The Cable GuyServidor de Diretivas de Rede

Joseph Davies

Esta coluna se baseia em uma versão de pré-lançamento do Windows Server 2008. Todas as informações aqui contidas estão sujeitas a alterações.

O serviço Servidor de Diretivas de Rede (NPS) do Windows Server 2008 é o substituto do Serviço de Autenticação da Internet (IAS) do Windows Server 2003. O NPS permite que um computador que esteja executando o Windows Server 2008 aja como servidor e proxy do serviço RADIUS. RADIUS é um protocolo da Internet Engineering Task

Force (IETF) especificado nos RFCs 2865 e 2866 que oferece autenticação, autorização e contabilidade (AAA) centralizadas para dispositivos de acesso à rede como, por exemplo, pontos de acesso sem fio. Os servidores RADIUS realizam a AAA para dispositivos de acesso à rede. Já os proxies RADIUS encaminham mensagens RADIUS entre clientes (dispositivos de acesso à rede) e servidores RADIUS.

O NPS inclui muitos aprimoramentos para facilitar a implantação do acesso autenticado à rede, oferecer extensibilidade para componentes de terceiros e dar suporte às tecnologias de rede e plataformas mais recentes. O novo snap-in do NPS é mostrado na Figura 1.

Figure 1** The new NPS snap-in **(Clique na imagem para aumentar a exibição)

Recursos do Servidor de Diretivas de Rede

Nesta coluna, abordarei os recursos do NPS que não estavam incluídos nas versões anteriores do Windows®. Começarei com a forma como a Proteção de Acesso à Rede (NAP) ajuda a impor requisitos de integridade do sistema para a rede e, em seguida, passarei por gerenciamento, configuração, suporte a IPv6 e outros elementos. Também descreverei os recursos do novo snap-in do NPS.

Proteção de Acesso à Rede A NAP, introduzida no Windows Server® 2008, é um conjunto de novas tecnologias capazes de ajudá-lo a impor a conformidade em relação aos requisitos de integridade do sistema, o que lhe permite proteger ainda mais a intranet. As diretivas de integridade podem especificar, por exemplo, que um firewall deve estar instalado e habilitado e que as atualizações mais recentes do sistema operacional devem estar instaladas em todos os clientes que se conectam à rede. Com a NAP, é possível criar diretivas personalizadas para certificar a integridade do computador antes de permitir o acesso à rede ou a comunicação, atualizar automaticamente os computadores para garantir a conformidade permanente e confinar os computadores não compatíveis em uma rede restrita até que obtenham essa conformidade. Para obter mais informações, consulte microsoft.com/nap.

Na implantação de uma NAP, o servidor NPS é um servidor de diretivas de integridade NAP que avalia a integridade de clientes NAP em nome dos pontos de imposição NAP – como, por exemplo, autoridades de registro de integridade (HRAs), pontos de acesso 802.1X, servidores de rede virtual privada (VPN) e servidores do protocolo DHCP. O servidor NPS também determina se os clientes devem ter acesso completo ou limitado à intranet. As diretivas de rede e de integridade, além das configurações NAP, determinam o comportamento de avaliação da integridade do NPS.

EAPHost e suporte a diretivas EAP O NPS dá suporte a EAPHost, a nova arquitetura para métodos de autenticação do protocolo EAP. Essa nova arquitetura permite que os fornecedores de método EAP desenvolvam e instalem facilmente novos métodos EAP para autenticação com base no 802.1X ou no protocolo PPP tanto nos computadores clientes quanto nos servidores NPS.

O EAPHost dará suporte à instalação e ao uso de todos os métodos EAP listados no Registro EAP em www.iana.org/assignments/eap-numbers, bem como a outros métodos de autenticação populares como, por exemplo, o Cisco Systems Lightweight EAP (LEAP). O EAPHost permite a coexistência de várias implementações de um método EAP. É possível, por exemplo, instalar e selecionar tanto a versão da Microsoft quanto a versão da Cisco Systems, Inc. para o EAP protegido (PEAP).

Para fornecedores de métodos EAP, o EAPHost dá suporte a métodos EAP já desenvolvidos para o Windows Server XP e o Windows 2003, além de uma forma mais fácil de desenvolver novos métodos EAP para o Windows Vista® e o Windows Server 2008. Após a instalação, é possível configurar os métodos EAP necessários a um determinado cenário de acesso à rede em uma diretiva de rede. Uma diretiva de rede para o NPS é a mesma diretiva de acesso remoto para o IAS.

Para obter mais informações sobre a arquitetura EAPHost, consulte technetmagazine.com/issues/2007/05/CableGuy.

Configuração armazenada no XML O IAS armazenou as informações sobre sua configuração em um banco de dados Jet. Agora o NPS armazena as informações sobre a configuração no formato XML, o que facilita a exportação da configuração de um servidor NPS e sua importação em outro. Exportar e importar arquivos de configuração é uma forma de sincronizar as configurações de vários servidores NPS em uma configuração tolerante a falhas. É possível exportar a configuração NPS usando o comando netsh nps export e importá-la usando o comando netsh nps import.

Conformidade com os critérios de engenharia mais comuns O NPS foi atualizado para dar suporte à implantação em ambientes que devem atender aos Common Engineering Criteria (CEC) Microsoft® . Para obter mais informações, consulte microsoft.com/windowsserversystem/cer/allcriteria.mspx.

DLLs de extensão eficientes do NPS O serviço NPS pode ser estendido por meio das DLLs de extensão e autorização. Ao contrário do que acontece com o IAS, esses componentes de terceiros são colocados na área de segurança do NPS para que qualquer problema enfrentado por eles não afete a operação ou a execução do serviço NPS.

Suporte a IPv6 O NPS dá suporte a IPv6 e à implantação em ambientes IPv6 nativos ou encapsulados. É possível configurar endereços IPv6 para clientes RADIUS ou servidores RADIUS remotos, e o serviço NPS pode se comunicar sobre IPv6 para operações de autorização e autenticação de conta nos serviços de domínio Active Directory® .

IAS X NPS

Se já estiver familiarizado com o snap-in do IAS para Windows Server 2003, você gostará das seguintes alterações feitas no snap-in do NPS:

• As diretivas de acesso remoto se tornaram diretivas de rede e foram movidas para o nó Diretivas.
• O nó Clientes RADIUS foi movido para o nó Clientes e Servidores RADIUS.
• Não há mais um nó Processamento de Solicitação de Conexão. O nó Diretivas de Solicitação de Conexão foi movido para o nó Diretivas e o nó Grupos de Servidores Remotos RADIUS, para Clientes e Servidores RADIUS.
• As condições da diretiva de acesso remoto e as configurações do perfil foram reorganizadas nas guias Visão Geral, Condições, Restrições e Configurações em relação às propriedades de uma diretiva de rede.
• As condições da diretiva de solicitação de conexão e as configurações do perfil foram reorganizadas nas guias Visão Geral, Condições e Configurações em relação às propriedades de uma diretiva de solicitação de conexão.
• A pasta Registro de Acesso Remoto foi renomeada para Contabilização e não tem mais os nós Arquivo Local ou SQL ServerTM .

Geração automática de segredos compartilhados RADIUS fortes Os segredos compartilhados RADIUS são segredos usados na verificação do envio de mensagens RADIUS por um cliente, servidor ou proxy RADIUS configurado com o mesmo segredo compartilhado. Os segredos compartilhados também são usados para criptografar atributos RADIUS sensíveis como, por exemplo, senhas e chaves de criptografia. Os segredos compartilhados RADIUS fortes são uma longa seqüência (mais de 22 caracteres) de letras, números e pontuações aleatórios.

Com o snap-in do NPS, é possível gerar automaticamente o segredo compartilhado RADIUS forte quando você adiciona ou edita um cliente RADIUS. Esse segredo compartilhado forte pode ser copiado para um editor de textos como, por exemplo, o Bloco de Notas, para que você tenha a possibilidade de configurar o dispositivo de acesso à rede ou o ponto de imposição NAP com o mesmo segredo compartilhado.

Integração com o Gerenciador de Servidores É possível instalar o NPS por meio das ferramentas Tarefa de Configuração Inicial e Gerenciador de Servidores. Em ambos os casos, você instala o NPS com a função Serviços de Acesso e Diretiva de Rede. Para começar, na ferramenta Tarefa de Configuração Inicial em Personalizar Este Servidor, clique na opção Adicionar Funções. Na ferramenta Gerenciador de Servidores, abra Resumo de Funções e clique em Adicionar Funções.

Após a instalação do NPS, é possível clicar em Serviços de Acesso e Diretiva de Rede no nó Funções da árvore de console do Gerenciador de Servidores para verificar o status do serviço NPS e exibir eventos de erro encontrados nas últimas 24 horas. Ao expandir o nó Serviços de Acesso e Diretiva de Rede do console, você pode configurar o NPS usando o snap-in do NPS.

Suporte avançado a Netsh O Windows Server 2003 tinha um conjunto limitado de comandos no contexto netsh aaaa para configurar o IAS. No Windows Server 2008, o novo contexto de netsh nps tem um amplo conjunto de comandos para configurar o NPS na linha de comando ou por meio de um script. Agora, com os comandos netsh nps, é possível configurar clientes e servidores remotos RADIUS, diretivas de rede, registrar em log e, para o NAP, diretivas de integridade, validadores de integridade do sistema e grupos de servidores de atualizações. Os scripts que consistem em comandos no contexto de netsh nps oferecem outra forma de sincronizar as configurações de vários servidores NPS em uma configuração tolerante a falhas.

Marcas de fonte do isolamento da diretiva de rede As diretivas de rede podem ser configuradas para um tipo específico de servidor de acesso à rede ou ponto de imposição NAP como, por exemplo, um servidor DHCP ou HRA, que se torna uma marca de fonte que classifica a diretiva de rede. Os servidores de acesso baseados no Windows Server 2008 e os pontos de imposição NAP incluem essa marca de fonte nas mensagens RADIUS. Quando uma mensagem RADIUS de solicitação de acesso é recebida, o serviço NPS tenta localizar uma diretiva de rede correspondente que tenha a mesma marca de fonte da mensagem de entrada. Caso não haja nenhuma diretiva correspondente, o NPS tenta localizar uma diretiva de rede que corresponda às diretivas que não têm nenhuma marca de fonte especificada.

Usar a marca de fonte na diretiva de rede e as mensagens RADIUS de entrada isola os tipos diferentes de diretivas de rede entre si. Por exemplo, as diretivas de rede dos servidores DHCP não são usadas em conexões VPN.

Integração com o Cisco Network Access Control O NPS dá suporte a recursos que se integram melhor a um ambiente que usa hardware e Network Access Control (NAC) da Cisco. Eles incluem o suporte ao protocolo HCAP (Host Credential Authorization Protocol) e às condições HCAP, além da condição de expiração da diretiva e da configuração da Proteção de Acesso à Rede em estado estendido nas diretivas de rede.

Novas condições das diretivas de rede As diretivas de rede do NPS têm novas condições que devem especificar grupos de computadores, grupos de usuários, tipos de EAP permitidos e endereços IPv6 de cliente e de servidor de acesso. Para o suporte a HCAP, o NPS tem novas condições para grupos de locais e de usuários. Para o suporte a NAP, o NPS tem novas condições de diretivas para tipo de identidade, diretiva de integridade, computadores compatíveis com NAP, sistema operacional e expiração de diretiva.

O snap-in do NPS O novo snap-in do NPS foi aprimorado significativamente para que seja possível criar e gerenciar com mais facilidade clientes e servidores RADIUS remotos, diretivas de rede para cenários de acesso à rede comuns, diretivas de integridade e configurações NAP para cenários NAP, além de configurações de registro em log.

No nó Clientes e Servidores RADIUS, você pode configurar clientes RADIUS (servidores de acesso à rede, pontos de imposição NAP ou outros proxies RADIUS quando NPS está agindo como um servidor RADIUS) e grupos de servidores remotos RADIUS (outros servidores RADIUS quando NPS está agindo como um proxy RADIUS).

No nó Diretivas, é possível configurar diretivas de solicitação de conexão (independentemente do serviço NPS agir como servidor ou proxy RADIUS), diretivas de rede (configurações de autorização, conexão e restrições quando o serviço NPS age como servidor RADIUS), além de diretivas de integridade (conformidade com integridade do sistema para clientes NAP). Quando você seleciona uma diretiva de solicitação de conexão ou uma diretiva de rede no painel de detalhes, o snap-in do NAP exibe as condições e as configurações da diretiva. A Figura 2 mostra um exemplo dessa aparência.

Figure 2** The NPS snap-in enhanced display **(Clique na imagem para aumentar a exibição)

No nó Proteção de Acesso à Rede, o nó Validadores de Integridade do Sistema lhe permite configurar os requisitos de integridade NAP. O nó Grupos de Servidores de Atualizações permite que você configure o conjunto de servidores que os clientes NAP restritos podem acessar para os métodos de imposição VPN e DHCP NAP. Por fim, no nó Contabilização, é possível configurar como o NPS armazena informações de contabilização.

O snap-in do NPS inclui um amplo conjunto de assistentes para automatizar a configuração inicial de clientes RADIUS e as diretivas necessárias aos métodos de imposição NAP, conexões dial-up ou VPN e conexões com ou sem fio autenticadas por 802.1X. Para métodos de imposição NAP, o assistente NAP configura automaticamente todas as diretivas de solicitação de conexão, diretivas de rede e diretivas de integridade.

Esses novos assistentes estão disponíveis quando você clica no nó NPS do snap-in. Para definir diretivas e configurações dos métodos de imposição NAP, selecione Proteção de Acesso à Rede na caixa suspensa Configuração Padrão e clique em Configurar NAP. Para definir diretivas e configurações dos acessos à rede VPN ou dial-up, selecione Servidor RADIUS para Conexões Dial-Up ou VPN na caixa suspensa Configuração Padrão e clique em Configurar VPN ou Dial-Up. Para definir diretivas e configurações dos acessos com ou sem fio autenticados por 802.1X, selecione Servidor RADIUS para Conexões 802.1X com/sem Fio na caixa suspensa Configuração Padrão e clique em Configurar 802.1X.

Cada um desses assistentes o orienta durante a maioria dos elementos de configuração mais comuns para o cenário escolhido. Os assistentes para os métodos de imposição NAP são especialmente úteis: o assistente NAP para imposição VPN cria uma diretiva de solicitação de conexão, três diretivas de rede (para clientes NAP compatíveis, clientes NAP incompatíveis e clientes sem NAP habilitado) e duas diretivas de integridade (para clientes NAP compatíveis e incompatíveis).

Os novos assistentes NAP e os demais assistentes para a criação de clientes e grupos de servidores remotos RADIUS, além de diretivas de solicitação de conexão e de rede, facilitam – e muito – a configuração do NPS em vários cenários de acesso à rede.

Joseph Davies é redator técnico da Microsoft, ensina e escreve sobre assuntos relacionados a sistemas de rede do Windows desde 1992. Ele tem cinco livros publicados pela Microsoft Press e é autor da coluna online mensal da TechNet, The Cable Guy.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..