vista usa extensivamente a Diretiva de grupo ou a criação de scripts de linha de comando por meio de NETSH (Network Shell) para gerenciar recursos de rede, portanto, você não precisa aprender ou implantar uma nova ferramenta de gerenciamento e pode tirar proveito do investimento atual no Active Directory® e na estrutura OU (Unidade organizacional) que já foi criada.

A implantação e o gerenciamento de regras de segurança de rede - em conjunto com diretivas de IPsec e firewall - foram simplificados em um snap-in único e orientado por assistente do MMC (Console de gerenciamento Microsoft) chamado Firewall do Windows com Segurança avançada (consulte a Figura 4) ou criação de scripts de linha de comando por meio do NETSH. O novo snap-in proporciona uma maneira simples de implantar filtragem de entrada ou saída e regras de segurança de conexão que limitam acesso a usuários, computadores ou aplicativos específicos ao mesmo tempo em que oferece um nível granular de controle administrativo. O IPSec pode solicitar ou exigir autenticação do usuário, computador ou certificado de integridade (incorporado à Proteção de acesso a rede) para proporcionar uma diretiva de segurança baseada em cenário. O snap-in facilita a criação de regras de isolamento de servidor ou domínio e, como ele é baseado na Diretiva de grupo, pode-se definir essas regras com base na estrutura de sua empresa.

Figura 4 Firewall do Windows Firewall com Segurança avançada

Figura 4** Firewall do Windows Firewall com Segurança avançada **(Clique na imagem para aumentar a exibição)

Com a Diretiva de grupo, você também pode definir como os clientes móveis estabelecerão conexão com as redes sem fio e como irão operá-las. Por exemplo, uma empresa pode definir uma diretiva que exige que todas as conexões sem fio usem um determinado protocolo ou que todas as conexões devem ser limitadas a uma rede sem fio específica. Como essas configurações são feitas por meio da Diretiva de grupo, o usuário final talvez não consiga alterá-las.

O NETSH permite a automação e a criação de scripts para auxiliar na solução de problemas de conexões de rede sem fio. Com a interface de linha de comando, os administradores podem verificar, alterar ou remover perfis de configuração da rede sem fio de um cliente. Esses perfis de configuração também podem ser exportados para e importados de outros computadores a fim de expedir o provisionamento de vários computadores.

Pode haver uma redução na qualidade de rede, pois os aplicativos de alta largura de banda tendem a consumir toda a capacidade disponível e os aplicativos não são desenvolvidos para proporcionar controle de largura de banda centralizado aos administradores de TI. Aumentar a largura de banda talvez não resolva esses problemas. Em vez disso, essa ação apenas faz com que os mesmos aplicativos consumam a capacidade recém-adicionada. Com a QoS (Qualidade de Serviço) baseada em diretivas, os administradores podem priorizar e/ou acelerar o tráfego de saída da rede sem a necessidade de alterar os aplicativos. As diretivas podem marcar o tráfego de saída com um valor de DSCP (Ponto de código de serviços diferenciados) para que os roteadores priorizem ou podem deixar o Windows Vista acelerar o volume de tráfego de saída enviado, independentemente da configuração do roteador. A combinação de ambas as técnicas proporciona flexibilidade ainda maior. A Figura 5 mostra a criação da diretiva QoS.

Figura 5 Criação de uma diretiva QoS

Figura 5** Criação de uma diretiva QoS **(Clique na imagem para aumentar a exibição)

Escalabilidade para o Enterprise e além dele

Organizações no nível do Enterprise costumam se preocupar com questões de escalabilidade quando oferecem suporte à rede. Por exemplo, é possível haver endereços IP disponíveis em número insuficiente, em especial quando as demandas da empresa levam ao uso de vários dispositivos em rede por usuário, como laptops extras e dispositivos móveis como Smartphones. Do mesmo modo, embora possa ser interessante oferecer serviços adicionais de rede como o IPsec, você também pode estar preocupado com o impacto na carga de CPU. O Windows Vista resolve esses problemas de escalabilidade de rede oferecendo suporte a recursos IPv6 e de descarregamento de hardware.

Para solucionar problemas com endereços IPv4 públicos limitados, vários órgãos governamentais, ISPs e outras organizações estão fazendo a transição para o IPv6, a próxima versão do protocolo de rede que conduz a Internet. O Windows Vista oferece suporte a IPv4 e IPv6 juntos através de uma arquitetura de pilha de camada dupla de IP. O IPv6 é habilitado por padrão e a pilha de camada dupla permite a migração gradual usando as tecnologias de transição do IPv6 capazes de encapsular o tráfego do IPv6 através de uma rede IPv4 privada ou pela Internet. O Windows Vista originalmente oferece suporte a L2TP/IPv6 (PPPv6 e a Layer 2 Tunneling Protocol) e VPNs (Redes virtuais privadas), permitindo que os usuários de acesso remoto aproveitem os benefícios das redes IPv6.

O Windows Vista permite que o processamento de tráfego de rede seja descarregado para adaptadores de rede especializados. Os novos recursos de descarregamento incluem IPv6 e TCP Chimney. Essas inovações na arquitetura otimizam o desempenho e a taxa de transferência de rede para obter os ganhos operacionais e de desempenho possíveis graças às redes de alta velocidade da atualidade. O uso de hardware adaptador de rede compatível pode remover afunilamentos relacionados ao processamento de pacotes de rede como sobrecarga de CPU e largura de banda de memória disponível, sem a necessidade de alterações aos atuais aplicativos ou ferramentas de gerenciamento de rede.

A pilha de rede também oferece suporte a Receive-Side Scaling, que equilibra as conexões de entrada de rede de maneira dinâmica, de modo que a carga possa ser compartilhada entre os vários processadores ou núcleos, reduzindo possíveis afunilamentos no processamento do tráfego de rede.

Resumo

O Windows Vista representa a atualização mais importante ao sistema de rede do Windows desde o Windows 95. Os usuários acharão mais fácil aproveitar os benefícios de redes com ou sem fio durante a navegação. Com a nova pilha de rede de ajuste automático, as transferências de arquivos serão mais rápidas. As empresas apreciarão a redução nos riscos à segurança, que inclui proteção aprimorada contra ameaças introduzidas por usuários móveis e sem fio. Os administradores de sistema acharão o Windows Vista mais fácil de gerenciar, com a capacidade de criação de diretivas de segurança granulares para o tráfego de rede, bem como QoS para aplicativos essenciais. Esses novos recursos permitem que você tire melhor proveito da infra-estrutura de rede enquanto minimizam o esforço de administração e maximizam a produtividade do usuário final.

Recursos adicionais

Jason Leznek é o gerente de produto sênior do Windows Vista Networking. Jason trabalha com a Microsoft há quase dez anos e foi gerente de produto do Windows Server Update Services e da Diretiva de grupo antes de ingressar na equipe do Windows Vista. Antes disso, atuou durante sete anos em trabalho de campo com os clientes empresariais da Microsoft.