Gerenciando a Proteção de Acesso à Rede na Microsoft

  • Artigo

Junho de 2009

Sumário Executivo

Para validar o acesso a uma rede baseado na integridade do sistema, uma infraestrutura de rede precisa fornecer as seguintes áreas de funcionalidade:

Validação da diretiva de segurança - Capacidade de definir as diretivas de segurança e de validar se um computador é compatível.

Correção - Automaticamente conduz e aplica as mudanças necessárias para permitir que um computador não compatível torne-se compatível.

Conformidade contínua - Continuamente monitora os computadores compatíveis e a diretiva de conformidade para garantir que ambos sejam adequadamente mantidos.

Limitação de acesso à rede - Fornece a opção de restringir o acesso à rede para os computadores não compatíveis.

A Proteção de Acesso à Rede da Microsoft® (NAP) está disponível para os computadores que possuem o Windows Server® 2008, Windows Server 2008 R2, Windows® 7, Windows Vista® e Windows XP Service Pack 3 (SP3). A Microsoft IT (Microsoft Information Technology) usa o NAP para monitorar o estado de integridade dos clientes da rede e gravar seus estados de conformidade em um banco de dados. Além disso, a Microsoft IT utiliza as capacidades de restrição de acesso à rede do NAP com:

Microsoft DirectAccess e Rede Privada Virtual (VPN) para restringir o acesso à rede até que os computadores estejam saudáveis.

Conformidade Contínua do NAP e do IPsec-NAP para fornecer relatórios de conformidade para cada sistema sem aplicar restrição de rede.

A diferença entre esses dois casos é se um acesso de rede incompatível do cliente está restrito ou não. Independentemente de qualquer restrição de acesso à rede, em ambos os casos os clientes irão automaticamente remediar os estados de não conformidade, significando que eles irão automaticamente corrigir qualquer coisa que não esteja em conformidade com a integridade a fim de torná-las compatíveis. Aos sistemas que tinham acesso restrito devido a não conformidade, é fornecido acesso aos recursos corporativos.

Este documento discute rapidamente a evolução dos relatórios de integridade de sistema e os cenários de imposição na Microsoft IT; a atual estratégia de integridade computacional da Microsoft IT que é baseada na estrutura do NAP; a infraestrutura de relatório e de imposição atualmente utilizada; e as fases de implantação e as práticas recomendadas pela Microsoft IT desenvolvidas para monitorar, fazer relatórios e impor a integridade computacional para os sistemas dentro da rede corporativa, bem como para aqueles que acessam remotamente os recursos corporativos através da Internet.

Observação: Por razões de segurança, os nomes de florestas, domínios, recursos internos, organizações e nomes de arquivos de segurança internamente desenvolvidos usados neste documento não representam os nomes de recursos reais usados dentro da Microsoft e têm somente finalidade ilustrativa.

Esta seção do documento resume os aspectos críticos de segurança de rede e de sistema de integridade que a Microsoft IT é responsável por manter e depois compara a tradicional abordagem usada antes do advento do NAP com as práticas atuais, que focam o NAP como uma estrutura extensível usada pela Microsoft IT para a autenticação de controle de acesso à rede, autorização, relatórios, auditoria, correção e, opcionalmente, imposição de acesso.

Requisitos de Segurança de Rede e de Integridade de Sistema

Um dos aspectos mais críticos para manter um ambiente computacional seguro é assegurar a integridade dos computadores e dispositivos que estão conectados a ele. A Microsoft IT tem uma autorização para fornecer à empresa o ambiente computacional mais seguro possível. Em um nível mais granular, os objetivos de sistema de integridade e de segurança de rede da Microsoft IT incluem:

Manter os computadores em conformidade com as diretivas corporativas e com os regulamentos governamentais, independentemente de sua localização dentro ou fora da rede corporativa.

Assegurar a produtividade do usuário e, ao mesmo tempo, mitigar as ameaças de segurança.

Automatizar a correção dos sistemas não compatíveis.

Impor o acesso na borda (baseado na identidade, integridade e autorização).

Confirmar a conformidade, analisando os dados coletados através das atividades de conformidade.

Aprimoramento dos requisitos de segurança em uma base regular para mitigar novos riscos de segurança.

Ao longo dos anos, a Microsoft IT criou uma solução personalizada para gerenciar a simples validação de conformidade, tal como os antivírus e as atualizações de segurança. Entretanto, esta solução personalizada estava limitada quanto ao escopo e era algo caro devido aos requisitos relacionados com a manutenção do código personalizado.

Além do custo, a solução personalizada era relativamente lenta, tinha muitas dependências e vários pontos de falha. Todos esses desafios tornaram a solução personalizada inviável e destacou-se a necessidade da adoção de uma abordagem padronizada para a integridade do sistema.

A Microsoft IT precisava de uma estrutura que lhe permitisse estender as verificações de segurança e de integridade do sistema, a qual definitivamente forneceria uma solução mais forte para a segurança e a conformidade. Ser capaz de adotar uma tecnologia que melhorou a experiência do usuário final comparando com a solução personalizada também foi um critério importante.

Abordagem da Microsoft para Usar o NAP

Quando a tecnologia NAP foi desenvolvida, a Microsoft IT reconheceu seu valor como fundamental na sua busca por melhorias na segurança e integridade do ambiente computacional da Microsoft. O NAP é uma solução comercial para as empresas de todos os tamanhos, desde as empresas pequenas até as grandes. O NAP não depende de código personalizado e usa os componentes construídos no Windows. Como um recurso integrado ao Windows, o NAP fornece uma experiência perfeita para o usuário, o que é uma melhoria significativa em relação a anterior solução personalizada.

Disponível como um recurso no Windows XP SP3, Windows Vista, Windows 7 e Windows Server 2008, o NAP fornece um mecanismo integrado para detectar o estado de integridade de um cliente da rede que está tentando conectar-se ou comunicar-se com uma rede e, depois, opcionalmente limita o acesso do cliente da rede até que os requisitos de diretiva de segurança tenham sido atendidos.

Usando o NAP, a Microsoft IT tem uma poderosa validação de conformidade de integridade, correção e estrutura de imposição que não requer qualquer código personalizado. A Microsoft IT usa uma combinação de componentes "nativos", incluindo agentes de serviços do NAP, Windows Security Health Agent (WSHA), outros produtos Microsoft, como o System Center Configuration Manager (SCCM) e o Microsoft Forefront™ para estender as verificações de conformidade do NAP.

Além dos produtos da Microsoft mencionados anteriormente, há uma grande comunidade de Parceiros Microsoft que estão criando produtos complementares ao NAP. Uma lista dos parceiros participantes está disponível em https://www.microsoft.com/windowsserver2008/en/us/nap-partners.aspx.

Finalmente, para as empresas que querem desenvolver seus próprios componentes do NAP, o NAP fornece uma interface de programação de aplicação (API) que pode oferecer correção e verificações de conformidade adicionais. Para obter mais informações, consulte
https://msdn.microsoft.com/pt-br/library/aa369712.aspx.

Operações da Microsoft IT Usando o NAP

O NAP é um componente fundamental dos requisitos de segurança de rede da Microsoft IT, fornecendo as seguintes funções críticas:

Avaliação da Integridade e relatório de conformidade: A Microsoft IT utiliza a estrutura de IPsec tanto para os computadores com a rede corporativa como para os sistemas que se movem externamente e usa a Internet para acessar os recursos corporativos.

Correção automática: Para os computadores que não são seguros, o recurso de correção automática do NAP silenciosamente conduz o computador para um estado de integridade, corrigindo automaticamente aqueles aspectos de segurança do computador, configuração e o estado que foi determinado como incompatível e, depois, tem o sistema de reconexão automática à rede corporativa.

Controle de acesso à rede: Se requerido pela diretiva de segurança da empresa, o NAP pode opcionalmente usar a prova de certificado de integridade para controlar ou restringir o acesso à rede. De acordo com as diretivas de segurança da empresa, a Microsoft IT usa o NAP para permitir que os sistemas remotos íntegros tenham acesso completo à rede corporativa, enquanto que os sistemas remotos não íntegros são capazes apenas de acessar os servidores de correções para as máquinas que estão se conectando via DirectAccess e VPN.

A Microsoft IT usa a estrutura do NAP, que suporta uma capacidade de relatório que não estava disponível na anterior solução personalizada da Microsoft. O Modo de Relatório é o processo que o NAP usa para estabelecer a comunicação entre o computador cliente do usuário final e os servidores de infraestrutura de TI. Ao contrário da imposição, o relatório do NAP com correção automática não restringirá o acesso à rede com base na conformidade de integridade. Uma vez que os problemas de integridade dos relatórios sejam compreendidos, as configurações de diretiva podem ser ativadas para corrigirem automaticamente um computador incompatível.

Dentro da rede corporativa, a Microsoft IT está usando o Cliente de Aplicação de Quarentena (QEC) IPsec do NAP. A Microsoft IT usa esta estrutura somente para os relatórios; as capacidades opcionais de imposição do QEC IPsec não foram implantadas.

A Microsoft IT selecionou o QEC IPsec do NAP porque ele não requer qualquer mudança em seus serviços de infraestrutura de rede existentes, tais como os switches, os servidores DHCP (Dynamic Host Configuration Protocol) e os controladores de domínio. A Microsoft IT continua a manter seus servidores IPsec e seus ambientes de isolação de domínio. Com o IPsec, os domínios da corporação podem ser isolados, segmentando todos os computadores em grupos confiáveis e não confiáveis.

Para obter mais informações sobre o uso do IPsec pela Microsoft, consulte Melhorando a Segurança com a Isolação de Domínio: A Microsoft IT implementa o IPsec (IP Security) - https://technet.microsoft.com/pt-br/library/bb735174.aspx.

Conformidade Contínua do NAP

A Conformidade Contínua do NAP é um novo modelo de implantação para o NAP, que entrega benefícios semelhantes aos sistemas remotos que o NAP fornece para aqueles que se encontram dentro de uma rede corporativa:

A Conformidade Contínua do NAP fornece aos clientes a capacidade de atingirem a conformidade perpétua do NAP para os computadores que possuem o Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows Vista ou Windows XP (SP3), independentemente de suas localizações.

A Conformidade Contínua do NAP também fornece aos administradores o estado de integridade de todos os computadores e acelera o acesso desses sistemas onde a conformidade de integridade seja um pré-requisito para a conexão. A Conformidade Contínua do NAP também fornece uma capacidade de correção automática que atualiza de maneira transparente os computadores que são identificados como incompatíveis com as diretivas de segurança.

A Conformidade Contínua do NAP é suportada por alguns agentes de integridade do sistema (SHAs). A Microsoft IT, por exemplo, está usando a Conformidade Contínua do NAP com o WSHA (Windows Security Health Agent , ou Agente de Integridade de Segurança do Windows).

O termo "Conformidade Contínua do NAP" descreve um cenário onde o NAP usa o HTTPS (Hypertext Transfer Protocol Secure) na Internet para permitir o relatório de conformidade e a correção automática aos computadores remotos que não estão usando o DirectAccess ou a VPN para se conectarem aos recursos corporativos através da Internet. Com a Conformidade Contínua do NAP, os clientes apenas necessitam de uma conexão baseada em HTTPS para uma HRA (Health Record Authority, ou Autoridade de Registro de Integridade) da Internet.

A Conformidade Contínua do NAP preenche a lacuna de segurança que existe para os computadores móveis que são gerenciados somente quando eles estão fisicamente conectados à rede corporativa ou por VPN. Os computadores clientes atualizados antes de se conectarem na VPN resultam em um tempo de conexão mais rápido e em uma melhor experiência de usuário. A Conformidade Contínua do NAP pode ser utilizada como o mecanismo de imposição/verificação da integridade para o Microsoft DirectAccess. As informações registradas pelo HRA e pelo servidor NPS (Network Policy Servers) (relatório do NAP) podem ser usadas para o rastreamento de ativos e legalmente para furto ou perda de ativos. Em geral, a Conformidade Contínua do NAP permite um modelo mais robusto de segurança baseada em host para os computadores incluídos no domínio conectados à Internet em qualquer lugar e a qualquer hora.

Os HRAs da Internet implantados na borda ou possivelmente por trás dos clientes incluídos no domínio recebem URLs de Internet adicionais nos Objetos de Diretiva de Grupo (GPOs) existentes de configuração de cliente NAP. A Microsoft IT tem comunicado os clientes de HRAs do NAP a usarem o HTTPS/Secure Sockets Layer (SSL) sempre que se conectarem à Internet. Como os servidores HRA da Microsoft IT estão disponíveis na Internet, esta comunicação transparente ocorre periodicamente sem qualquer ação ou intervenção do usuário final e sem qualquer necessidade de reconexão com a rede corporativa. O Modo de Relatório, Modo de Imposição Adiada e Modo de Imposição Total são todos possíveis cenários de uso. Isto permite o relatório de Internet baseado na comunicação do cliente com os HRAs da Internet, bem como o rastreamento de ativos baseado no endereço IP de origem que é capturado nos evento do HRA.

Validadores e Agentes de Integridade do Sistema

Os componentes da infraestrutura do NAP, conhecidos como agentes de integridade do Sistema (SHAs), os quais residem nos sistemas clientes, e os validadores (SHVs), os quais residem nos servidores, fornecem o rastreamento do estado de integridade e a validação. Os Validadores de Integridade do Sistema são configurados para determinar os específicos requisitos de integridade para os clientes na rede.

O NAP foi projetado para ser flexível e extensível. Ele pode interoperar com qualquer software do fabricante que forneça SHAs e SHVs que usem a API do NAP. A Microsoft IT está atualmente trabalhando com os seguintes componentes:

Validador de Integridade de Segurança do Windows

Validador de Integridade de Sistema do System Center Configuration Manager

Validador de Integridade de Sistema do Forefront Client Security (FCS) 2.

Agente de Integridade de Segurança do Windows (WSHA)

O Agente de Integridade de Segurança do Windows está disponível nativamente para o Windows XP SP3 e para os sistemas mais novos, incluindo o Windows Vista e o Windows 7.

Ao verificar a integridade do computador em um alto nível, o WSHA fornece um agente de integridade muito abrangente para os sistemas baseados em Windows. O WSHA abrange uma ampla gama de verificações de conformidade, incluindo firewall, antivírus e antispyware; fornece configuração de atualizações automáticas; e assegura que as atualizações de um específico nível de severidade sejam instaladas.

Para a Microsoft IT, o WSHA é atualmente o único agente que é necessário para validar a integridade para os computadores que se conectam remotamente à rede corporativa usando o DirectAccess ou a VPN. A Microsoft IT usa as capacidades de correção e de relatório do WHSA para os cenários baseados em Internet e em Intranet corporativa.

O SCCM fornece um mecanismo de distribuição altamente gerenciável que suporta períodos de carência e patches de terceiros. Assim como o WSHA, o SCCM fornece sua própria estrutura de relatório e métricas específicas de patches.

A Microsoft IT está usando o SCCM para o gerenciamento de patch e usa a integração do NAP do SCCM para medir a conformidade do patch para suas redes. A Microsoft IT também está no processo de habilitar o NAP com SCCM para a finalidade de imposição.

O Forefront Client Security (FCS) 2.0 é uma poderosa solução de antivírus e anti-spyware que oferece uma ampla gama de verificações de segurança, incluindo a criptografia de unidade Microsoft BitLocker™, o Controle de Conta de Usuário (UAC), as configurações de segurança do Internet Explorer® e outras. Além das verificações de segurança, o FCS também gerencia o Firewall do Windows e faz a varredura das atualizações de segurança da Microsoft que estavam faltando.

Semelhante ao WSHA e ao SCCM, o Forefront tem sua própria estrutura de relatório associada a ele.

Como descrito anteriormente, o NAP pode opcionalmente ser usado para impor a integridade do sistema e se os requisitos de integridade corporativa exigirem, o NAP pode restringir o acesso aos recursos corporativos para os sistemas que tinham sido identificados como incompatíveis. Após o NAP corrigir automaticamente o computador e confirmar que o computador está compatível, o NAP pode, então, reconectar automaticamente o computador à rede corporativa.

Há vários tipos diferentes de cenários de imposição que o NAP pode usar. Os cenários que a Microsoft IT está implantando e avaliando estão descritos no texto a seguir.

A Microsoft ITestá implementando um novo recurso de acesso seguro à rede no Windows 7 e Windows Server 2008 R2 chamado DirectAccess. Esta nova tecnologia de acesso seguro à rede usa o IPsec para a autenticação e criptografia a fim de fornecer uma conexão segura à rede corporativa sem tem que usar uma VPN. Os compartilhamentos de arquivos da rede corporativa, os sites da Web da Intranet e as aplicações de negócios são acessíveis através do DirectAccess sempre que uma conexão com a Internet estiver disponível.

O DirectAccess conecta sem interrupções os trabalhadores remotos aos recursos da empresa. A capacidade do DirectAccess de fornecer um canal de comunicação sempre seguro através da Internet usando portas "padrões", tais como TCP 443, resulta em significativas melhorias de produtividade aos trabalhadores remotos em seus locais personalizados ou em outros locais remotos com porta restrita ou diretivas de firewall. Com o DirectAccess, os funcionários podem acessar os recursos corporativos a partir dos escritórios remotos, Extranets ou até mesmo de um café com Wi-Fi.

O DirectAccess fornece a conexão segura aos recursos corporativos e, então, usa o NAP para avaliar a integridade de qualquer cliente que está tentando acessar os recursos da rede. Os sistemas incompatíveis são executados através das capacidades de correção automática do NAP para tornar o sistema adequado antes de permitir o amplo acesso aos recursos corporativos.

A ilustração a seguir mostra uma visão simplificada de um cliente remoto DirectAccess acessando um servidor de Autoridade de Registro de Integridade do NAP para obter um certificado de integridade que é requerido para ganhar completo acesso à rede interna.

Figura 1. Um esquema da implantação do DirectAccess da Microsoft IT

Para obter mais informações sobre o DirectAccess, consulte Usando o DirectAccess para Fornecer Acesso Seguro aos Recursos Corporativos a Partir de Qualquer Lugar - https://technet.microsoft.com/pt-br/library/dd819155.aspx

VPN

O cenário de imposição da VPN permite que os sistemas incluídos e não incluídos no domínio sejam capazes de acessar os recursos corporativos. A VPN é a principal solução de conectividade remota da Microsoft IT para os sistemas Windows XP, Windows Vista e Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2.

Ao invés de usar o túnel IPsec usado pelo DirectAccess, a VPN permite o acesso através do PPTP (Point to Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol), bem como através de um novo recurso do Windows 7 e Windows Server 2008 R2 chamado Reconexão VPN. A estrutura do NAP estende as mesmas verificações de conformidade e requisitos de conformidade para a conectividade remota. O NAP restringirá o acesso aos computadores que estão se conectando via DirectAccess ou VPN até que eles provem sua conformidade usando a estrutura do NAP e as verificações de integridade desempenhadas pelo WSHA (e outros agentes no futuro).

Soft Eviction no IPsec-Forefront

O Forefront tem um processo administrativamente controlado para bloquear os computadores de se conectarem a outros sistemas em uma rede conhecido como soft eviction.

O recurso soft eviction do Forefront funciona em todos os cenários de imposição do NAP, mas a Microsoft IT está investigando apenas para o IPsec. A Microsoft IT está investigando o uso da imposição do IPsec NAP e das capacidades de soft eviction do Forefront para impedir que os sistemas incompatíveis acessem outros servidores ou clientes gerenciados quando conectados à rede corporativa.

Relatórios de Exemplo

Ter dados de relatórios precisos e detalhados é crítico para o sucesso de qualquer implantação do NAP. Ter esses dados ajudará a identificar as causas de não conformidade e a rastrear o progresso em direção às metas de conformidade. A Microsoft IT usa o relatório do NAP para desenvolver uma melhor compreensão do potencial impacto para a base de clientes quando a imposição é planejada e implantada para cada requisito de diretiva corporativa e fase de implantação. A ilustração a seguir mostra uma variedade de relatórios personalizados desenvolvidos pela Microsoft IT.

0417-fig2.jpg

Figura 2. Números e porcentagens de computadores incluídos no domínio que o NAP relatou como incompatíveis em Maio de 2009

As informações contidas nesses relatórios podem ser extremamente úteis para identificar o número de computadores que usam o perfil móvel fora da rede corporativa e estabelecem uma conexão com a Internet. A ilustração a seguir identifica o número total de sistemas incompatíveis com vários requisitos de integridade em Maio de 2009.

0417-fig3.jpg

Figura 3. Uma visão alternativa dos computadores de Maio de 2009 que foram identificados pelo NAP como incompatíveis

Implantando o NAP

Esta seção discute a arquitetura de referência que a Microsoft IT projetou ao implantar o NAP e, depois, relaciona as fases de implantação e as tarefas principais em cada etapa.

Topologia de Implantação da Microsoft IT

A ilustração a seguir mostra a arquitetura de referência de implantação do NAP pela Microsoft IT.

img4.jpg

Figura 4. Topologia de Implantação do NAP pela Microsoft IT

Implantação de Componente e Função

Servidores de Diretiva de Rede: Os Servidores de Diretiva de Rede (NPS) foram implantados para o IPsec-NAP. Cada servidor executa a função de NPS e a função de Autoridade de Registro de Integridade (HRA). O NPS é o servidor de diretiva de integridade do NAP que avalia o estado de integridade dos clientes NAP, determina se o acesso à rede ou a comunicação é permitida e, através do conjunto de validadores de integridade de sistema do NAP instalados, o conjunto de ações de correção que um cliente NAP incompatível deve desempenhar. O NPS é a implantação Microsoft de um servidor RADIUS (Remote Authentication Dial-In User Service) e proxy no Windows Server 2008 e Windows Server 2008 R2. O NPS é o substituto do IAS (Internet Authentication Service) no Windows Server 2003. Ao atuar como um servidor de diretiva de integridade do NAP, o NPS desempenha a avaliação da integridade de sistema para os clientes NAP com base nas diretivas de rede e de integridade configuradas.

Autoridades de Registro de Integridade: A função de Autoridade de Registro de Integridade (HRA) foi instalada nos mesmos servidores que executam a função de NPS. As HRAs foram configuradas para apontar todas as Autoridades Certificadas disponíveis, ordenadas por região local e depois por outras regiões.

Servidores de Certificados: Os servidores de certificados eram originalmente autônomos, executando o Windows Server 2003 SP1 e encadeados à raiz corporativa da Microsoft existente. Durante o período de tempo da versão Release Candidate 0 (RC0), as autoridades de certificação foram convertidas para tornarem-se Autoridades de Certificação Corporativa (Enterprise CA) e modelos foram configurados para os certificados de integridade do NAP. Às HRAs foram dadas permissões de leitura e de solicitação para as autoridades de certificação, bem como aos relacionados modelos de certificado de integridade do NAP. As autoridades de certificação foram implantadas em todos os datacenters da América do Norte, Europa e Ásia.

Servidores de Correção: Os servidores de correção consistiam em servidores, serviços, controladores de domínio e outros servidores de gerenciamento que eram acessíveis aos computadores incompatíveis na rede restrita. Esses computadores foram instalados para permitir resolução de nomes e para armazenar as mais recentes atualizações de software ou os componentes necessários para tornar os computadores adequados aos requisitos de integridade corporativa.

SQL: O relatório de sistema foi configurado através do log NPS do Microsoft SQL Server® 2008 nos servidores que executam o SQL Server 2008 Express Edition. Esses servidores usam o SQL Server Service Broker para encaminhar as métricas a um banco de dados SQL Server back-end.

Servidores DirectAccess: Os servidores DirectAccess foram instalados usando-se dois adaptadores de rede: um para conectar diretamente com a Internet e outro para conectar com a rede corporativa.

Servidores de Roteamento e de Acesso Remoto: A Microsoft IT implantou o Windows Server 2008 e o Windows Server 2008 R2 com a função de Servidor de Roteamento e Acesso Remoto (RRAS). A Microsoft IT está fazendo a transição de sua implantação de quarentena herdada de Agente de Quarentena de Acesso Remoto (RQS) e de Cliente de Quarentena de Acesso Remoto (RQC) para a funcionalidade nativa do NAP para impor a conformidade de integridade ao fazer a conexão via VPN.

Fases de Implantação

A Microsoft IT atua como o Primeiro e Melhor cliente da empresa, ajudando a identificar antecipadamente os problemas de desenvolvimento e em parceria com as equipes de produtos e de tecnologia e ajuda a assegurar a funcionalidade robusta antes do lançamento do produto.

A Microsoft IT trabalho junto com a equipe de desenvolvimento de produto do NAP para traçar um plano de múltiplas fases para a implantação do NAP, o qual foi projetado para testar e confirmar as seguintes tarefas e funcionalidades principais antes de mudar para a próxima fase:

Teste de laboratório

Modo de relatório (piloto)

Modo de relatório

Imposição (piloto)

Imposição

Os detalhes de cada fase estão relacionados nas seções seguintes.

Teste de Laboratório

O teste de laboratório estava em andamento e ocorreu para todas as fases principais das construções de cliente e servidor. Como os bugs e as solicitações de mudanças foram preenchidos e consertados, eles foram validados nas próximas e apropriadas construções de fases.

Os objetivos iniciais dessa fase incluíam a validação das seguintes áreas (mas não estavam limitados a elas):

Configuração de diretiva de grupo

Configuração/instalação de cliente

Configuração/instalação de servidor

Configuração/instalação de SHA

Configuração/instalação de SHV

Configuração de diretiva de NPS

Configuração/instalação de HRA

Inicialização de SHA

Correção de SHA

Requisitos de relatório do NAP

Cliente/servidor de log de eventos

Experiência de usuário em geral

Modo de Relatório (Piloto)

Os objetivos iniciais dessa fase incluíam a validação das seguintes áreas (mas não estavam limitados a elas):

Verificar se os clientes alvo são ativos e fazem relatórios ao NAP

Capturar as estatísticas diárias dos clientes compatíveis versus os clientes incompatíveis

Verificar se os SHAs requeridos foram instalados com sucesso, inicializados e enviar uma "Declaração de Integridade" atualizada

Verificar se os clientes compatíveis estão recebendo um certificado de integridade do NAP

Linha de base de desempenho do servidor de infraestrutura do NAP para comparação com uma implantação mais abrangente

Comparar as estatísticas entre SCCM, NAP e relatórios personalizados de segurança e de integridade

Identificar e resolver as falhas para a correção

Identificar as ferramentas e os dados que precisam ser coletados para auxiliar na resolução de problemas relacionados ao NA

Modo de Relatório

Os objetivos iniciais dessa fase incluíam a validação das seguintes áreas (mas não estavam limitados a elas):

Fazer a implantação para todos os domínios gerenciados

Verificar se os clientes alvo são ativos e fazem relatórios ao NAP

Capturar as estatísticas diárias dos clientes compatíveis versus os clientes incompatíveis

Verificar se os SHAs requeridos foram instalados com sucesso, inicializados e enviar uma "Declaração de Integridade" atualizada

Verificar se os clientes compatíveis estão recebendo um certificado de integridade do NAP

Monitorar e comparar o desempenho do servidor de infraestrutura do NAP com as estatísticas de linha de base

Comparar as estatísticas entre SCCM, NAP e relatórios personalizados de segurança e de integridade

Identificar e resolver as falhas para a correção

Estimar o impacto na base de usuários se a imposição for habilitada

Treinar o Helpdesk e as camadas de suporte

Implantação (Piloto)

Os objetivos iniciais dessa fase incluíam a validação das seguintes áreas (mas não estavam limitados a elas):

Teste de imposição da integridade através de cenários pilotos do DirectAccess e VPN

Capturar as estatísticas diárias dos clientes compatíveis versus os clientes incompatíveis

Comparar as estatísticas entre SCCM, NAP e relatórios personalizados de segurança e de integridade

Identificar e resolver as falhas para a correção

Imposição

Os objetivos iniciais dessa fase incluíam a validação das seguintes áreas (mas não estavam limitados a elas):

Imposição da integridade através do DirectAccess e VPN

Fazer a implantação para o resto da rede corporativa e outras florestas

Capturar as estatísticas diárias dos clientes compatíveis versus os clientes incompatíveis

Comparar as estatísticas entre SCCM, NAP e relatórios personalizados de segurança e de integridade

Práticas Recomendadas

No curso da elaboração, implantação e operação do NAP, a Microsoft IT segui essas práticas recomendadas:

O NAP é uma solução end-to-end que passa por muitas áreas de solução e limites da organização. Consequentemente, as comunicações entre os grupos são críticas para o sucesso das implantações do NAP. Identifique os principais responsáveis e assegure que os processos e as aprovações estejam estabelecidos antes de ir adiante.

Embora a ativação do modo de relatório seja simples, tenha alguém com experiência em SQL para desenvolver os apropriados relatórios para qualquer necessidade complexa de relatório.

É importante usar o NAP no modo de relatório, mas considere a ativação da correção automática para melhorar a conformidade e a segurança baseada em host.

Considere a importância/ROI do modo de relatório e a correção automática na rede corporativa e os clientes incluídos no domínio estarão a qualquer momento conectados com a Conformidade Contínua do NAP.

Se a imposição for desejada, comece a implantação com o modo de relatório e torne os computadores compatíveis. Uma vez que os sistemas sejam confirmados como compatíveis, então evolua a implantação para o modo de imposição completo.

Considere a implantação do modo Conformidade Contínua do NAP como o mecanismo mais simples e fácil de começar a usar o NAP.

Se a imposição completa do IPsec estiver em consideração, certifique-se de avaliar antes a PKI (Public Key Infrastructure) existente.

Ao implantar a Conformidade Contínua do NAP, a PKI é uma consideração menos importante.

Conclusão

O NAP é um recurso nativo do sistema operacional Windows para os computadores que possuem o Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows Vista e Windows XP SP3, o qual oferece um conjunto sem precedentes de nativa avaliação de integridade e relatório de conformidade, correção automática e opcional controle de acesso à rede.

Desde a sua criação, a Microsoft IT vem utilizando o NAP para monitorar o estado de integridade dos clientes de rede dentro e fora da rede corporativa. Como a peça central da infraestrutura de correção e do relatório de integridade de sistema da Microsoft IT, a Microsoft IT usa o NAP para, de maneira automática e transparente, tornar os sistemas incompatíveis em conformidade com os requisitos de integridade da empresa. Além disso, a Microsoft IT utiliza as opcionais capacidades de restrição de acesso à rede do NAP para vários cenários de imposição. Ao combinar os agentes nativos do NAP com os produtos Microsoft adicionais, incluindo o SCCM e o Forefront, a Microsoft IT é capaz de estender as capacidades do NAP para atender aos requisitos de segurança e de integridade da empresa sem ter que depender que qualquer solução de código personalizado.

Finalmente, a Microsoft IT usa o relatório do NAP para obter conhecimento sobre o status de conformidade de integridade de toda a empresa. Ao analisar regularmente os dados de conformidade do NAP, a Microsoft IT obtém uma melhor compreensão sobre o estado da integridade de cliente e da rede em geral. Estas informações também são usadas para avaliar o potencial impacto na base de clientes quando a imposição é planejada e implantada para cada requisito de diretiva corporativa e fase de implantação.

Indo mais adiante, a Microsoft IT está investigando como estender ainda mais as capacidades do NAP com o uso de agentes de integridade de sistemas adicionais, tais como o NAP com o SCCM para a finalidade de imposição e trabalhando com o Forefront para obter os benefícios de sua capacidade de quarentena iniciada pelo administrador, bem como de suas avaliações de vulnerabilidade e capacidades de correção.

Para Mais Informações

Para obter mais informações sobre os produtos e serviços Microsoft, contate o Centro de Informações de Vendas Microsoft no telefone 08007617454. Acesse também:

https://www.microsoft.com/brasil/windowsserver
https://www.microsoft.com/technet/itshowcase

https://www.microsoft.com/nap

Este é um documento preliminar e pode ser substancialmente alterado antes do lançamento comercial final do software descrito neste documento.

As informações contidas neste documento representam a visão atual da Microsoft Corporation sobre os assuntos discutidos na data da publicação. Como a Microsoft deve responder as mudanças nas condições de mercado, isso não deve ser interpretado como um compromisso por parte da Microsoft e a Microsoft não pode garantir a precisão das informações apresentadas após a data da publicação.

Este White Paper tem somente finalidade informativa. A MICROSOFT NÃO OFERECE NEHUMA GARANTIA, EXPRESSA, IMPLÍCITA OU LEGAL, A RESPEITO DAS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO.

O cumprimento das leis de direitos autorais aplicáveis é de responsabilidade do usuário. Sem limitações a proteção dos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperação ou transmitida de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocópia, gravação ou qualquer outro) ou para qualquer finalidade sem a permissão expressa por escrito da Microsoft Corporation.

A Microsoft pode ter patentes, solicitações de patentes, marcas registradas, direitos autorais ou outros direitos de propriedade intelectual relativos ao objeto deste documento. Exceto quando expressamente declarado em qualquer contrato escrito de licença da Microsoft, o fornecimento deste documento não concede qualquer licença a essas patentes, marcas registradas, direitos autorais ou outra propriedade intelectual.

2009 Microsoft Corporation. Todos os direitos reservados.

Microsoft, BitLocker, Forefront, Internet Explorer, SQL Server, Windows, Windows Server e Windows Vista são marcas registradas ou marcas comerciais do grupo de empresas Microsoft.